AWS Service Catalog 常見問答集

一般問題

利用 AWS Service Catalog,IT 管理員可以建立、管理以及將已核准的產品型錄分發給最終使用者,然後,最終使用者可以在個人化入口網站存取他們所需的產品。管理員可以控制哪些使用者具有每個產品的存取權限,以強制遵守組織的業務政策。管理員也可以設定採用的角色,讓最終使用者只需要 AWS Service Catalog 的 IAM 存取權限,以部署核准的資源。透過 AWS Service Catalog,您的組織可享受靈活性提升和成本降低的好處,因為最終使用者只會在您控制的型錄中找到和啟動他們所需的產品。

AWS Service Catalog 是針對需要集中化政策的組織、IT 團隊和受管服務提供者 (MSP) 所開發。它讓 IT 管理員可以發佈和管理 AWS 資源與服務。對於大型組織,它可以提供數以千計使用者佈建雲端資源的標準方法。它同樣也適合小型團隊,一線開發管理員可以提供和維護標準開發/測試環境。

在 AWS 管理主控台中,從 Management Tools 選擇 AWS Service Catalog。在 AWS Service Catalog 主控台中,管理員只需按幾下就能建立產品組合、新增產品,以及授予使用者使用產品的許可。最終使用者登入 AWS Service Catalog 主控台後,可以看到並啟動管理員為其建立的產品。

最終使用者可以在一個簡單的入口網站中找到和啟動符合組織政策和預算限制的產品。

產品組合是產品及組態資訊的集合,組態資訊用於決定誰能夠使用這些產品和如何使用。管理員可以為組織內的每種使用者建立自訂的產品組合,並選擇性授與他們對適當產品組合的存取權。管理員在產品組合加入新版本的產品時,該版本會自動提供給目前所有產品組合的使用者使用。同一個產品可以包含在多個產品組合中。管理員還可以與其他 AWS 帳戶共用產品組合,並允許這些帳戶的管理員透過套用其他限制來擴展產品組合。透過使用產品組合、許可、共用和限制,管理員可以確保使用者所啟動的產品經過正確設定,以符合組織的需要。

是。AWS Service Catalog 是完全區分區域的,因此您可以控制資料存放的區域。產品組合和產品是需要按區域建立的區域構造,並且僅在其建立區域內可見/可用。

如需支援的 AWS 區域完整清單,請參閱 AWS 區域表

是,有可用的 API 且可透過 CLI 啟用。可透過用來管理 Service Catalog 成品的動作執行佈建和終止程序。您可以在 AWS Service Catalog 文件中找到更多資訊,也可以下載最新的 AWS SDK 或 CLI

是,您可以透過建立 VPC 端點,從 Amazon Virtual Private Cloud (VPC) 以私有方式存取 AWS Service Catalog API。使用 VPC 端點,AWS 網路會處理 VPC 和 AWS Service Catalog 之間的路由,無須使用網際網路閘道、NAT 閘道或 VPN 連接。AWS Service Catalog 使用的最新一代 VPC 端點採用 AWS PrivateLink 技術,這項 AWS 技術可使用彈性網路界面 (ENI) 搭配 VPC 的私有 IP 啟用 AWS 服務間的私有連線。要進一步了解 AWS PrivateLink,請參閱 AWS PrivateLink 文件

是。如果客戶的每月正常執行時間百分比在任何帳單週期內低於我們的服務承諾,AWS Service Catalog SLA 將提供服務補償。

IT 管理員

您可以在 AWS Service Catalog 主控台建立產品組合。您需要為每個產品組合指定名稱、描述和擁有者。

每個 Service Catalog 產品都是以基礎架構即程式碼 (IaC) 範本為基礎的。您可以使用 CloudFormation 範本或 Terraform 設定 (單個 tar.gz 檔案)。您可以透過 AWS Service Catalog 主控台建立產品,方法包括上傳 IaC 範本、提供儲存範本的 S3 儲存貯體連結,或連線至儲存範本的外部 Git 儲存庫。當建立產品時,可以為產品清單提供其他資訊,如詳細的產品描述、版本資訊、支援資訊和標籤。

標籤有助於識別和分類最終使用者佈建的 AWS 資源。您也可以在 AWS Identity and Access Management (IAM) 政策中使用標籤,以允許或拒絕存取 IAM 使用者、群組和角色,或限制 IAM 使用者、群組和角色可以執行的操作。當您將標籤新增到產品組合時,標籤會套用到產品組合中從產品佈建的所有資源執行個體。

發佈自己建立或與您共用的產品組合,即可供 AWS 帳戶中的 IAM 使用者使用。若要發佈產品組合,從 AWS Service Catalog 主控台導覽到產品組合詳細資訊頁面,然後將 IAM 使用者、群組或角色新增到產品組合中。當您將使用者新增到產品組合時,這些使用者可以瀏覽並啟動產品組合中的任何產品。通常,您可以建立包含不同產品並針對特定類型最終使用者自訂存取許可的產品組合。例如,針對開發團隊的產品組合包含的產品可能不同於以銷售和行銷團隊為對象的產品組合。單一產品可以設定不同的存取許可和佈建政策以發佈到多個產品組合。

是。您可以與一或多個其他 AWS 帳戶的使用者共用產品組合。與其他 AWS 帳戶共用產品組合時,您保有產品組合的所有權和控制權。只有您可以執行變更,如加入新產品或更新產品。您還可以隨時「取消共用」產品組合,並且只有您可以執行此操作。目前正在使用的任何產品或堆疊將繼續執行,直到堆疊擁有者決定將其終止為止。

若要共用產品組合,應指定要與其共用的帳戶 ID,然後將產品組合的 Amazon 資源編號 (ARN) 傳送給該帳戶。該帳戶的擁有者可以建立此共用產品組合的連結,然後從該帳戶將 IAM 使用者指派給產品組合。為了便於最終使用者尋找,您可以建立產品組合的目錄。

是。您可以使用現有 Amazon EC2 AMI,將產品包裝在 AWS CloudFormation 範本中以建立產品。

是。您可以訂閱 AWS Marketplace 中的產品,並使用複製到 Service Catalog 動作將 Marketplace 產品直接複製到 Service Catalog。您也可以使用產品的 Amazon EC2 AMI 建立 AWS Service Catalog 產品。若要這麼做,需要將訂閱的產品包裝在 AWS CloudFormation 範本中。如需如何複製或包裝 AWS Marketplace 產品的更多詳細資訊,請按一下這裡

要控制對產品組合和產品的存取權,需要在產品組合詳細資訊頁面指派 IAM 使用者、群組或角色。透過提供存取權,使用者可以在 AWS Service Catalog 主控台中看到他們可以使用的產品。

是。您可以按照建立新產品的方式建立新產品版本。新產品版本發佈到產品組合中後,最終使用者可以選擇啟動新版本。他們還可以選擇更新正在執行的堆疊,以使用此新版本。有可用更新時,AWS Service Catalog 不會自動更新正在使用的產品。

是。您具有用於佈建產品的 AWS 帳戶和角色的完整控制權。要佈建 AWS 資源,您可以使用使用者的 IAM 存取許可或預先定義的 IAM 角色。要保留 AWS 資源的完整控制權,則需要在產品層級指定特定的 IAM 角色。AWS Service Catalog 使用角色來佈建堆疊中的資源。

是。您可以定義規則,限制使用者在啟動產品時輸入的參數值。 這些規則稱為範本限制,因為它們限制了產品的 AWS CloudFormation 範本的部署方式。您可以使用簡單的編輯器建立範本限制,然後將其套用到個別產品。

AWS Service Catalog 會在佈建新產品或更新已經在使用中的產品時套用限制。在套用到產品組合和產品的所有限制中,永遠會套用最嚴格的限制。例如,請考慮以下情況:產品允許啟動所有 EC2 執行個體,且產品組合具有兩項限制:一項允許啟動所有非 GPU 類型的 EC2 執行個體,另一項僅允許啟動 t1.micro 和 m1.small EC2 執行個體。以這個範例來說,AWS Service Catalog 會套用較為嚴格的第二項限制 (t1.micro 和 m1.small)。目前,Terraform 設定不支援範本限制。 

可以,我們目前支援 JSON 和 YAML 語言範本。

是。適用於 ServiceNow 和 Jira Service Desk 的 AWS Service Management Connector (之前稱為 AWS Service Catalog Connector) 提供 ServiceNow 和 Jira Service Desk 專案上的整合功能。此功能可簡化 ServiceNow 和 Jira Service Desk 管理員的雲端佈建和資源管理,並讓 ServiceNow 使用者更輕鬆地請求 AWS 產品,這可以是管理員希望在 AWS 上用於部署的任何 IT 服務。

ServiceNow 和 Jira Service Desk 管理員可設定連接器搭配現有或新的 AWS 帳戶和角色使用。ServiceNow 和 Jira Service Desk 使用者可以瀏覽並請求管理員核准的 AWS 產品。您還可以在佈建的產品上檢視組態項目詳細資訊,並在 ServiceNow 和 Jira Service Desk 中執行 AWS Systems Manager Automation 文件。這可簡化 ServiceNow 和 Jira Service Desk 使用者的 AWS 產品請求動作,並為 ServiceNow 和 Jira Service Desk 管理員提供對 AWS 產品的控管和監督。

ServiceNow Store 中免費提供適用於 ServiceNow 的 AWS 服務管理連接器。這項新功能在提供 AWS Service Catalog 的所有 AWS 區域皆可使用。如需詳細資訊,請瀏覽文件

Atlassian Marketplace 中免費提供適用於 Jira Service Desk 的 AWS 服務管理連接器。這項新功能在提供 AWS Service Catalog 的所有 AWS 區域皆可使用。如需詳細資訊,請瀏覽文件

最終使用者

要查看哪些產品可用,請登入 AWS Service Catalog 主控台,搜尋入口網站以尋找符合所需的產品,或導覽到完整的產品清單頁面。您可以排序來尋找所需的產品。

對於每個產品,您可以查看產品詳細資訊頁面,其中顯示了產品的資訊,包括版本、產品是否有可用的更新版、描述、支援資訊以及產品關聯的標籤。產品詳細資訊頁面可能還會指出是使用您的存取許可 (Self) 還是管理員指定的角色 (角色 ARN) 佈建此產品。

在入口網站中找到符合要求的產品後,選擇「啟動」。您需要回答有關計劃如何使用產品的一系列問題。問題可能關於您的業務需求或基礎設施需求 (如「哪一種 EC2 執行個體類型?」)。提供所需資訊後,您將在 AWS Service Catalog 主控台中看到此產品。佈建此產品時,您將看到其狀態為「進行中」。 佈建完成後,您將看到「完成」和端點或 Amazon Resource Name (ARN) 等的資訊,您可以使用這些資訊存取該產品。

是。您可以在 AWS Service Catalog 主控台中查看正在使用的產品。您可以看到正在使用的所有堆疊,以及用於建立這些堆疊的產品版本。

當產品發佈新版本時,您可以使用 Update Stack 命令來使用新版本。如果您目前使用的產品有更新,該產品會繼續執行直到關閉為止,此時您才可以選擇使用新版本。

您可以在 AWS Service Catalog 主控台中查看正在使用的產品及其運作狀態。

支援 Terraform 開放原始碼和 Terraform 雲端

AWS Service Catalog 能讓使用 Terraform 開放原始碼和 Terraform 雲端的客戶在 AWS 中向其最終使用者提供具有管控功能的自助式佈建。中央 IT 可以使用單一工具在 AWS 中大規模組織、管控和分發其 Terraform 組態。他們可以存取 AWS Service Catalog 的關鍵功能,包括為標準化和預先核准的範本編目、存取控制、佈建期間的最低權限、版本控制、共享給數千個 AWS 帳戶和標記。最終使用者只需看到他們有權存取的產品和版本清單,並可透過單一操作進行部署。

若要開始使用,請使用 AWS 提供的適用於 Terraform 開放原始碼和 Terraform 雲端的 Terraform 參考引擎,該引擎會安裝並設定所需的程式碼和基礎架構,以便 Terraform 開放原始碼引擎能與 AWS Service Catalog 搭配使用。這項一次性設定只需幾分鐘。

要了解如何使用 AWS Service Catalog 編目、管控、共享和部署 Terraform 產品,請閱讀我們的文件

如果 Terraform 開放原始碼或 Terraform 雲端是您選擇的 IaC 工具,您可以使用 Service Catalog 為您的團隊提供 Terraform 組態自助式佈建。如果您在不同團隊或使用案例中混合使用 CloudFormation 和 Terraform 組態,現在您可以使用 AWS Service Catalog 作為編目和共享兩者的單一工具。AWS Service Catalog 為您的最終使用者提供易於使用的通用介面,無論 IaC 技術為何,都能檢視和佈建資源。

若要將 Terraform 開放原始碼搭配 AWS Service Catalog 使用,您必須在其中一個帳戶中設定 Terraform 開放原始碼引擎。使用 AWS 提供的 Terraform 參考引擎建立 Terraform 開放原始碼引擎,該引擎將安裝和設定所需程式碼和基礎架構,以便 Terraform 開放原始碼引擎能與 AWS Service Catalog 搭配使用。完成這項僅需幾分鐘的一次性設定後,您就能開始在 AWS Service Catalog 建立 Terraform 開放原始碼類型產品。

若要將 AWS Service Catalog 與 Terraform 雲端搭配使用,請使用適用於 Terraform 雲端的 Terraform 參考引擎,該引擎將安裝和設定 Terraform 雲端引擎搭配 AWS Service Catalog 使用所需的程式碼和基礎設施。若要進一步了解,請閱讀我們的文件

是。AWS Service Catalog 支援「中樞和支點」模型,其中一個產品在單一中央帳戶中定義,然後可與數千個 AWS 帳戶共享。對於 Terraform,您可以在此中樞帳戶中安裝 Terraform 開放原始碼或 Terraform 雲端引擎並建立 Terraform 產品。您可以將這些產品與支點帳戶共享,並在這些帳戶中啟用對 IAM 角色/使用者/群組的存取權限。請注意,您必須在每個帳戶中定義具有足夠許可的啟動角色。

部分是。AWS 支援 Terraform 產品的編目、共享和最終使用者存取。您負責確保或 Terraform 開放原始碼或 Terraform 雲端環境已準備就緒,並與 AWS Service Catalog 緊密整合。您還需要定義具有許可的啟動角色,以佈建和標記與 Terraform 產品相關聯的所有資源。

是。AWS Service Catalog 能讓您將產品同步至透過 GitHub、GitHub Enterprise 或 Bitbucket 管理的範本檔案。無論選擇哪個儲存庫,範本檔案格式仍需要作為單個檔案存檔至 Tar,並在 Gzip 中壓縮。 

每個 Terraform 開放原始碼或 Terraform 雲端產品都有單一的狀態檔案,該檔案儲存在 AWS S3 儲存貯體中 Terraform 開放原始碼或 Terraform 雲端引擎的 AWS 帳戶中。AWS Service Catalog 管理員會看到狀態檔案清單,但無法讀取或寫入其內容。只有您的 Terraform 開放原始碼或 Terraform 雲端引擎才能讀取和寫入狀態檔案的內容。

此功能的定價與所有其他 AWS Service Catalog 功能相同,每個帳戶/區域中的前 1,000 次 API 呼叫後,每次 API 呼叫的定價為 0.0007 USD。要進一步了解,請閱讀此處。 

AppRegistry

AWS Service Catalog AppRegistry 可讓組織理解 AWS 資源的應用程式內容。AppRegistry 為描述您在企業中使用的應用程式和所關聯資源的資訊提供了儲存庫。

AWS Service Catalog AppRegistry 是為需要在 AWS 環境中對應用程式進行單一、最新定義的組織開發的。

AWS Service Catalog AppRegistry 可讓您定義應用程式,包括名稱、描述、關聯的 CloudFormation 堆疊以及由「屬性群組」表示的應用程式中繼資料。關聯的 CloudFormation 堆疊表示應用程式所需的所有資源。這可能是單一環境中所需的基礎設施,也可能包含支援所有環境中的應用程式的程式碼儲存庫、管道和 IAM 資源。現有或新的 CloudFormation 堆疊都可以與應用程式關聯。透過包含與應用程式的關聯和堆疊的 CloudFormation 範本,可以在佈建時將新堆疊與應用程式關聯。

屬性群組包含對企業很重要的應用程式中繼資料。屬性群組包含開放 JSON 結構描述,為您提供了擷取複雜企業中繼資料的彈性。應用程式屬性可以包含中繼資料,如應用程式安全分類、組織擁有權、應用程式類型、成本中心和支援資訊。建置器將屬性群組與其應用程式關聯。更新屬性群組時,這些更新將自動反映在與屬性群組關聯的所有應用程式中。

如需支援的 AWS 區域完整清單,請參閱 AWS 區域表

是,可以使用一整套 API 和 CLI 動作。