運用管理

AWS Service Catalog

Servicio de gobernanza que gestiona plantillas de CloudFormation aprobadas por la organización como un catálogo y proporciona a los usuarios finales aprovisionamiento de recursos en autoservicio

Unos 6 min de lectura

Descripción general

AWS Service Catalog permite a los administradores de TI registrar configuraciones de infraestructura aprobadas como productos, habilitando a los usuarios finales su aprovisionamiento mediante autoservicio. Las plantillas de CloudFormation o configuraciones de Terraform se catalogan como productos y el acceso se gestiona a nivel de portafolio. Los usuarios finales pueden desplegar configuraciones aprobadas simplemente ingresando parámetros, sin necesidad de conocimientos de CloudFormation. Las restricciones (Constraints) permiten aplicar reglas de gobernanza a nivel de producto, como limitar tipos de instancia o restringir regiones.

Diseño de portafolios y productos

Los conceptos centrales de Service Catalog son la estructura de dos niveles de portafolios y productos. Un portafolio es una agrupación lógica de productos y sirve como unidad para otorgar acceso a principales de IAM (usuarios, grupos, roles). Por ejemplo, un 'Portafolio del equipo de análisis de datos' podría contener productos de clúster Redshift, trabajos Glue y buckets S3, compartido exclusivamente con el equipo de datos. Un producto es una plantilla de CloudFormation o configuración de Terraform con control de versiones, donde los parámetros de la plantilla se convierten en los campos de entrada presentados a los usuarios finales. El versionado de productos permite el despliegue gradual de actualizaciones de plantillas. Los entornos existentes aprovisionados con versiones anteriores continúan operando sin verse afectados hasta que los usuarios ejecuten explícitamente una actualización de versión. Como mejor práctica de diseño de productos, es importante minimizar el número de parámetros y limitar las opciones usando valores predeterminados y AllowedValues. En lugar de requerir la entrada directa de bloques CIDR, se proporcionan parámetros abstraídos como 'Pequeño / Mediano / Grande' para que los usuarios finales no tengan que deliberar sobre detalles técnicos.

Restricciones y reglas de aprovisionamiento

Las restricciones (Constraints) son reglas de gobernanza aplicadas al aprovisionar productos. Las restricciones de plantilla limitan los valores permitidos de los parámetros de CloudFormation; por ejemplo, restringir los tipos de instancia solo a t3.micro y t3.small. Las restricciones de lanzamiento (Launch Constraint) especifican el rol de IAM utilizado durante el aprovisionamiento. Esto elimina la necesidad de otorgar permisos directos de ejecución de CloudFormation a los usuarios finales; en su lugar, los permisos mínimos necesarios se consolidan en el rol de lanzamiento, facilitando la implementación del principio de mínimo privilegio. Las restricciones de notificación envían eventos de aprovisionamiento a un tema SNS para notificaciones al administrador y registro de auditoría. Las restricciones de Stack Set permiten desplegar un solo producto en múltiples regiones o cuentas simultáneamente. TagOptions es un mecanismo para aplicar etiquetas obligatoriamente a los recursos aprovisionados. La combinación de restricciones permite diseñar el equilibrio adecuado entre controlar la libertad del usuario final y mantener la conveniencia del autoservicio. Restricciones excesivamente estrictas anulan el propósito del autoservicio, mientras que las demasiado permisivas hacen que la gobernanza sea ineficaz.

TagOptions e integración con Organizations

TagOptions es una función que aplica etiquetas obligatoriamente a los recursos aprovisionados a través de Service Catalog. Cuando se asocia un TagOption a un portafolio o producto, la etiqueta se aplica automáticamente cada vez que un usuario final aprovisiona recursos. Aplicar etiquetas de asignación de costos (CostCenter, Project, Environment) mediante TagOptions previene brechas en el seguimiento de costos causadas por etiquetas faltantes. Los pares clave-valor de TagOption son gestionados centralmente por los administradores, y los usuarios finales simplemente seleccionan entre los valores disponibles. La integración con Organizations permite compartir portafolios de Service Catalog en masa entre múltiples cuentas dentro de una organización. Se crean portafolios en la cuenta de gestión o en una cuenta de administrador delegado y se especifican los destinos de compartición por OU (unidad organizativa) o cuenta individual. Los portafolios compartidos se importan en las cuentas miembro y pueden usarse igual que los portafolios locales. Este mecanismo habilita un modelo de gobernanza hub-and-spoke donde un equipo central de TI distribuye configuraciones aprobadas a toda la empresa, y los equipos individuales aprovisionan los recursos que necesitan mediante autoservicio. Combinado con Control Tower, también se puede automatizar la distribución de portafolios estándar cuando se crean nuevas cuentas.

共有するXB!

Términos relacionados

AWS CloudFormationAWS OrganizationsAWS Control TowerAWS ConfigAWS Resource Access Manager

Servicios relacionados

AWS CloudFormationAWS OrganizationsAWS Control TowerAWS ConfigAWS Resource Access Manager

Artículos relacionados

Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Hasta dónde ve la detección de drift de CloudFormation - Cómo rastrea cambios manuales y sus limitacionesAprenda cómo la detección de drift de CloudFormation compara internamente el estado actual de los recursos con el estado esperado definido en las plantillas, el límite entre cambios detectables y no detectables, y estrategias para la remediación de drift.

Términos y artículos similares

Aprovisionamiento de servicios IT - Infraestructura de autoservicio con AWS Service CatalogExplicamos la catalogación de servicios IT aprobados con AWS Service Catalog y el aprovisionamiento de infraestructura de autoservicio mediante la integración con CloudFormation. Presentamos patrones operativos que aumentan la autonomía de los equipos de desarrollo manteniendo la gobernanza.Gobernanza de TI con AWS Service Catalog - Estandarización de productos aprobados y habilitación del autoservicioExplicamos cómo catalogar plantillas CloudFormation aprobadas por TI y proporcionar de forma segura a los usuarios finales el aprovisionamiento de autoservicio con Service Catalog.AWS Service CatalogServicio de catálogo que ofrece servicios de TI aprobados en autoservicio a toda la organizaciónAWS ProtonServicio donde los equipos de plataforma proporcionan plantillas de infraestructura y los desarrolladores despliegan mediante autoservicioAWS CloudFormationUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillas