AWS Service CatalogGuía del administrador

AWS Service Catalog Guía del administrador

AWS Service Catalog: Guía del administradorCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

AWS Service Catalog Guía del administrador

Table of Contents¿Qué es AWS Service Catalog? ........................................................................................................... 1

Información general .................................................................................................................... 1Usuarios ............................................................................................................................ 1Productos .......................................................................................................................... 2Productos provisionados ...................................................................................................... 2Carteras ............................................................................................................................ 2Control de versiones ........................................................................................................... 2Permisos ........................................................................................................................... 3Restricciones ..................................................................................................................... 3Flujo de trabajo inicial del administrador ................................................................................ 3Flujo de trabajo inicial del usuario final .................................................................................. 4

Cuotas ...................................................................................................................................... 5Configuración ..................................................................................................................................... 7

Inscripción en Amazon Web Services ............................................................................................ 7Concesión de permisos a los administradores y los usuarios finales ................................................... 7Concesión de permisos a los administradores ................................................................................. 7Concesión de permisos a los usuarios finales ................................................................................. 9

Introducción ..................................................................................................................................... 11Paso 1: Descargar la plantilla ..................................................................................................... 11

Descarga de la plantilla ..................................................................................................... 11Descripción general de la plantilla ....................................................................................... 11

Paso 2: Cree un par de claves ................................................................................................... 14Paso 3: Crear una cartera .......................................................................................................... 14Paso 4: Crear un producto ......................................................................................................... 15Paso 5: Agregar una restricción de plantilla .................................................................................. 15Paso 6: Agregar una restricción de lanzamiento ............................................................................ 16Paso 7: Conceder acceso a la cartera a los usuarios finales ............................................................ 17Paso 8: Probar la experiencia del usuario final .............................................................................. 18

Biblioteca de introducción .................................................................................................................. 19Requisitos previos ..................................................................................................................... 19Arquitecturas de referencia ......................................................................................................... 19Arquitecturas de alta fiabilidad .................................................................................................... 20Más información ....................................................................................................................... 20

Seguridad ........................................................................................................................................ 21Protección de los datos ............................................................................................................. 21

Protección de los datos con el cifrado .................................................................................. 22Identity and Access Management ................................................................................................ 22

Público ............................................................................................................................ 23Control del acceso ............................................................................................................ 23Políticas administradas de AWS predefinidas ........................................................................ 23Acceso a la consola para los usuarios finales ....................................................................... 25Acceso a los productos para los usuarios finales ................................................................... 25Ejemplos de políticas ........................................................................................................ 25

Registro y monitorización ........................................................................................................... 28Validación de la conformidad ...................................................................................................... 28Resiliencia ............................................................................................................................... 29Seguridad de la infraestructura ................................................................................................... 30Prácticas recomendadas de seguridad ......................................................................................... 30

Administración de catálogos ............................................................................................................... 31Administración de carteras ......................................................................................................... 31

Creación, visualización y eliminación de carteras ................................................................... 31Ver los detalles de la cartera .............................................................................................. 32Crear y eliminar carteras .................................................................................................... 32Adición de productos ......................................................................................................... 32

iii

AWS Service Catalog Guía del administrador

Adición de restricciones ..................................................................................................... 34Conceder acceso a los usuarios ......................................................................................... 35

Administración de productos ....................................................................................................... 35Ver la página de productos ................................................................................................ 36Creación de productos ....................................................................................................... 36Adición de productos a las carteras ..................................................................................... 37Actualización de productos ................................................................................................. 37Eliminación de productos ................................................................................................... 38Administración de versiones ............................................................................................... 38

Uso de las restricciones ............................................................................................................. 39Restricciones de lanzamiento ............................................................................................. 40Restricciones de notificación ............................................................................................... 42Restricciones de actualización de etiquetas .......................................................................... 43Restricciones de conjunto de pilas ...................................................................................... 43Restricciones de plantilla .................................................................................................... 44

Uso de acciones de servicio ....................................................................................................... 53Requisitos previos ............................................................................................................. 53Paso 1: Configurar los permisos de usuario final ................................................................... 53Paso 2: Crear una acción de servicio .................................................................................. 54Paso 3: Asociar la acción de servicio con una versión de producto ........................................... 55Paso 4: Probar la experiencia del usuario final ...................................................................... 55Paso 5: Solucionar problemas ............................................................................................ 55

Adición de productos de AWS Marketplace a la cartera .................................................................. 57Administración de productos de AWS Marketplace mediante AWS Service Catalog ..................... 57Administración y adición manual de productos de AWS Marketplace ......................................... 58

Uso compartido de carteras ....................................................................................................... 62Relación entre las carteras compartidas e importadas ............................................................ 63Uso compartido de carteras ................................................................................................ 64Importación de una cartera ................................................................................................. 64

Uso de AWS CloudFormation StackSets ...................................................................................... 64Diferencias entre conjuntos de pilas e instancias de pila ......................................................... 65Restricciones de conjunto de pilas ...................................................................................... 65

Administración de presupuestos .................................................................................................. 65Requisitos previos ............................................................................................................. 65Creación de un presupuesto ............................................................................................... 66Asociación de un presupuesto ............................................................................................ 67Visualización de un presupuesto ......................................................................................... 67Desasociación de un presupuesto ....................................................................................... 68

Administración de productos provisionados ........................................................................................... 69Administración de todos los productos provisionadas como administrador .......................................... 69Cambio del propietario del producto aprovisionado ........................................................................ 69

Véase también ................................................................................................................. 70Tutorial: Identificación de la asignación de recursos del usuario ....................................................... 70

Administración de etiquetas ................................................................................................................ 74AutoTags ................................................................................................................................. 74Biblioteca de TagOptions ........................................................................................................... 75

Lanzamiento de un producto con TagOptions ........................................................................ 76Administración de TagOptions ............................................................................................ 78

Monitoreo ........................................................................................................................................ 80Herramientas de monitorización .................................................................................................. 80

Herramientas automatizadas ............................................................................................... 80Métricas de CloudWatch ............................................................................................................ 81

Habilitar métricas de CloudWatch ........................................................................................ 81Métricas y dimensiones disponibles ..................................................................................... 81Visualización de las métricas de AWS Service Catalog ........................................................... 82

Integraciones de productos y servicios ................................................................................................. 83Conector para ServiceNow ......................................................................................................... 83

iv

AWS Service Catalog Guía del administrador

Introducción ..................................................................................................................... 83Introducción ..................................................................................................................... 84Notas de la versión ........................................................................................................... 84Permisos de referencia ...................................................................................................... 85Configuración de AWS Service Catalog ................................................................................ 90Creación de restricciones de StackSet ................................................................................. 65Relacionar presupuestos con productos y portafolios .............................................................. 92Configuración de ServiceNow ............................................................................................. 92Validación de configuraciones ............................................................................................. 98Características adicionales del administrador de ServiceNow ................................................... 98Instrucciones de actualización ........................................................................................... 100

Conector para Jira Service Desk ............................................................................................... 103Introducción .................................................................................................................... 104Lanzamientos y versiones compatibles con Jira Service Desk ................................................ 105Introducción .................................................................................................................... 105Notas de la versión ......................................................................................................... 106Permisos de referencia .................................................................................................... 107Configuración de AWS Service Catalog .............................................................................. 111Configuración de Jira Service Desk ................................................................................... 112Configuración y caso de uso de la administración del ciclo de vida de TI .................................. 117Validación de configuraciones ........................................................................................... 122Características adicionales del administrador de Jira ............................................................ 123

Historial de revisión ......................................................................................................................... 125

v

AWS Service Catalog Guía del administradorInformación general

¿Qué es AWS Service Catalog?AWS Service Catalog permite a las organizaciones crear y administrar catálogos de servicios de TIaprobados para su uso en AWS. Estos servicios de TI pueden incluir desde imágenes de máquinasvirtuales, servidores, software y bases de datos para completar las arquitecturas de aplicacionesmultinivel. AWS Service Catalog permite a las organizaciones administrar centralmente los servicios de TIimplementados habitualmente y les ayuda a conseguir un control coherente de los servicios y a satisfacerlos requisitos de cumplimiento. Los usuarios finales pueden implementar rápidamente solo los servicios deTI aprobados que necesitan, de acuerdo con las limitaciones establecidas por su organización.

AWS Service Catalog proporciona los siguientes beneficios:

• Normalización

Permite administrar los recursos aprobados restringiendo dónde se puede lanzar el producto, el tipo deinstancia que se puede utilizar y muchas otras opciones de configuración. El resultado es un entornoestandarizado de provisionamiento de productos en toda la organización.

• Detección y lanzamiento en autoservicio

Los usuarios examinan los listados de productos (servicios o aplicaciones) a los que tienen acceso paralocalizar el producto que deseen utilizar y lanzarlo por su cuenta como producto provisionado.

• Control de acceso detallado

Los administradores reúnen carteras de productos del catálogo, agregan restricciones y etiquetas derecursos para su uso durante el provisionamiento y, a continuación, conceden acceso a la carteramediante usuarios y grupos de AWS Identity and Access Management (IAM).

• Extensibilidad y control de versiones

Los administradores pueden agregar un producto a cualquier cantidad de carteras y restringirlo sinnecesidad de crear otra copia. Cuando se actualiza el producto a una nueva versión, la actualización sepropaga a todos los productos de todas las carteras en las que se hace referencia a él.

Para obtener más información, consulte la página de información de AWS Service Catalog.

El API de AWS Service Catalog proporciona control mediante programación de todas las accionesdel usuario final como alternativa al uso de la Consola de administración de AWS. Para obtener másinformación, consulte Guía para desarrolladores de AWS Service Catalog.

Información general de AWS Service CatalogPara comenzar a trabajar con AWS Service Catalog, debe comprender sus componentes y los flujos detrabajo iniciales para los administradores y los usuarios finales.

UsuariosAWS Service Catalog admite los siguientes tipos de usuarios:

• Administradores de catálogos (administradores): –se encargan de administrar un catálogo deproductos (aplicaciones y servicios), organizarlos en carteras y conceder acceso a los usuarios finales.Los administradores de catálogos preparan las plantillas de AWS CloudFormation, configuran lasrestricciones y administran las funciones de IAM que se asignan a los productos para proporcionar unaadministración avanzada de los recursos.

1

AWS Service Catalog Guía del administradorProductos

• Usuarios finales: –reciben las credenciales de AWS que les facilita el departamento o el administradorde TI y utilizan la Consola de administración de AWS para lanzar los productos cuyo acceso se lesha concedido. A los usuarios finales (a quienes también se denominan simplemente usuarios) se lespueden conceder diferentes permisos en función de sus necesidades operativas. Por ejemplo, unusuario puede tener el máximo nivel de permisos (para lanzar y administrar todos los recursos querequieren los productos que utilizan), o bien permiso para utilizar tan solo determinadas característicasdel servicio.

ProductosUn producto es un servicio de TI que se desea que esté disponible para implementarlo en AWS. Unproducto consta de uno o más recursos de AWS como, por ejemplo, instancias EC2, volúmenes dealmacenamiento, bases de datos, configuraciones de monitorización y componentes de redes, o bienproductos de AWS Marketplace empaquetados. Un producto puede ser una instancia de computaciónsencilla con AWS Linux, una aplicación web de distintos niveles completamente equipada que seejecuta en su propio entorno, o algo intermedio. Crea un producto importando una plantilla de AWSCloudFormation. Las plantillas de AWS CloudFormation definen los recursos de AWS que el productonecesita para funcionar, las relaciones entre los recursos y los parámetros que los usuarios finales puedeintroducir al lanzar el producto para configurar los grupos de seguridad, crear pares de claves y realizarotras personalizaciones.

Productos provisionadosLas pilas e AWS CloudFormation facilitan la administración del ciclo de vida del producto porque lepermiten provisionar, etiquetar, actualizar y terminar la instancia de su producto como una sola unidad.Una pila de AWS CloudFormation incluye una plantilla de AWS CloudFormation, escrita en formato JSONo YAML, así como su colección de recursos asociados. Un producto provisionado es una pila. Cuando unusuario final lanza un producto, la instancia del producto que se ha provisionado mediante AWS ServiceCatalog es una pila con los recursos necesarios para ejecutar el producto. Para obtener más información,consulte Guía del usuario de AWS CloudFormation.

CarterasUna cartera es una colección de productos junto con la información de configuración. Las carteras ayudana administrar quién puede hacer uso de los productos y de qué manera. Con AWS Service Catalog, puedecrear una cartera de productos personalizada para cada tipo de usuario de su organización y concederacceso de manera selectiva a la cartera de productos apropiada para cada uno de ellos. Cuando seagrega una nueva versión de un producto a una cartera, esta versión pasa automáticamente a estardisponible para todos los usuarios actuales. También puede compartir las carteras con otras cuentas deAWS y permitir a los administradores de estas cuentas distribuir las carteras con restricciones adicionales(por ejemplo, limitar qué instancias EC2 puede crear un usuario). Mediante las carteras, los permisos, eluso compartido y las restricciones, puede asegurarse de que los usuarios lancen productos que esténconfigurados correctamente según las necesidades y los estándares de la organización.

Control de versionesAWS Service Catalog permite administrar varias versiones de los productos del catálogo. Esta opción lepermite añadir nuevas versiones de plantillas y recursos asociados en función de las actualizaciones desoftware o los cambios en la configuración. Al crear una nueva versión de un producto, la actualización sedistribuye automáticamente a todos los usuarios que tienen acceso al producto y les permite seleccionarla versión del producto que desean usar. Los usuarios pueden actualizar de manera rápida y sencilla lasinstancias en ejecución del producto a la nueva versión.

2

AWS Service Catalog Guía del administradorPermisos

PermisosCuando se concede a un usuario acceso a una cartera de productos, se le permite explorarla y lanzarlos productos que contiene. Puede aplicar permisos de AWS Identity and Access Management (IAM)para controlar quién puede ver y modificar el catálogo. Se pueden asignar permisos de IAM a usuarios,grupos y roles de IAM. Cuando un usuario lanza un producto con una función de IAM asignado, AWSService Catalog utiliza dicha función para lanzar los recursos en la nube del producto mediante AWSCloudFormation. Asignar una función de IAM a cada producto ayuda a evitar que se concedan permisosa los usuarios para que realicen operaciones sin aprobar; además, permite a estos últimos provisionarrecursos mediante el catálogo.

RestriccionesLas restricciones controlan cómo se pueden implementar los recursos de AWS específicos para unproducto. Puede usarlas para aplicar límites a los productos para el control de costos o de dirección.Existen diferentes tipos de restricciones de AWS Service Catalog: las restricciones de lanzamiento, lasrestricciones de notificación y las restricciones de plantilla.

Las restricciones de lanzamiento permiten especificar una función de un producto en una cartera. Estafunción se utiliza para provisionar los recursos durante el lanzamiento, de modo que pueda restringirlos permisos del usuario sin que esto afecte a la capacidad de los usuarios de provisionar productos delcatálogo.

Las restricciones de notificación permiten obtener notificaciones sobre los eventos de la pila mediante untema de Amazon SNS.

Las restricciones de plantilla restringen los parámetros de configuración que hay disponibles para elusuario al lanzar el producto (por ejemplo, los tipos de instancia EC2 o los intervalos de direcciones IP).Las restricciones de plantilla permiten reutilizar las plantillas de AWS CloudFormation genéricas paraproductos, así como aplicar restricciones a las plantillas por producto o por cartera.

Flujo de trabajo inicial del administradorEn el siguiente diagrama se muestra el flujo de trabajo inicial de un administrador para la creación de uncatálogo.

3

AWS Service Catalog Guía del administradorFlujo de trabajo inicial del usuario final

Flujo de trabajo inicial del usuario finalUtilizando el estado del flujo de trabajo del administrador como punto de partida, el siguiente diagramamuestra el flujo de trabajo inicial de un usuario final. En este ejemplo se muestran las tareas devisualización y provisionamiento de productos por parte del usuario final, a la derecha, así como las tareasdel administrador, a la izquierda. Las tareas están numeradas secuencialmente.

4

AWS Service Catalog Guía del administradorCuotas

Cuotas de servicio predeterminadas de AWSService Catalog

La cuenta de AWS incluye las siguientes cuotas predeterminadas relativas a AWS Service Catalog.

Puede utilizar AWS Service Quotas para administrar sus cuotas o solicitar un aumento de las cuotas. Paraobtener más información acerca de las cuotas de servicio, consulte ¿Qué son las cuotas de servicio? en laGuía del usuario de Service Quotas. Para solicitar un aumento de la cuota, consulte Solicitar un aumentode cuota.

Cuotas regionales

• Carteras: 100• Productos: 350

Cuotas de cartera

• Usuarios, grupos y roles por cartera: 100• Productos por cartera: 150• Etiquetas por cartera: 20• Cuentas compartidas por cartera: 5000• Valores de etiqueta por clave de etiqueta: 25

5

AWS Service Catalog Guía del administradorCuotas

Cuotas de productos

• Usuarios, grupos y roles por producto: 200• Versiones de producto por producto: 100• Etiquetas por producto: 20• Valores de etiqueta por clave de etiqueta: 25

Cuotas de productos aprovisionados

• Etiquetas por producto provisionado: 50

Cuotas de restricciones

• Restricciones por producto y cartera: 100

Cuotas de acciones del servicio

• Acciones del servicio por región: 200• Asociaciones de acciones del servicio por versión del producto: 25

Cuotas TagOption

• TagOptions por recurso: 25• Valores por TagOption: 25

6

AWS Service Catalog Guía del administradorInscripción en Amazon Web Services

Configuración para AWS ServiceCatalog

Antes de comenzar a utilizar AWS Service Catalog, realice las siguientes tareas.

Inscripción en Amazon Web ServicesPara obtener acceso a Amazon Web Services (AWS), tendrá que inscribirse en una cuenta de AWS.

Para inscribirse en una cuenta de AWS

1. Abra https://portal.aws.amazon.com/billing/signup.2. Siga las instrucciones en línea.

Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e indicar un código deverificación en el teclado del teléfono.

AWS le enviará un email de confirmación tras completar el proceso de inscripción. Puede ver la actividadde la cuenta y administrar la cuenta en cualquier momento. Para ello, vaya a https://aws.amazon.com/ yelija My Account (Mi cuenta), AWS Management Console (Consola de administración de AWS).

Concesión de permisos a los administradores y losusuarios finales

Los administradores de catálogos y los usuarios finales requieren permisos de IAM diferentes parautilizar AWS Service Catalog. Como administrador de catálogos, debe contar con permisos de IAM quele permitan obtener acceso a la consola del administrador de AWS Service Catalog, crear productos yadministrarlos. Para que los usuarios finales puedan utilizar los productos, debe concederles permisos queles permiten obtener acceso a la consola del usuario final de AWS Service Catalog, lanzar productos yadministrar los productos lanzados como productos provisionados.

AWS Service Catalog proporciona muchos de estos permisos mediante políticas administradas.AWS mantiene estas políticas y las proporciona como parte del servicio de AWS Identity and AccessManagement (IAM). Para utilizar estas políticas, debe adjuntarlas a los usuarios, grupos y funciones deIAM que usted y sus usuarios finales utilicen.

• Identity and Access Management en AWS Service Catalog (p. 22)• Concesión de permisos a los administradores de AWS Service Catalog (p. 7)• Concesión de permisos a los usuarios finales de AWS Service Catalog (p. 9)

Concesión de permisos a los administradores deAWS Service Catalog

El administrador de catálogos necesita acceso a la vista de la consola del administrador de AWS ServiceCatalog y permisos de IAM que le permitan realizar tareas como las siguientes:

7

AWS Service Catalog Guía del administradorConcesión de permisos a los administradores

• Crear y administrar carteras• Crear y administrar productos• Agregar restricciones de plantilla para controlar las opciones que los usuarios finales tienen a su

disposición cuando lanzan productos• Agregar restricciones de lanzamiento para definir las funciones de IAM que AWS Service Catalog asume

cuando los usuarios finales lanzan productos• Conceder a los usuarios finales acceso a los productos

Usted, o un administrador que administre los permisos de IAM debe adjuntar al usuario, grupo o función deIAM las políticas necesarias para llevar a cabo este tutorial.

Para conceder permisos a un administrador de catálogos

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, seleccione Users. Si ya ha creado un usuario de IAM que desea utilizar

como administrador de catálogos, elija el nombre del usuario y seleccione Add permissions. De locontrario, cree un usuario de la siguiente manera:

a. Elija Add user.b. En User name, escriba ServiceCatalogAdmin.c. Seleccione Programmatic access y AWS Management Console access.d. Elija Next: Permissions.

3. Elija Attach existing policies directly.4. Elija Create policy y haga lo siguiente:

a. Seleccione la pestaña JSON.b. Copie el siguiente ejemplo de política y péguelo en Policy Document:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateKeyPair", "iam:AddRoleToInstanceProfile", "iam:AddUserToGroup", "iam:AttachGroupPolicy", "iam:CreateAccessKey", "iam:CreateGroup", "iam:CreateInstanceProfile", "iam:CreateLoginProfile", "iam:CreateRole", "iam:CreateUser", "iam:Get*", "iam:List*", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy" ], "Resource": [ "*" ] } ]}

c. Elija Review policy.

8

AWS Service Catalog Guía del administradorConcesión de permisos a los usuarios finales

d. En Policy Name, escriba ServiceCatalogAdmin-AdditionalPermissions.e. Debe conceder permisos a los administradores para Amazon S3 de modo que puedan acceder

a las plantillas almacenadas por AWS Service Catalog en Amazon S3. Para obtener másinformación, consulte Ejemplos de políticas de usuario en la Guía para desarrolladores deAmazon Simple Storage Service.

f. Elija Create Policy.5. Volver a la ventana del navegador donde está abierta la página de permisos y elija Refresh.6. En el campo de búsqueda, escriba ServiceCatalog para filtrar la lista de políticas.7. Seleccione las casillas de las políticas AWSServiceCatalogAdminFullAccess y ServiceCatalogAdmin-

AdditionalPermissions; a continuación, elija Next: Review (Siguiente: Revisar).8. Si va a actualizar a un usuario, elija Add permissions.

Si va a crear un usuario, seleccione Create user. Puede descargar o copiar las credenciales. Acontinuación, elija Close.

9. Para iniciar sesión como administrador de catálogos, utilice la dirección URL específica de la cuenta.Para encontrar esta URL, elija Dashboard en el panel de navegación y seleccione Copy Link. Pegueel enlace en el navegador y utilizar el nombre y la contraseña del usuario de IAM que ha creado oactualizado en este procedimiento.

Concesión de permisos a los usuarios finales deAWS Service Catalog

Para que el usuario final pueda utilizar AWS Service Catalog, debe concederle acceso a la vista de laconsola del usuario final de AWS Service Catalog. Para conceder acceso, se asocian políticas al usuario,grupo o rol de IAM utilizado por el usuario final. En el siguiente procedimiento, adjuntamos la políticaAWSServiceCatalogEndUserFullAccess a un grupo de IAM. Para obtener más información, consultePolíticas administradas de AWS predefinidas (p. 23).

Para conceder permisos a un grupo de usuarios finales

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, elija Groups.3. Elija Create New Group y haga lo siguiente:

a. En Group Name, escriba Endusers y elija Next Step.b. En el campo de búsqueda, escriba AWSServiceCatalog para filtrar la lista de políticas.c. Seleccione la casilla de verificación para la política AWSServiceCatalogEndUserFullAccess

y, a continuación, elija Next Step (Paso siguiente). También tiene la opción de elegirAWSServiceCatalogEndUserReadOnlyAccess en su lugar.

d. En la página Review, elija Create Group.4. En el panel de navegación, seleccione Users.5. Elija Add user (Añadir usuario) y haga lo siguiente:

a. En User name (Nombre de usuario), escriba un nombre para el usuario.b. Seleccione AWS Management Console access.c. Elija Next: Permissions.d. Elija Add user to group.e. Seleccione la casilla del grupo Endusers y elija Next: Tags (Siguiente: Etiquetas) y, después,

Next: Review (Siguiente: Revisar).

9

AWS Service Catalog Guía del administradorConcesión de permisos a los usuarios finales

f. En la página Review, elija Create user. Descargue o copie las credenciales y, a continuación, elijaClose (Cerrar).

10

AWS Service Catalog Guía del administradorPaso 1: Descargar la plantilla

IntroducciónEn este tutorial se presentan las tareas principales que realiza un administrador de catálogos. Va a crearun producto que se basa en una plantilla de AWS CloudFormation y define los recursos de AWS que utilizael producto. El producto, Linux Desktop, es un entorno de desarrollo en la nube que se ejecuta en AmazonLinux. También va a añadir el producto a una cartera de productos y distribuirlo al usuario final. Por último,va a iniciar sesión como usuario final para probar el producto.

Antes de empezar

Realice las tareas que se describen en Configuración para AWS Service Catalog (p. 7).

Tareas• Paso 1: Descargar la plantilla de AWS CloudFormation (p. 11)• Paso 2: Cree un par de claves (p. 14)• Paso 3: Crear una cartera de AWS Service Catalog (p. 14)• Paso 4: Crear un producto de AWS Service Catalog (p. 15)• Paso 5: Agregar una restricción de plantilla para limitar el tamaño de instancia (p. 15)• Paso 6: Agregar una restricción de lanzamiento para asignar una función de IAM (p. 16)• Paso 7: Conceder acceso a la cartera a los usuarios finales (p. 17)• Paso 8: Probar la experiencia del usuario final (p. 18)

Paso 1: Descargar la plantilla de AWSCloudFormation

Para aprovisionar y configurar carteras y productos, se utilizan las plantillas de AWS CloudFormation. Setrata de archivos de texto con formato JSON– o YAML. Para obtener más información, consulte Formatosde plantilla en la Guía del usuario de AWS CloudFormation. Estas plantillas describen los recursos que sedesea provisionar. Puede utilizar el editor de AWS CloudFormation o cualquier editor de texto para crear yguardar plantillas. En este tutorial, hemos proporcionado una plantilla sencilla para comenzar. Esta plantillalanza una única instancia de Linux configurada para el acceso SSH.

Descarga de la plantillaLa plantilla de ejemplo que se proporciona para este tutorial, development-environment.template,está disponible en https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template.

Descripción general de la plantillaEl texto de la plantilla de ejemplo se muestra a continuación:

{ "AWSTemplateFormatVersion" : "2010-09-09",

"Description" : "AWS Service Catalog sample template. Creates an Amazon EC2 instance running the Amazon Linux AMI. The AMI is chosen based on the region in which the stack is run. This example creates an EC2 security group for the instance to give you SSH access. **WARNING** This template creates an Amazon EC2 instance. You will be billed for the AWS resources used if you create a stack from this template.",

11

AWS Service Catalog Guía del administradorDescripción general de la plantilla

"Parameters" : { "KeyName": { "Description" : "Name of an existing EC2 key pair for SSH access to the EC2 instance.", "Type": "AWS::EC2::KeyPair::KeyName" },

"InstanceType" : { "Description" : "EC2 instance type.", "Type" : "String", "Default" : "t2.micro", "AllowedValues" : [ "t2.micro", "t2.small", "t2.medium", "m3.medium", "m3.large", "m3.xlarge", "m3.2xlarge" ] },

"SSHLocation" : { "Description" : "The IP address range that can SSH to the EC2 instance.", "Type": "String", "MinLength": "9", "MaxLength": "18", "Default": "0.0.0.0/0", "AllowedPattern": "(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})\\.(\\d{1,3})/(\\d{1,2})", "ConstraintDescription": "Must be a valid IP CIDR range of the form x.x.x.x/x." } },

"Metadata" : { "AWS::CloudFormation::Interface" : { "ParameterGroups" : [{ "Label" : {"default": "Instance configuration"}, "Parameters" : ["InstanceType"] },{ "Label" : {"default": "Security configuration"}, "Parameters" : ["KeyName", "SSHLocation"] }], "ParameterLabels" : { "InstanceType": {"default": "Server size:"}, "KeyName": {"default": "Key pair:"}, "SSHLocation": {"default": "CIDR range:"} } } },

"Mappings" : { "AWSRegionArch2AMI" : { "us-east-1" : { "HVM64" : "ami-08842d60" }, "us-west-2" : { "HVM64" : "ami-8786c6b7" }, "us-west-1" : { "HVM64" : "ami-cfa8a18a" }, "eu-west-1" : { "HVM64" : "ami-748e2903" }, "ap-southeast-1" : { "HVM64" : "ami-d6e1c584" }, "ap-northeast-1" : { "HVM64" : "ami-35072834" }, "ap-southeast-2" : { "HVM64" : "ami-fd4724c7" }, "sa-east-1" : { "HVM64" : "ami-956cc688" }, "cn-north-1" : { "HVM64" : "ami-ac57c595" }, "eu-central-1" : { "HVM64" : "ami-b43503a9" } }

},

"Resources" : { "EC2Instance" : { "Type" : "AWS::EC2::Instance", "Properties" : { "InstanceType" : { "Ref" : "InstanceType" }, "SecurityGroups" : [ { "Ref" : "InstanceSecurityGroup" } ],

12

AWS Service Catalog Guía del administradorDescripción general de la plantilla

"KeyName" : { "Ref" : "KeyName" }, "ImageId" : { "Fn::FindInMap" : [ "AWSRegionArch2AMI", { "Ref" : "AWS::Region" }, "HVM64" ] } } },

"InstanceSecurityGroup" : { "Type" : "AWS::EC2::SecurityGroup", "Properties" : { "GroupDescription" : "Enable SSH access via port 22", "SecurityGroupIngress" : [ { "IpProtocol" : "tcp", "FromPort" : "22", "ToPort" : "22", "CidrIp" : { "Ref" : "SSHLocation"} } ] } } },

"Outputs" : { "PublicDNSName" : { "Description" : "Public DNS name of the new EC2 instance", "Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicDnsName" ] } }, "PublicIPAddress" : { "Description" : "Public IP address of the new EC2 instance", "Value" : { "Fn::GetAtt" : [ "EC2Instance", "PublicIp" ] } } }}

Recursos de la plantilla

La plantilla declara recursos que deben crearse al lanzar el producto. Consta de las secciones siguientes:

• AWSTemplateFormatVersion – la versión del formato de la plantilla de AWS que se utiliza para crearesta plantilla.

• Description – Una descripción de la plantilla.• Parameters – Los parámetros que el usuario debe especificar para lanzar el producto. Para cada

parámetro, la plantilla incluye una descripción y las restricciones que el valor escrito debe cumplir. Paraobtener más información acerca de las restricciones, consulte Uso de las restricciones AWS ServiceCatalog (p. 39).

El parámetro KeyName permite especificar el nombre del par de claves de Amazon Elastic ComputeCloud (Amazon EC2) que los usuarios finales deben proporcionar cuando utilizan AWS Service Catalogpara lanzar el producto. El par de claves se crea en el siguiente paso.

• Metadata – Una sección opcional que define detalles de la plantilla. La claveAWS::CloudFormation::Interface define cómo se muestran los parámetros en la vista de la consoladel usuario final. La propiedad ParameterGroups define cómo se agrupan los parámetros y losencabezados de esos grupos. La propiedad ParameterLabels define los nombres intuitivos de losparámetros. Cuando un usuario especifica los parámetros para lanzar un producto que se basa en estaplantilla, la vista de la consola del usuario final muestra el parámetro con la etiqueta Server size:bajo el encabezado Instance configuration y los parámetros con la etiqueta Key pair: y CIDRrange:, bajo el encabezado Security configuration.

• Mappings – Una lista de las regiones y la imagen de máquina de Amazon (AMI) que corresponde acada una. AWS Service Catalog utiliza el mapeo para determinar qué AMI utilizar según la región queselecciona el usuario en Consola de administración de AWS.

• Resources – Una instancia EC2 que ejecuta Amazon Linux y un grupo de seguridad que permiteel acceso de SSH a la instancia. La sección Properties del recurso de la instancia EC2 utiliza la

13

AWS Service Catalog Guía del administradorPaso 2: Cree un par de claves

información que el usuario escribe para configurar el tipo de instancia y un nombre de clave para elacceso SSH.

AWS CloudFormation utiliza la región actual para seleccionar el identificador de AMI entre los mapeosdefinidos anteriormente y le asigna un grupo de seguridad. El grupo de seguridad está configurado parapermitir el acceso entrante en el puerto 22 desde el rango de direcciones IP de CIDR que el usuarioespecifica.

• Outputs – Texto que indica al usuario cuándo se ha completado el lanzamiento de un producto. Laplantilla proporcionada obtiene el nombre de DNS público de la instancia lanzada y se lo muestra alusuario. El usuario necesita el nombre de DNS para conectarse a la instancia mediante SSH.

Paso 2: Cree un par de clavesPara que los usuarios finales puedan lanzar el producto que se basa en la plantilla de ejemplo de estetutorial, debe crear un par de claves de Amazon EC2. Un par de claves es una combinación de una clavepública que se utiliza para cifrar los datos y una clave privada que se utiliza para descifrarlos. Para obtenermás información acerca de pares de claves, consulte Amazon EC2 Key Pairs en la Guía del usuario deAmazon EC2 para instancias de Linux.

La plantilla de AWS CloudFormation de este tutorial, development-environment.template, incluye elparámetro KeyName:

. . . "Parameters" : { "KeyName": { "Description" : "Name of an existing EC2 key pair for SSH access to the EC2 instance.", "Type": "AWS::EC2::KeyPair::KeyName" },. . .

Los usuarios finales deben especificar el nombre de un par de claves cuando utilizan AWS Service Catalogpara lanzar el producto que se basa en la plantilla.

Si ya tiene un par de claves en la cuenta que prefiere utilizar, puede ir directamente a Paso 3: Crear unacartera de AWS Service Catalog (p. 14). De lo contrario, lleve a cabo todos los pasos que figuran acontinuación.

Para crear un par de claves

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en Network & Security, seleccione Key Pairs.3. En la página Key Pairs, elija Create Key Pair.4. En Key pair name, escriba un nombre que sea fácil de recordar y, a continuación, seleccione Create.5. Cuando la consola le pida que guarde el archivo de clave privada, guárdelo en un lugar seguro.

Important

Esta es la única oportunidad para guardar el archivo de clave privada.

Paso 3: Crear una cartera de AWS Service CatalogPara proporcionar productos a los usuarios, comience por crear una cartera para ellos.

14

AWS Service Catalog Guía del administradorPaso 4: Crear un producto

Para crear una cartera

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Si utiliza la consola del administrador de AWS Service Catalog por primera vez, elija Get started con el

fin de iniciar el asistente para configurar una cartera. En caso contrario, elija Create portfolio.3. Escriba los siguientes valores:

• Nombre de la cartera – Engineering Tools• Descripción – Sample portfolio that contains a single product.• Propietario – IT (it@example.com)

4. Seleccione Create.

Paso 4: Crear un producto de AWS Service CatalogDespués de crear una cartera, puede agregarle un producto. En este tutorial, creará un productodenominado Linux Desktop, un entorno de desarrollo en la nube que se ejecuta en Amazon Linux.

Para crear un producto

1. Si acaba de completar el paso anterior, la página Portfolios ya está abierta. De lo contrario, abrahttps://console.aws.amazon.com/servicecatalog/.

2. Elija el nombre Engineering Tools para abrir la página de detalles de la cartera y, a continuación, elijaUpload new product.

3. En la página Enter product details, escriba lo siguiente y, a continuación, elija Next:

• Product name (Nombre de producto) – Linux Desktop• Description (Descripción) – Cloud development environment configured forengineering staff. Runs AWS Linux.

• Provided by (Proporcionado por) – IT• Vendor (Proveedor) – (déjelo en blanco)

4. En la página Escriba los detalles de soporte, escriba lo siguiente y, a continuación, elija Next:

• Email contact (Contacto para correo electrónico) – ITSupport@example.com• Support link (Enlace de soporte) – https://wiki.example.com/IT/support• Support description (Descripción de soporte) – Contact the IT department for issuesdeploying or connecting to this product.

5. En la página Version details, elija Specify an Amazon S3 template URL, escriba lo siguiente y, acontinuación, elija Next:

• Select template (Seleccionar plantilla) – https://awsdocs.s3.amazonaws.com/servicecatalog/development-environment.template

• Version title (Título de versión) – v1.0• Description (Descripción) – Base Version

6. En la página Review, elija Create.

Paso 5: Agregar una restricción de plantilla paralimitar el tamaño de instancia

Las restricciones suponen una capa de control adicional de los productos para toda la cartera. Lasrestricciones permiten controlar el contexto de lanzamiento de un producto (restricciones de lanzamiento)

15

AWS Service Catalog Guía del administradorPaso 6: Agregar una restricción de lanzamiento

o agregar reglas a la plantilla de AWS CloudFormation (restricciones de plantilla). Para obtener másinformación, consulte Uso de las restricciones AWS Service Catalog (p. 39).

Ahora, vamos a agregar una restricción de plantilla al producto Linux Desktop que impedirá que losusuarios seleccionen los tipos de instancias grandes en el momento del lanzamiento. La plantilla delentorno de desarrollo permite al usuario elegir entre seis tipos de instancias. Esta restricción limita los tiposde instancias válidos a los dos tipos menores: t2.micro y t2.small. Para obtener más información,consulte Instancias T2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

Para agregar una restricción de plantilla al producto Linux Desktop

1. En la página de detalles de la cartera, expanda la sección Constraints y elija Add constraints.2. En la ventana Select product and type, para Product, elija Linux Desktop (Escritorio Linux). A

continuación, para Constraint type, elija Template (Plantilla).3. Elija Continue.4. En Description (Descripción), escriba Small instance sizes.5. Pegue lo siguiente en el cuadro de texto Template constraint:

{ "Rules": { "Rule1": { "Assertions": [ { "Assert" : {"Fn::Contains": [["t2.micro", "t2.small"], {"Ref": "InstanceType"}]}, "AssertDescription": "Instance type should be t2.micro or t2.small" } ] } }}

6. Elija Submit.

Paso 6: Agregar una restricción de lanzamientopara asignar una función de IAM

Una restricción de lanzamiento designa una función de IAM que AWS Service Catalog asume cuando unusuario final lanza un producto. En este paso, agregaremos una restricción de lanzamiento al productoLinux Desktop para que AWS Service Catalog pueda utilizar los recursos de AWS que forman parte de laplantilla de AWS CloudFormation del producto. Esta restricción de lanzamiento permitirá que el usuariofinal lance el producto y, después de lanzarlo, lo administre como producto provisionado. Para obtener másinformación, consulte Restricciones de lanzamiento AWS Service Catalog (p. 40).

Sin una restricción de lanzamiento, sería preciso conceder permisos de IAM adicionales a losusuarios finales para que pudieran utilizar el producto Linux Desktop. Por ejemplo, la políticaServiceCatalogEndUserAccess concede los permisos mínimos de IAM que se necesitan para teneracceso a la vista de la consola del usuario final de AWS Service Catalog. El uso de una restricción delanzamiento permite conservar los permisos de IAM de los usuarios finales en el mínimo, que es la prácticarecomendada de IAM. Para obtener más información, consulte la sección Otorgar privilegios mínimos en laGuía del usuario de IAM.

Para agregar una restricción de lanzamiento

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

16

AWS Service Catalog Guía del administradorPaso 7: Conceder acceso a la cartera a los usuarios finales

2. En el panel de navegación, seleccione Policies. Elija Create policy y haga lo siguiente:

a. En la página Create Policy (Crear política), elija la pestaña JSON.b. Copie la siguiente política de ejemplo y péguela en Policy Document (Documento de política),

reemplazando el marcador JSON en el campo de texto:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "s3:GetObject", "servicecatalog:*", "sns:*" ], "Resource": "*" } ]}

c. Elija Review policy.d. En Policy Name, escriba linuxDesktopPolicy.e. Elija Create Policy.

3. Seleccione Roles en el panel de navegación. Elija Create role y haga lo siguiente:

a. En Select role type, elija AWS service y, a continuación, seleccione Service Catalog. Seleccione elcaso de uso Service Catalog y, a continuación, elija Next: Permissions.

b. Busque la política linuxDesktopPolicy y seleccione la casilla correspondiente.c. Elija Next: Tags (Siguiente: Etiquetas) y, a continuación, Next: Review (Siguiente: Revisar).d. En Role name (Nombre del rol), escriba linuxDesktopLaunchRole.e. Elija Create role.

4. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.5. Elija la cartera All engineering tools (Todas las herramientas de diseño).6. En la página de detalles de la cartera, elija la pestaña Constraints (Restricciones) y, a continuación,

elija Create constraint (Crear restricción).7. En Product, elija Linux Desktop y para Constraint type, seleccione Launch. Elija Continue.8. En la página Launch constraint, elija Search IAM roles (Buscar roles de IAM), linuxDesktopLaunchRole

y, a continuación, Submit.

Paso 7: Conceder acceso a la cartera a losusuarios finales

Ahora que ha creado una cartera de productos y ha agregado un producto, puede conceder acceso a losusuarios finales.

17

AWS Service Catalog Guía del administradorPaso 8: Probar la experiencia del usuario final

Requisitos previos

Si no ha creado un grupo de IAM para los usuarios finales, consulte Concesión de permisos a los usuariosfinales de AWS Service Catalog (p. 9).

Para proporcionar acceso a la cartera

1. En la página de detalles de la cartera, elija la pestaña Groups, roles, and users (Grupos, roles yusuarios).

2. Elija Add groups, roles, users (Agregar grupos, roles y usuarios).3. En la pestaña Groups, seleccione la casilla correspondiente al grupo de IAM de los usuarios finales.4. Elija Add Access.

Paso 8: Probar la experiencia del usuario finalPara comprobar que el usuario final puede obtener acceso correctamente a la vista de la consola delusuario final y lanzar el producto, inicie sesión en AWS como ese usuario final y lleve a cabo las siguientestareas.

Para comprobar que el usuario final puede obtener acceso a la consola del usuario final

1. Para iniciar sesión como el usuario de IAM, utilice la dirección URL específica de la cuenta. Paraencontrar esta dirección URL, abra la consola de IAM, elija Dashboard en el panel de navegación yseleccione Copy Link. Pegue el enlace en el navegador y utilice el nombre y la contraseña del usuariode IAM

2. En la barra de menús, seleccione la región en la que ha creado la cartera Engineering Tools.3. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/ y

seleccione Service Catalog (Catálogo de servicios), Dashboard (Panel) para ver lo siguiente:

• Products – Los productos que el usuario puede utilizar.• Provisioned products – Los productos provisionados que el usuario ha lanzado.

Para comprobar que el usuario final puede lanzar el producto Linux Desktop

1. En la sección Products de la consola, seleccione Linux Desktop.2. Elija Launch product con el fin de iniciar el asistente para configurar el producto.3. En la página Product version, para Name, escriba Linux-Desktop.4. En la tabla Version, elija v1.0.5. Elija Next.6. En la página Parameters, escriba lo siguiente y, a continuación, elija Next:

• Server size – Elija t2.micro.• Key pair – Seleccione el par de claves que creó en Paso 2: Cree un par de claves (p. 14).• CIDR range – Escriba un intervalo de CIDR válido para la dirección IP desde la que se conectará a

la instancia. Puede ser el valor predeterminado (0.0.0.0/0) para permitir el acceso desde cualquierdirección IP, su dirección IP seguida de /32 para restringir el acceso a su dirección IP únicamente ouna opción intermedia.

7. En la página Review, revise la información que ha escrito y, a continuación, elija Launch para lanzarla pila. La consola muestra la página de detalles de la pila de Linux-Desktop. El estado inicial delproducto es Launching. AWS Service Catalog tarda varios minutos en lanzar el producto. Para ver elestado actual, actualice el navegador. Una vez que el producto se ha lanzado, el estado es disponible.

18

AWS Service Catalog Guía del administradorRequisitos previos

Biblioteca de introducciónAWS Service Catalog proporciona una biblioteca de introducción de plantillas de productos de Well-Architected para que pueda comenzar rápidamente. Puede copiar cualquiera de los productos de lascarteras de nuestra biblioteca de introducción en su cuenta y, a continuación, personalizarlo para que seadapte a sus necesidades.

Temas• Requisitos previos (p. 19)• Arquitecturas de referencia (p. 19)• Arquitecturas de alta fiabilidad (p. 20)• Más información (p. 20)

Requisitos previosAntes de utilizar las plantillas de nuestra biblioteca de introducción, asegúrese de contar con lo siguiente:

• Los permisos necesarios para utilizar las plantillas de AWS CloudFormation. Para obtener másinformación, consulte Control del acceso con AWS Identity and Access Management.

• Los permisos de administrador necesarios para administrar AWS Service Catalog. Para obtener másinformación, consulte the section called “Identity and Access Management” (p. 22).

Arquitecturas de referenciaNuestra cartera de arquitecturas de referencia es un repositorio general disponible para todos losadministradores de AWS Service Catalog. Contiene plantillas de prácticas recomendadas de Well-Architected para servicios de AWS comunes, que incluyen:

• Informática: con Amazon EC2• Almacenamiento: con Amazon S3• Redes: con Amazon VPC• Base de datos: con Amazon RDS

Para ver la cartera de arquitecturas de referencia en la consola del administrador

1. En la consola de AWS Service Catalog, elija Portfolios (Carteras).2. En la página Portfolios (Carteras), elija la pestaña Getting Started library (Biblioteca de introducción).3. Elija la cartera Reference Architectures (Arquitecturas de referencia).4. Puede navegar por la lista de plantillas de productos disponibles, copiarlas en su propia cartera y

personalizarlas.

Puede ver el repositorio de arquitecturas de referencia de AWS Service Catalog en GitHub aquí: Plantillasde AWS CloudFormation de ejemplo y arquitectura para AWS Service Catalog.

19

AWS Service Catalog Guía del administradorArquitecturas de alta fiabilidad

Arquitecturas de alta fiabilidadNuestra cartera High Reliability Architectures (Arquitecturas de alta fiabilidad) es un repositorio de planosmultirregión de Well-Architected. Cada plano ofrece instrucciones de implementación prescriptivas para losservicios de AWS que se utilizan con frecuencia para crear cargas de trabajo para varias regiones. Entrelos ejemplos, se incluyen patrones para administrar cambios en la infraestructura y copias de seguridad yrecuperación del almacenamiento de datos para los datos de objetos, clave-valor e identidad de usuariosde varias regiones.

Más información• Para obtener más información acerca del marco de Well-Architected, consulte AWS Well-Architected.

20

AWS Service Catalog Guía del administradorProtección de los datos

Seguridad en AWS Service CatalogLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Losauditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte delos Programas de conformidad de AWS . Para obtener información sobre los programas de cumplimientoque se aplican a AWS Service Catalog, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartidacuando se utiliza AWS Service Catalog. En los siguientes temas, se le mostrará cómo configurar AWSService Catalog para satisfacer sus objetivos de seguridad y conformidad. También se le presentarán otrosservicios de AWS que le ayudan a supervisar y proteger sus recursos de AWS Service Catalog.

Temas• Protección de los datos en AWS Service Catalog (p. 21)• Identity and Access Management en AWS Service Catalog (p. 22)• Registro y monitorización en AWS Service Catalog (p. 28)• Validación de la conformidad en AWS Service Catalog (p. 28)• Resiliencia en AWS Service Catalog (p. 29)• Seguridad de la infraestructura en AWS Service Catalog (p. 30)• Prácticas recomendadas de seguridad para AWS Service Catalog (p. 30)

Protección de los datos en AWS Service CatalogAWS Service Catalog cumple los requisitos del modelo de responsabilidad compartida de AWS, queincluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger lainfraestructura global que ejecuta todos los servicios de AWS. AWS mantiene el control de los datosalojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamientodel contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúancomo controladores o procesadores de datos, son responsables de todos los datos personales quecolocan en la nube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo quea cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. Tambiénle recomendamos proteger sus datos de las siguientes formas:

• Utilice la autenticación multifactor (MFA) con cada cuenta.• Utilice SSL/TLS para comunicarse con los recursos de AWS.

21

AWS Service Catalog Guía del administradorProtección de los datos con el cifrado

• Configure la API y el registro de actividad del usuario con AWS CloudTrail.• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados

dentro de los servicios de AWS.• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie, que

ayudan a detectar y proteger los datos personales almacenados en Amazon S3.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campoName (Nombre). No debe especificar esta información cuando trabaje con AWS Service Catalog uotros servicios de AWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cuandoproporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validarla solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

Protección de los datos con el cifradoCifrado en reposoAWS Service Catalog utiliza buckets de Amazon S3 y bases de datos de Amazon DynamoDB que secifran en reposo mediante claves administradas por Amazon. Para obtener más información, consulte lainformación sobre cifrado en reposo proporcionada por Amazon S3 y Amazon DynamoDB.

Cifrado en tránsitoAWS Service Catalog utiliza el protocolo Transport Layer Security (TLS) y el cifrado del lado del cliente dela información en tránsito entre el intermediario y AWS.

Puede obtener acceso de forma privada a las API de AWS Service Catalog desde su Amazon VirtualPrivate Cloud (Amazon VPC) si crea puntos de enlace de VPC. Con los puntos de enlace de VPC, elenrutamiento entre la VPC y AWS Service Catalog se controla mediante la red de AWS sin la necesidad deutilizar una gateway de Internet, una gateway de NAT ni una conexión de VPN.

La última generación de puntos de enlace de VPC que usa AWS Service Catalog cuentan con latecnología de AWS PrivateLink, una tecnología de AWS que permite la conectividad privada entre losservicios de AWS al usar las interfaces de red elástica (ENI) con sus IP privadas en sus VPC.

Identity and Access Management en AWS ServiceCatalog

El acceso a AWS Service Catalog requiere credenciales. Estas credenciales deben tener permiso paraobtener acceso a los recursos de AWS, como una cartera o un producto de AWS Service Catalog. AWSService Catalog se integra con AWS Identity and Access Management (IAM) para permitirle conceder a losadministradores de AWS Service Catalog los permisos que necesitan para crear y administrar productos,y para conceder a los usuarios finales de AWS Service Catalog los permisos que necesitan para lanzarproductos y administrar productos aprovisionados. AWS crea y administra estas políticas, o bien seencargan de ello individualmente los administradores y los usuarios finales. Para controlar el acceso, seadjuntan las políticas a los usuarios, grupos y funciones de IAM que se utilizan con AWS Service Catalog.

Temas• Público (p. 23)• Control del acceso (p. 23)

22

AWS Service Catalog Guía del administradorPúblico

• Políticas administradas de AWS predefinidas (p. 23)• Acceso a la consola para los usuarios finales (p. 25)• Acceso a los productos para los usuarios finales (p. 25)• Ejemplos de políticas para administrar productos provisionados (p. 25)

PúblicoLos permisos que tiene a través de AWS Identity and Access Management (IAM) pueden depender del rolque desempeñe en AWS Service Catalog.

Administrator (Administrador): como administrador de AWS Service Catalog, necesita acceso totala la consola de administrador y permisos de IAM que le permitan realizar tareas como creación yadministración de carteras y productos, administración de restricciones y concesión de acceso a losusuarios finales.

End user (Usuario final): para que los usuarios finales puedan utilizar sus productos, debe concederlespermisos que les den acceso a la consola de usuario final de AWS Service Catalog. También pueden tenerpermiso para lanzar productos y administrar productos aprovisionados.

IAM administrator (Administrador de IAM): si es un administrador de IAM, es posible que quiera conocerinformación sobre cómo escribir políticas para administrar el acceso a AWS Service Catalog. Para verejemplos de políticas basadas en la identidad de AWS Service Catalog que puede utilizar en IAM, consultethe section called “Políticas administradas de AWS predefinidas” (p. 23).

Control del accesoUna cartera de AWS Service Catalog ofrece a sus administradores un nivel de control de acceso parasus grupos de usuarios finales. Cuando añada usuarios a una cartera de productos, ellos mismos podránexplorar y lanzar cualquiera de los productos de la cartera. Para obtener más información, consulte thesection called “Administración de carteras” (p. 31).

RestriccionesLas restricciones controlan qué reglas se aplican a los usuarios finales al lanzar un producto de unacartera específica. Úselas para aplicar límites a los productos para el control de costos o de dirección.Para obtener más información acerca de las restricciones, consulte the section called “Uso de lasrestricciones” (p. 39).

Las restricciones de lanzamiento de AWS Service Catalog le dan más control sobre los permisos quenecesita un usuario final. Cuando su administrador crea una restricción de lanzamiento para un productode una cartera, la restricción de lanzamiento asocia un ARN de rol que se utiliza cuando sus usuariosfinales lanzan el producto desde esa cartera. Con este patrón, puede controlar el acceso a la creaciónde recursos de AWS. Para obtener más información, consulte the section called “Restricciones delanzamiento” (p. 40).

Políticas administradas de AWS predefinidasLas políticas administradas creadas por AWS conceden los permisos necesarios para casos de usocomunes. Puede asociar estas políticas a sus usuarios y roles de IAM. Para obtener más información,consulte Políticas administradas por AWS en la Guía del usuario de IAM.

A continuación se enumeran las políticas administradas de AWS para AWS Service Catalog:

Administradores• AWSServiceCatalogAdminFullAccess — concede acceso completo a la vista de la consola del

administrador, así como permiso para crear y administrar productos y carteras.

23

AWS Service Catalog Guía del administradorPolíticas administradas de AWS predefinidas

• AWSServiceCatalogAdminReadOnlyAccess: concede acceso completo a la vista de la consola deladministrador. No concede acceso para crear ni administrar productos y carteras.

Usuarios finales• AWSServiceCatalogEndUserFullAccess: — concede acceso completo a la vista de la consola del

usuario final. Concede permiso para lanzar productos y administrar productos provisionados.• AWSServiceCatalogEndUserReadOnlyAccess: concede acceso de solo lectura a la vista de la

consola del usuario final. No concede Permiso para lanzar productos ni administrar productosprovisionados.

Para adjuntar una política a un usuario de IAM

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, seleccione Users.3. Elija el nombre (no la casilla) del usuario de IAM.4. En la pestaña Permissions (Permisos), seleccione Add permissions (Añadir permisos).5. En la página Add permissions (Añadir permisos), elija Attach existing policies directly (Adjuntar

políticas existentes directamente).6. Seleccione la casilla que se encuentra junto a la política administrada para AWS Service Catalog y

después elija Next: Review (Siguiente: Revisar).7. En la página Permissions summary (Resumen de permisos), elija Add permissions (Añadir permisos).8. (Opcional) Debe conceder a los administradores permisos adicionales para Amazon S3 si necesitan

utilizar una plantilla privada de CloudFormation. Para obtener más información, consulte Ejemplos depolíticas de usuario en la Guía para desarrolladores de Amazon Simple Storage Service.

Políticas obsoletasLas siguientes políticas administradas han quedado obsoletas:

• ServiceCatalogAdminFullAccess — utilice AWSServiceCatalogAdminFullAccess en su lugar.• ServiceCatalogAdminReadOnlyAccess: use AWSServiceCatalogAdminReadOnlyAccess en su lugar.• ServiceCatalogEndUserFullAccess — utilice AWSServiceCatalogEndUserFullAccess en su lugar.• ServiceCatalogEndUserAccess: use AWSServiceCatalogEndUserReadOnlyAccess en su lugar.

Utilice el siguiente procedimiento para asegurarse de que se usan las políticas actuales para concederpermisos a los administradores y los usuarios finales.

Para migrar desde las políticas obsoletas a las políticas actuales

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, seleccione Policies.3. En el campo de búsqueda, escriba ServiceCatalog para filtrar la lista de políticas. Elija el nombre

(no la casilla) de ServiceCatalogAdminFullAccess.4. Para cada entidad asociada (usuario, grupo o rol), haga lo siguiente:

a. Abra la página de resumen de la entidad.b. Añadir una de las políticas actuales, tal y como se describe en el procedimiento Para adjuntar una

política a un usuario de IAM (p. 24).c. En la pestaña Permissions (Permisos), junto a ServiceCatalogAdminFullAccess, elija Detach

Policy (Desasociar política). Cuando se le indique que confirme, elija Detach (Desasociar).5. Repita el proceso para ServiceCatalogEndUserFullAccess.

24

AWS Service Catalog Guía del administradorAcceso a la consola para los usuarios finales

Acceso a la consola para los usuarios finalesLas políticas AWSServiceCatalogEndUserFullAccess y AWSServiceCatalogEndUserReadOnlyAccessconceden acceso a la vista de consola de usuario final de AWS Service Catalog. Cuando un usuario quetiene cualquiera de estas políticas elige AWS Service Catalog en la Consola de administración de AWS, lavista de consola de usuario final muestra los productos que tiene permiso para lanzar.

Para que los usuarios finales puedan lanzar correctamente un producto desde AWS Service Catalog alcual se les concede acceso, debe proporcionarles permisos de IAM adicionales que les permitan utilizartodos y cada uno de los recursos subyacentes de AWS de la plantilla de AWS CloudFormation de unproducto. Por ejemplo, si una plantilla de producto incluye Amazon Relational Database Service (AmazonRDS), debe conceder a los usuarios permisos de Amazon RDS para lanzar el producto.

Para obtener información sobre cómo permitir a los usuarios finales lanzar productos al mismo tiempo quese aplican los permisos de acceso mínimo a los recursos de AWS, consulte the section called “Uso de lasrestricciones” (p. 39).

Si aplica la política AWSServiceCatalogEndUserReadOnlyAccess, los usuarios tendrán acceso ala consola del usuario final, pero no contarán con los permisos necesarios para lanzar productos yadministrar productos provisionados. Puede conceder estos permisos directamente a un usuario finalmediante IAM, pero si desea limitar el que los usuarios finales tienen a los recursos de AWS, debe adjuntarla política a una función de lanzamiento. A continuación, se utiliza AWS Service Catalog para aplicar lafunción de lanzamiento a una restricción de lanzamiento del producto. Para obtener más información sobrela aplicación de funciones de lanzamiento, las limitaciones de estas últimas y un ejemplo de función delanzamiento, consulte Restricciones de lanzamiento AWS Service Catalog (p. 40).

Note

Si concede a los usuarios los permisos de IAM que están destinados a los administradores deAWS Service Catalog, se abrirá la vista de la consola del administrador en lugar de la del usuario.No conceda a los usuarios finales estos permisos a menos que desee que tengan acceso a lavista de la consola del administrador.

Acceso a los productos para los usuarios finalesPara que los usuarios finales puedan utilizar un producto al cual se les concede acceso, debeproporcionarles permisos de IAM adicionales que les permitan utilizar todos y cada uno de los recursossubyacentes de AWS de la plantilla de AWS CloudFormation de un producto. Por ejemplo, si una plantillade producto incluye Amazon Relational Database Service (Amazon RDS), debe conceder a los usuariospermisos de Amazon RDS para lanzar el producto.

Si aplica la política ServiceCatalogEndUserAccess, los usuarios tendrán acceso a la vista de la consola delusuario final, pero no contarán con los permisos necesarios para lanzar productos y administrar productosaprovisionados. Puede conceder estos permisos directamente a un usuario final en IAM, pero si desealimitar el que los usuarios finales tienen a los recursos de AWS, debe adjuntar la política a una función delanzamiento. A continuación, se utiliza AWS Service Catalog para aplicar la función de lanzamiento a unarestricción de lanzamiento del producto. Para obtener más información sobre la aplicación de funcionesde lanzamiento, las limitaciones de estas últimas y un ejemplo de función de lanzamiento, consulteRestricciones de lanzamiento AWS Service Catalog (p. 40).

Ejemplos de políticas para administrar productosprovisionadosPuede crear políticas personalizadas para ayudar a satisfacer los requisitos de seguridad de suorganización. En los ejemplos siguientes se describe cómo personalizar el nivel de acceso a cada acciónpara los usuarios, roles y cuentas. Puede conceder acceso a los usuarios para consultar, actualizar,

25

AWS Service Catalog Guía del administradorEjemplos de políticas

terminar y administrar solamente los productos provisionados que ha creado ese usuario o que otros hancreado con su rol o desde la cuenta en la que han iniciado sesión. Este acceso es jerárquico — es decir, laconcesión de acceso en el nivel de cuenta también concede acceso en los niveles de función y de usuario,mientras que agregar el acceso en el nivel de función también concede acceso en el nivel de usuario, perono en el nivel de cuenta. Puede especificarlos en el JSON de la política mediante un bloque Conditioncomo accountLevel, roleLevel o userLevel.

Estos ejemplos también se aplican a los niveles de acceso para las operaciones de escritura de la APIde AWS Service Catalog UpdateProvisionedProduct y TerminateProvisionedProduct, y lasoperaciones de lectura DescribeRecord, ScanProvisionedProducts y ListRecordHistory.Las operaciones ScanProvisionedProducts y ListRecordHistory de la API utilizanAccessLevelFilterKey como entrada y los valores de esa clave se corresponden con losniveles del bloque Condition que abordamos aquí (accountLevel equivale al valor "Account" deAccessLevelFilterKey, roleLevel al valor "Role" y userLevel al valor "User"). Para obtener másinformación, consulte Guía para desarrolladores de AWS Service Catalog.

Ejemplos• Ejemplo: Acceso completo de administrador a los productos provisionados (p. 26)• Ejemplo: Acceso de usuario final a los productos provisionados (p. 27)• Ejemplo: Acceso parcial de administrador a los productos provisionados (p. 27)

Ejemplo: Acceso completo de administrador a los productosprovisionadosLa siguiente política permite acceso pleno de lectura y escritura a los productos provisionados y a losregistros del catálogo en el nivel de cuenta.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ]}

Esta política equivale funcionalmente a la siguiente política:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ]

26

AWS Service Catalog Guía del administradorEjemplos de políticas

}

Es decir, el hecho de no especificar un bloque Condition en cualquier política de AWS Service Catalogse trata igual que si se especifica el acceso "servicecatalog:accountLevel". Tenga en cuenta queel acceso accountLevel incluye los accesos roleLevel y userLevel.

Ejemplo: Acceso de usuario final a los productos provisionadosLa siguiente política restringe el acceso a las operaciones de lectura y escritura exclusivamente a losproductos provisionados y a los registros asociados creados por el usuario actual.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }

Ejemplo: Acceso parcial de administrador a los productosprovisionadosLas dos políticas que aparecen a continuación, si se aplican al mismo usuario, permiten lo que podríamosdenominar un tipo de acceso de administrador "parcial", pues proporcionan acceso pleno de solo lectura yacceso de escritura limitado. Esto significa que el usuario puede consultar cualquier producto provisionadoo registro asociado en la cuenta del catálogo, pero no puede realizar ninguna acción en ningún productoprovisionado ni registro que no sean de su propiedad.

La primera política permite al usuario obtener acceso a las operaciones de escritura en los productosprovisionados que el propio usuario actual ha creado, pero no a los que han creado otros usuarios. Lasegunda política agrega acceso pleno a las operaciones de lectura en los productos provisionados creadospor todos (usuario, función o cuenta).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [

27

AWS Service Catalog Guía del administradorRegistro y monitorización

"servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }

Registro y monitorización en AWS Service CatalogAWS Service Catalog está integrado con AWS CloudTrail, un servicio que captura todas las llamadas a laAPI de AWS Service Catalog y envía los archivos de registro a un bucket de Amazon S3 de su elección.Para obtener más información, consulte Registrar las llamadas a la API de AWS Service Catalog conCloudTrail.

También puede utilizar restricciones de notificación para configurar notificaciones de Amazon SNSsobre eventos de pila. Para obtener más información, consulte the section called “Restricciones denotificación” (p. 42).

Validación de la conformidad en AWS ServiceCatalog

Los auditores externos evalúan la seguridad y la conformidad de AWS Service Catalog como parte demúltiples programas de conformidad de AWS, incluidos los siguientes:

28

AWS Service Catalog Guía del administradorResiliencia

• Controles del Sistema y Organizaciones (System and Organization Controls, SOC)• Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS, Payment Card Industry

Data Security Standard) versión 3.2• Programa Federal de Administración de Riesgos y Autorizaciones (Federal Risk and Authorization

Management Program, FedRAMP)• Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU (Health Insurance Portability and

Accountability Act, HIPAA).

Para obtener una lista de servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

Su responsabilidad de conformidad al utilizar AWS Service Catalog se determina en función de laconfidencialidad de los datos, los objetivos de conformidad de su empresa y la legislación, así como losreglamentos correspondientes. AWS proporciona los siguientes recursos para ayudarle a cumplir lasnormativas:

• Guías de inicio rápido de seguridad y conformidad– estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA– este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• AWS Config: este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplenlas prácticas internas, las directrices del sector y las normativas.

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.

Resiliencia en AWS Service CatalogLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Laszonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que lasinfraestructuras tradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Además de la infraestructura global de AWS, AWS Service Catalog ofrece acciones de autoservicio deAWS Service Catalog. Con las acciones de autoservicio, los clientes pueden reducir el mantenimientoadministrativo y la formación técnica de los usuarios finales a la vez que se cumplen las medidas deconformidad y seguridad. Con las acciones de autoservicio, como administrador, puede permitir a losusuarios finales que realicen tareas operativas (como copia de seguridad y restauración), solucionenproblemas, ejecuten comandos aprobados y soliciten permisos en AWS Service Catalog. Para obtenermás información, consulte the section called “Uso de acciones de servicio” (p. 53).

29

AWS Service Catalog Guía del administradorSeguridad de la infraestructura

Seguridad de la infraestructura en AWS ServiceCatalog

Al tratarse de un servicio administrado, AWS Service Catalog está protegido por los procedimientos deseguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:Información general sobre procesos de seguridad.

Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS Service Catalog através de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versiónposterior. Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatiblescon conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman(DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos comoJava 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Con AWS Service Catalog, puede controlar las regiones en las que se almacenan los datos. Las carterasy los productos solo están disponibles en las regiones en las que haya decidido incluirlos. Puede utilizar laAPI CopyProduct para copiar un producto a otra región.

Prácticas recomendadas de seguridad para AWSService Catalog

AWS Service Catalog cuenta con una serie de características de seguridad que debe tener en cuentaa la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticasrecomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que esposible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelascomo consideraciones útiles en lugar de como normas.

Puede definir reglas para limitar los valores de los parámetros que un usuario especifica cuando lanza unproducto. Estas reglas se llaman restricciones de plantilla porque restringen el modo en que se implementala plantilla de AWS CloudFormation del producto. Utilice un editor simple para crear estas restricciones,que puede aplicar a cada uno de los productos.

AWS Service Catalog aplica restricciones cuando se suministra un nuevo producto o se actualiza uno queya está en uso. De todas las restricciones aplicadas en el producto y la cartera de productos se aplicasiempre la más restrictiva. Por ejemplo, pensemos en una situación en la que el producto permita quese lancen todas las instancias Amazon EC2 y la cartera de productos tenga dos restricciones: una quepermita que se lancen todas las instancias EC2 que no sean de tipo GPU y otra que permita que se lancensolo las instancias EC2 t1.micro y m1.small. En este caso, AWS Service Catalog aplicará la segunda(t1.micro y m1.small), al ser más restrictiva.

Limite el acceso de los usuarios finales a los recursos de AWS adjuntando una política de IAM a un rol delanzamiento. A continuación, utilice AWS Service Catalog para crear una restricción de lanzamiento parautilizar el rol al lanzar el producto.

30

AWS Service Catalog Guía del administradorAdministración de carteras

Administración de catálogosAWS Service Catalog proporciona una interfaz para administrar carteras, productos y restricciones desdela consola del administrador.

Note

Para realizar cualquiera de las tareas de esta sección, debe tener permisos de administrador paraAWS Service Catalog. Para obtener más información, consulte Identity and Access Managementen AWS Service Catalog (p. 22).

Tareas• Administración de carteras (p. 31)• Administración de productos (p. 35)• Uso de las restricciones AWS Service Catalog (p. 39)• Acciones de servicio de AWS Service Catalog (p. 53)• Adición de productos de AWS Marketplace a la cartera (p. 57)• Uso compartido de carteras (p. 62)• Uso de AWS CloudFormation StackSets (p. 64)• Administración de presupuestos (p. 65)

Administración de carterasPuede crear, ver y actualizar carteras en la página Portfolios de la consola del administrador de AWSService Catalog.

Tareas• Creación, visualización y eliminación de carteras (p. 31)• Ver los detalles de la cartera (p. 32)• Crear y eliminar carteras (p. 32)• Adición de productos (p. 32)• Adición de restricciones (p. 34)• Conceder acceso a los usuarios (p. 35)

Creación, visualización y eliminación de carterasLa página Portfolios muestra una lista de carteras que se han creado en la región actual. Esta página seutiliza para crear nuevas carteras, ver los detalles de una de ellas o eliminarlas de la cuenta.

Para ver la página Portfolios

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Seleccione otra región según sea necesario.3. Si es la primera vez que utiliza AWS Service Catalog, aparecerá una página de inicio de AWS Service

Catalog. Elija Get started para crear una cartera. Siga las instrucciones para crear la primera cartera y,a continuación, continúe a la página Portfolios.

31

AWS Service Catalog Guía del administradorVer los detalles de la cartera

Cuando utilice AWS Service Catalog, puede volver a la página Portfolios en cualquier momento; elijaService Catalog en la barra de navegación y, a continuación, elija Portfolios.

Ver los detalles de la carteraEn la consola del administrador de AWS Service Catalog, la página Portfolio details (Detalles de la cartera)muestra la configuración de una cartera. Utilice esta página para administrar los productos de la cartera,conceder a los usuarios acceso a los productos y aplicar TagOptions y restricciones.

Para ver la página Portfolio details

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija la cartera que desea administrar.

Crear y eliminar carterasUtilice la página Portfolios para crear y eliminar carteras. Al eliminar una cartera, esta se elimina de lacuenta. Para poder eliminar una cartera, debe eliminar todos los productos, las restricciones y los usuariosque contiene.

Para crear una nueva cartera

1. Vaya a la página Portfolios.2. Elija Create portfolio.3. En la página Create portfolio, especifique la información solicitada.4. Elija Create. AWS Service Catalog crea la cartera y muestra los detalles de esta última.

Para eliminar una cartera

1. Vaya a la página Portfolios.2. Seleccione la cartera haciendo clic en el botón de opción correspondiente o en cualquier parte de la

lista excepto en el título de la cartera.3. Elija Delete portfolio.4. Elija Continue.

Adición de productosPara agregar productos a una cartera, se crea un nuevo producto o se le agrega uno existente desde elcatálogo.

Note

La plantilla de AWS CloudFormation que se carga al crear un producto de AWS Service Catalogse almacena en un bucket de Amazon Simple Storage Service (Amazon S3) que comienza porcf-templates- en la cuenta de AWS. No elimine estos archivos a menos que esté seguro deque ya no están en uso.

Adición de un nuevo productoLos productos nuevos se agregan directamente desde la página de detalles de la cartera. Al crear unproducto desde esta página, AWS Service Catalog lo agrega a la cartera que está seleccionada en esemomento. También puede agregar un producto a otras carteras.

32

AWS Service Catalog Guía del administradorAdición de productos

Para agregar un nuevo producto

1. Vaya a la página Portfolios y, a continuación, elija el nombre de la cartera a la que desea agregar elproducto.

2. En la página de detalles de la cartera, expanda la sección Products y, a continuación, elija Upload newproduct.

3. En Enter product details, escriba lo siguiente:

• Product name (Nombre del producto) – el nombre del producto.• Short description (Descripción breve) – una descripción breve. Esta descripción aparece en los

resultados de búsqueda para ayudar al usuario a elegir el producto correcto.• Description (Descripción) – la descripción completa. Esta descripción se muestra en el listado de

productos para ayudar al usuario a elegir el producto correcto.• Provided by (Proporcionado por) – el nombre o la dirección de correo electrónico del departamento

de TI o del administrador.• Vendor (Proveedor) (opcional) – el nombre del proveedor de la aplicación. Este campo permite a los

usuarios ordenar la lista de productos para que les resulte más fácil buscar los que necesitan.

Elija Next.4. En Enter support details, escriba lo siguiente:

• Email contact (Contacto por correo electrónico) (opcional) – la dirección de correo electrónico paracomunicar problemas del producto.

• Support link (Enlace de soporte) (opcional) – dirección URL del sitio donde los usuarios puedenencontrar información de soporte o presentar tickets de archivo. La dirección URL debe comenzarpor http:// o https://.

• Support description (Descripción de soporte) (opcional) – una descripción de cómo los usuariosdeben utilizar los datos de Email contact (Contacto por correo electrónico) y Support link (Enlace desoporte).

Elija Next.5. En la página Version details, escriba lo siguiente:

• Select template (Seleccionar plantilla) – una plantilla de AWS CloudFormation de una unidad localo una dirección URL que señale a una plantilla almacenada en Amazon S3. Si especifica unadirección URL de Amazon S3, debe comenzar por https://. La extensión del archivo de plantilladebe ser .template.

• Version title (Título de la versión) – el nombre de la versión del producto (por ejemplo, "v1","v2beta"). No se permiten espacios.

• Description (Descripción) (opcional) – una descripción de la versión del producto, incluidas susdiferencias respecto a la anterior.

Elija Next.6. En la página Review (Revisar), compruebe que la información es correcta y, a continuación, elija

Confirm and upload. Transcurridos unos segundos, el producto aparecerá en la cartera. Puede quenecesite actualizar el navegador para ver el producto.

Adición de un producto existentePuede agregar productos existentes a una cartera desde tres ubicaciones: la lista Portfolios, la página dedetalles de la cartera y la página Products.

33

AWS Service Catalog Guía del administradorAdición de restricciones

Para agregar un producto existente a una cartera

1. Vaya a la página Portfolios.2. Elija una cartera y, a continuación, elija Add product.3. Elija un producto y, a continuación, elija Add product to portfolio.

Eliminación de un producto de una carteraSi ya no desea que los usuarios utilicen un producto, elimínelo de la cartera. El producto seguirá estandodisponible en el catálogo desde la página Products y podrá agregarlo a otras carteras. Puede eliminarvarios productos de una cartera al mismo tiempo.

Para eliminar un producto de una cartera

1. Vaya a la página Portfolios y, a continuación, elija la cartera que contiene el producto. Se abrirá lapágina de detalles de la cartera.

2. Amplíe la sección Products.3. Seleccione uno o más productos y, a continuación, elija Remove product.4. Elija Continue.

Adición de restriccionesPara controlar cómo podrán los usuarios utilizar los productos, agregue restricciones. Para obtener másinformación acerca de los tipos de restricciones que se admiten en AWS Service Catalog, consulte Uso delas restricciones AWS Service Catalog (p. 39).

Las restricciones se agregan a los productos después de haberlos colocado en una cartera.

Para agregar una restricción a un producto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija Portfolios y seleccione una cartera.3. En la página de detalles de la cartera, expanda la sección Constraints y elija Add constraints.4. En Product, seleccione el producto al que se aplicará la restricción.5. En Constraint type, elija una de las siguientes opciones:

• Launch (Lanzar) – función de IAM que AWS Service Catalog utiliza para lanzar y administrar elproducto. Para obtener más información, consulte Restricciones de lanzamiento AWS ServiceCatalog (p. 40).

• Notification (Notificación) – el tema de Amazon SNS especificado para recibir notificaciones. Paraobtener más información, consulte Restricciones de notificación de AWS Service Catalog (p. 42).

• Template (Plantilla) – archivo de texto con formato–JSON que contiene una o varias reglas. Lasreglas se agregan a la plantilla de AWS CloudFormation que el producto utiliza. Para obtener másinformación, consulte Reglas de restricciones de plantilla (p. 45).

• Stack Set (Conjunto de pilas) – utiliza AWS CloudFormation StackSets para especificar variascuentas y regiones para el lanzamiento de producto de AWS Service Catalog. Para obtener másinformación, consulte Restricciones de conjunto de pilas de AWS Service Catalog (p. 43).

• Tag Update (Actualización de etiquetas): permite actualizar las etiquetas después de aprovisionarel producto. Para obtener más información, consulte Restricciones de actualización de etiquetas deAWS Service Catalog (p. 43).

6. Seleccione Continue.

34

AWS Service Catalog Guía del administradorConceder acceso a los usuarios

Para editar una restricción

1. Inicie sesión en la Consola de administración de AWS y abra la consola del administrador de AWSService Catalog en https://console.aws.amazon.com/catalog/.

2. Elija Portfolios y seleccione una cartera.3. En la página de detalles de la cartera, amplíe la sección Constraints y seleccione la restricción que

desee editar.4. Elija Edit constraints.5. Edite la restricción según sea necesario y elija Submit.

Conceder acceso a los usuariosProporcione a los usuarios acceso a las carteras mediante los usuarios, grupos y funciones de IAM. Lamejor manera de proporcionar acceso a las carteras a varios usuarios es incluirlos en un grupo de IAMy conceder acceso a dicho grupo. De esta forma, basta con agregar o eliminar usuarios del grupo paraadministrar el acceso a la cartera. Para obtener más información, consulte Usuarios y grupos de IAM en laGuía del usuario de IAMGuía del usuario de IAM.

Además del acceso a una cartera, los usuarios de IAM deben tener acceso a la consola del usuario finalde AWS Service Catalog. Para conceder acceso a la consola, puede aplicar los permisos de IAM. Paraobtener más información, consulte Identity and Access Management en AWS Service Catalog (p. 22).

Para conceder a usuarios o grupos acceso a una cartera

1. En la página de detalles de la cartera, expanda Users, groups and roles y, a continuación, elija Adduser, group or role.

2. Elija la pestaña Groups, Users o Roles para añadir grupos, usuarios o roles, respectivamente.3. Elija uno o más usuarios, grupos o funciones y, a continuación, elija Add Access para concederles

acceso a la cartera actual.

Tip

Para conceder acceso a una combinación de grupos, usuarios y roles, puede cambiar entrelas pestañas sin perder la selección.

Para eliminar el acceso a una cartera

1. En la página de detalles de la cartera, seleccione la casilla del usuario o grupo.2. Elija Remove user, group or role.

Administración de productosPuede crear productos empaquetando una plantilla de AWS CloudFormation con metadatos, actualizarproductos creando una nueva versión basada en una plantilla actualizada y agrupar los productos encarteras para distribuírselos a los usuarios.

Las nuevas versiones de los productos se propagan a todos los usuarios que tienen acceso al producto através de una cartera. Cuando se distribuye una actualización, los usuarios finales pueden actualizar losproductos provisionados existentes con tan solo unos clics.

Tareas

35

AWS Service Catalog Guía del administradorVer la página de productos

• Ver la página de productos (p. 36)• Creación de productos (p. 36)• Adición de productos a las carteras (p. 37)• Actualización de productos (p. 37)• Eliminación de productos (p. 38)• Administración de versiones (p. 38)

Ver la página de productosLos productos se administran en la página Products de la consola del administrador de AWS ServiceCatalog.

Para ver la página Products

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. En la barra de navegación, elija Service Catalog.3. Elija Products.

Creación de productosLos productos se crean en la página Products (Productos) de la consola del administrador de AWS ServiceCatalog.

Para crear un nuevo producto de AWS Service Catalog

1. Vaya a la página Products.2. Elija Upload new product.3. En Enter product details, escriba lo siguiente:

• Product name (Nombre del producto) – el nombre del producto.• Short description (Descripción breve) – una descripción breve. Esta descripción aparece en los

resultados de búsqueda para ayudar al usuario a elegir el producto correcto.• Description (Descripción) – la descripción completa. Esta descripción se muestra en el listado de

productos para ayudar al usuario a elegir el producto correcto.• Provided by (Proporcionado por) –el nombre del departamento de TI o del administrador.• Vendor (Proveedor) (opcional) – el nombre del proveedor de la aplicación. Este campo permite a los

usuarios ordenar la lista de productos para que les resulte más fácil buscar los que necesitan.

Elija Next.4. En Enter support details, escriba lo siguiente:

• Email contact (Contacto por correo electrónico) (opcional) – la dirección de correo electrónico paracomunicar problemas del producto.

• Support link (Enlace de soporte) (opcional) – dirección URL del sitio donde los usuarios puedenencontrar información de soporte o presentar tickets de archivo. La dirección URL debe comenzarpor http:// o https://.

• Support description (Descripción de soporte) (opcional) – una descripción de cómo los usuariosdeben utilizar los datos de Email contact (Contacto por correo electrónico) y Support link (Enlace desoporte).

36

AWS Service Catalog Guía del administradorAdición de productos a las carteras

Elija Next.5. En Version details, escriba lo siguiente:

• Select template (Seleccionar plantilla) – una plantilla de AWS CloudFormation de una unidad localo una dirección URL que señale a una plantilla almacenada en Amazon S3. Si especifica unadirección URL de Amazon S3, debe comenzar por https://. La extensión del archivo de plantilladebe ser .template.

• Version title (Título de la versión) – el nombre de la versión del producto (por ejemplo, "v1","v2beta"). No se permiten espacios.

• Description (Descripción) (opcional) – una descripción de la versión del producto, incluidas susdiferencias respecto a la anterior.

• Guías: de forma predeterminada, las versiones de productos no tienen guías, por lo que los usuariosfinales pueden utilizar esa versión para actualizar y lanzar productos aprovisionados. Si establecela guía como obsoleta, los usuarios pueden realizar actualizaciones en un producto aprovisionado,pero no pueden lanzar nuevos productos aprovisionados de esa versión.

6. Elija Next.7. En la página Review (Revisar), compruebe que la información es correcta y, a continuación, elija

Confirm and upload. Transcurridos unos segundos, el producto aparecerá en la página Products.Puede que necesite actualizar el navegador para ver el producto.

También puede usar CodePipeline para crear y configurar una canalización para implementar su plantillade producto en AWS Service Catalog y enviar los cambios que haya realizado al repositorio de origen.Para obtener más información, consulte Tutorial: Crear una canalización que se implementa para AWSService Catalog.

Adición de productos a las carterasPuede agregar productos a cualquier cantidad de carteras. Cuando un producto se actualiza, todas lascarteras que lo contienen reciben automáticamente la nueva versión, incluidas las carteras compartidas.

Para agregar un producto del catálogo a una cartera

1. Vaya a la página Products.2. Elija un producto, elija Actions y, a continuación, elija Add product to portfolio.3. Elija una cartera y, a continuación, elija Add product to portfolio.

Actualización de productosCuando tenga que actualizar la plantilla de AWS CloudFormation de un producto, cree una nueva versióndel producto. Una nueva versión de un producto se pone automáticamente a disposición de todos losusuarios que tienen acceso a la cartera que lo contiene.

Los usuarios que actualmente están ejecutando un producto provisionado de la versión anterior delproducto pueden actualizar el producto provisionado en la vista de la consola del usuario final. Cuandoestá disponible una nueva versión de un producto, los usuarios pueden utilizar el comando Updateprovisioned product de la página Provisioned product list o Provisioned product details.

Note

Antes de crear una nueva versión de un producto, pruebe las actualizaciones de este último enAWS CloudFormation para asegurarse de que funcionan.

37

AWS Service Catalog Guía del administradorEliminación de productos

Para crear una nueva versión de un producto

1. Vaya a la página Products.2. Elija el nombre del producto.3. En la página de detalles del producto, expanda la sección Versions y, a continuación, elija Create new

version.4. En Version details, escriba lo siguiente:

• Select template (Seleccionar plantilla) – una plantilla de AWS CloudFormation de una unidad localo una dirección URL que señale a una plantilla almacenada en Amazon S3. Si especifica unadirección URL de Amazon S3, debe comenzar por https://. La extensión del archivo de plantilladebe ser .template y puede ser un archivo de texto con formato JSON– o YAML. Para obtenermás información, consulte Formatos de plantilla en la Guía del usuario de AWS CloudFormation.

• Version title (Título de la versión) – el nombre de la versión del producto (por ejemplo, "v1","v2beta"). No se permiten espacios.

• Description (Descripción) (opcional) – una descripción de la versión del producto, incluidas susdiferencias respecto a la anterior.

• Guías: de forma predeterminada, las versiones de productos no tienen guías, por lo que los usuariosfinales pueden utilizar esa versión para actualizar y lanzar productos aprovisionados. Si establecela guía como obsoleta, los usuarios pueden realizar actualizaciones en un producto aprovisionado,pero no pueden lanzar nuevos productos aprovisionados de esa versión.

Elija Save.

También puede usar CodePipeline para crear y configurar una canalización para implementar su plantillade producto en AWS Service Catalog y enviar los cambios que haya realizado al repositorio de origen.Para obtener más información, consulte Tutorial: Crear una canalización que se implementa para AWSService Catalog.

Eliminación de productosPara eliminar productos de su cuenta definitivamente, debe eliminarlos del catálogo. Al eliminar unproducto se eliminan todas las versiones de este de todas las carteras que lo contengan. Los productoseliminados no se pueden recuperar.

Si su producto tiene un presupuesto asociado, tendrá que desasociar el presupuesto antes de podereliminar el producto. Para obtener más información acerca de la desasociación de un presupuesto,consulte the section called “Administración de presupuestos” (p. 65).

Para eliminar un producto del catálogo

1. Vaya a la página Products.2. Elija un producto, elija Actions y, a continuación, elija Delete product.3. Compruebe que ha elegido el producto que desea eliminar y, a continuación, elija Continue.

Administración de versionesLas versiones de producto se asignan cuando se crea un producto y se pueden actualizar en cualquiermomento.

Las versiones tienen una plantilla de AWS CloudFormation, un título, una descripción, un estado y unaguía.

38

AWS Service Catalog Guía del administradorUso de las restricciones

Estado de la versiónUna versión puede tener uno de estos tres estados:

• Active (Activo) : aparece una versión activa en la lista de versiones y permite a los usuarios lanzarla.• Inactive (Inactivo) : una versión inactiva está oculta en la lista de versiones. Los productos

aprovisionados existentes lanzados desde esta versión no se verán afectados.• Deleted (Eliminado) : si se elimina una versión, se elimina de la lista de versiones. No se puede

deshacer la eliminación de una versión.

Guía de versiónPuede establecer la guía de versión para proporcionar información a los usuarios finales sobre la versióndel producto. La guía de versión solo afecta a las versiones de productos activas.

Hay dos opciones para la guía de versión:

• None (Ninguna): de forma predeterminada, las versiones de producto no tienen ninguna guía, por lo quelos usuarios finales pueden utilizar esa versión para actualizar e iniciar productos aprovisionados.

• Deprecated (En desuso): con una versión obsoleta, los usuarios pueden realizar actualizaciones en unproducto aprovisionado, pero no pueden lanzar nuevos productos aprovisionados utilizando la versiónobsoleta.

Actualización de versionesLas versiones de producto se asignan al crear un producto y también puede actualizar una versiónen cualquier momento. Para obtener más información acerca de la creación de un producto, consulteCreación de productos (p. 36).

Para actualizar una versión de producto

1. En la consola de AWS Service Catalog, seleccione Products (Productos).2. En la lista de productos, elija el producto del que desea actualizar la versión.3. En la página Product details (Detalles del producto), seleccione la pestaña Versions (Versiones), a

continuación elija la versión que desee actualizar.4. En la página Version details (Detalles de la versión), edite la versión del producto, a continuación, elija

Save changes (Guardar cambios).

Uso de las restricciones AWS Service CatalogAplique restricciones para controlar las reglas que se aplican a un producto de una cartera concretacuando los usuarios finales lo lanzan. Cuando los usuarios finales lancen el producto, verán las reglasque haya aplicado mediante restricciones. Puede aplicar restricciones a un producto una vez que se estese incluya en una cartera. Las restricciones se activan tan pronto como se crean y se aplican a todas lasversiones de un producto que no se hayan lanzado.

Restricciones• Restricciones de lanzamiento AWS Service Catalog (p. 40)• Restricciones de notificación de AWS Service Catalog (p. 42)

39

AWS Service Catalog Guía del administradorRestricciones de lanzamiento

• Restricciones de actualización de etiquetas de AWS Service Catalog (p. 43)• Restricciones de conjunto de pilas de AWS Service Catalog (p. 43)• Restricciones de plantilla de AWS Service Catalog (p. 44)

Restricciones de lanzamiento AWS Service CatalogUna restricción de lanzamiento especifica una función de AWS Identity and Access Management (IAM)que AWS Service Catalog supone cuando un usuario final lanza un producto. Una función de IAM es unacolección de permisos que un usuario de IAM o servicio de AWS puede asumir temporalmente para usarlos servicios de AWS. Para obtener un ejemplo introductorio, consulte Paso 6: Agregar una restricción delanzamiento para asignar una función de IAM (p. 16).

Las restricciones de lanzamiento se asocian con un producto dentro de la cartera (asociación entreproducto y cartera), no para una cartera completa ni para un producto en todas las carteras. Para asociaruna restricción de lanzamiento con todos los productos de una cartera, debe aplicar la restricción delanzamiento individualmente a cada producto.

Sin una restricción de lanzamiento, los usuarios finales deben lanzar y administrar los productos con suspropias credenciales de IAM. Para ello, deben tener permisos para AWS CloudFormation, los serviciosde AWS que los productos utilizan y AWS Service Catalog. En cambio, el uso de un rol de lanzamientopermite limitar los permisos de los usuarios finales al mínimo necesario para el producto en cuestión. Paraobtener más información acerca de los permisos de los usuarios finales, consulte Identity and AccessManagement en AWS Service Catalog (p. 22).

Para crear y asignar funciones de IAM, debe contar con los siguientes permisos administrativos de IAM:

• iam:CreateRole

• iam:PutRolePolicy

• iam:PassRole

• iam:Get*

• iam:List*

Configuración de un rol de lanzamientoLa función de IAM que se asigna a un producto como restricción de lanzamiento debe tener permisos parautilizar lo siguiente:

• AWS CloudFormation• los servicios utilizados en la plantilla de AWS CloudFormation del producto;• acceso de lectura a la plantilla de AWS CloudFormation en Amazon S3.

Además, la función de IAM debe tener una relación de confianza con AWS Service Catalog. Esta se asignaseleccionando AWS Service Catalog como tipo de función en el procedimiento siguiente. La relación deconfianza permite que AWS Service Catalog asuma la función durante el proceso de lanzamiento paracrear recursos.

Note

Los permisos servicecatalog:ProvisionProduct,servicecatalog:TerminateProduct y servicecatalog:UpdateProduct no se puedenasignar en una función de lanzamiento. Debe usar las funciones de IAM tal y como se muestra

40

AWS Service Catalog Guía del administradorRestricciones de lanzamiento

en los pasos de la política en línea en la sección Concesión de permisos a los usuarios finales deAWS Service Catalog (p. 9).

Para crear un rol de lanzamiento

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. Elija Roles.3. Elija Create New Role.4. Escriba un nombre de función y elija Next Step.5. En AWS Service Roles junto a AWS Service Catalog, elija Select.6. En la página Attach Policy, elija Next Step.7. Para crear una función, elija Create Role.

Para adjuntar una política al nuevo rol

1. Elija la función que ha creado para ver la página de detalles de dicha función.2. Elija la pestaña Permissions y, a continuación, expanda la sección Inline Policies. A continuación, elija

click here.3. Elija Custom Policy y después Select.4. Introduzca un nombre para la política y, a continuación, pegue lo siguiente en el editor Policy

Document:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "s3:GetObject" ], "Resource":"*" } ]}

5. Agregue una línea a la política por cada servicio adicional que el producto utilice. Por ejemplo, sidesea agregar permiso para Amazon Relational Database Service (Amazon RDS), escriba una comaal final de la última línea de la lista "Action" y, a continuación, agregue la siguiente línea:

"rds:*"

6. Seleccione Apply Policy.

Aplicación de una restricción de lanzamientoA continuación, asigne el rol al producto como restricción de lanzamiento. Esto indica a AWS ServiceCatalog que debe asumir la función cuando un usuario final lance el producto.

41

AWS Service Catalog Guía del administradorRestricciones de notificación

Para asignar el rol a un producto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija la cartera que contiene el producto.3. Elija la pestaña Constraints (Restricciones) y elija Create constraint (Crear restricción).4. Elija el producto en Product (Producto) y elija Launch (Lanzar) en Constraint type (Tipo de restricción).

Elija Continue.5. En la sección Launch constraint (Restricción de lanzamiento), puede seleccionar un rol de IAM de su

cuenta, especificar un ARN de rol de IAM o escribir el nombre del rol.

Si especifica el nombre del rol, cuando una cuenta utilice la restricción de lanzamiento, se utilizaráel rol de IAM con ese nombre en la cuenta. Esto permite que las restricciones del rol de lanzamientosean independientes de la cuenta, de modo que pueda crear menos recursos por cuenta compartida.

Note

El nombre del rol especificado debe existir en la cuenta utilizada para crear la restricciónde lanzamiento y la cuenta del usuario que lanza un producto con esta restricción delanzamiento.

6. Después de especificar el rol de IAM, elija Create (Crear).

Comprobación de que se ha aplicado la restricción delanzamientoCompruebe que AWS Service Catalog utiliza la función para lanzar el producto y que el productoprovisionado se ha creado correctamente. Para ello, lance el producto desde la consola de AWS ServiceCatalog. Para probar una restricción antes de distribuírsela a los usuarios, cree una cartera de prueba quecontenga los mismos productos y pruebe las restricciones con ella.

Para lanzar el producto

1. En el menú de la consola de AWS Service Catalog, elija Service Catalog, End user.2. Elija el producto para abrir la página Product details. En la tabla Launch options, compruebe que

aparezca el nombre de recurso de Amazon (ARN) de la función.3. Elija Launch product.4. Continúe con los demás pasos del lanzamiento y rellene la información que se le pida.5. Compruebe que el producto se inicia correctamente.

Restricciones de notificación de AWS Service CatalogUna restricción de notificación especifica un tema de Amazon SNS para recibir notificaciones sobre loseventos de la pila. El tema de SNS especifica la dirección de correo electrónico en la que se recibirán lasnotificaciones.

Utilice el siguiente procedimiento para crear un tema de SNS y suscríbase a él.

Para crear un tema de SNS y una suscripción

1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home/.2. Elija Create new topic.3. Escriba el nombre del tema y, a continuación, elija Create topic.4. Seleccione Create subscription.

42

AWS Service Catalog Guía del administradorRestricciones de actualización de etiquetas

5. En Protocol, seleccione Email. En Endpoint, escriba una dirección de correo electrónico que puedautilizar para recibir notificaciones. Seleccione Create subscription.

6. Recibirá un email de confirmación con el asunto AWS Notification - SubscriptionConfirmation. Abra el mensaje y siga las instrucciones para completar la suscripción.

Utilice el siguiente procedimiento para aplicar una restricción de notificación mediante el tema de SNS queha creado en el procedimiento anterior.

Para aplicar una restricción de notificación a un producto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija la cartera que contiene el producto.3. Expanda Constraints y elija Add constraints.4. Elija el producto en Product (Producto) y establezca Constraint type en Notification (Notificación). Elija

Continue.5. Elija Choose a topic from your account y seleccione el tema de SNS que ha creado en Topic Name.6. Elija Submit (Enviar).

Restricciones de actualización de etiquetas de AWSService CatalogMediante las restricciones de actualización de etiquetas, los administradores de AWS Service Catalogpueden autorizar o no autorizar que los usuarios finales actualicen las etiquetas en los recursos asociadosa un producto aprovisionado de AWS Service Catalog. Si se autoriza la actualización de etiquetas, seaplicarán nuevas etiquetas asociadas a la cartera o al producto de AWS Service Catalog a los recursosaprovisionados durante la actualización de un producto aprovisionado.

Para habilitar las actualizaciones de etiquetas de un producto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija la cartera que contiene el producto que desea actualizar.3. Seleccione la pestaña Constraints (Restricciones) y elija Add constraints.4. En Constraint type (Tipo de restricción), elija Tag Update (Actualización de etiquetas).5. Elija el producto en Product (Producto) y, a continuación, seleccione Continue (Continuar).6. En la página Tag Updates (Actualizaciones de etiquetas), seleccione Enable Tag Updates (Habilitar

actualizaciones de etiquetas).7. Elija Submit.

Restricciones de conjunto de pilas de AWS ServiceCatalog

Note

Esta característica se encuentra actualmente en modo beta. Las etiquetas automáticas no soncompatibles actualmente con AWS CloudFormation StackSets.

Una restricción de conjunto de pilas le permite configurar las opciones de implementación del productomediante AWS CloudFormation StackSets. Puede especificar varias cuentas y regiones para ellanzamiento del producto.

43

AWS Service Catalog Guía del administradorRestricciones de plantilla

Para aplicar una restricción de conjunto de pilas a un producto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija la cartera que contiene el producto.3. Expanda Constraints y elija Add constraints.4. Elija el producto en Product (Producto) y establezca Constraint type en Stack Set (Conjunto de pilas).

Elija Continue.5. En Stack Set constraint page (Página de restricciones de conjunto de pilas), escriba una descripción.6. Elija las cuentas en las que desea crear productos.7. Elija las regiones en las que desea implementar productos. Los productos se implementan en estas

regiones en el orden que especifique.8. Elija un rol de administrador de IAM. StackSet que se utilizará para administrar las cuentas de

destino. Si no selecciona ninguna función, StackSets utilizará el ARN predeterminado. Obtenga másinformación sobre la configuración de permisos de conjunto de pilas.

9. Elija Submit (Enviar).

Restricciones de plantilla de AWS Service CatalogPara limitar las opciones que los usuarios finales tienen a su disposición cuando lanzan un producto, seaplican restricciones de plantilla. Aplique restricciones de plantilla para asegurarse de que los usuariosfinales puedan usar los productos sin infringir los requisitos de conformidad de la organización. Puedeaplicar las restricciones de plantilla a un producto de una cartera de AWS Service Catalog. Una carteradebe contener uno o varios productos para que sea posible definir restricciones de plantilla.

Una restricción de plantilla consta de una o varias reglas que filtran los valores admisibles de losparámetros que se definen en la plantilla de AWS CloudFormation subyacente del producto. Losparámetros de una plantilla de AWS CloudFormation definen el conjunto de valores que los usuariospueden especificar al crear una pila. Por ejemplo, un parámetro puede definir los distintos tipos deinstancias que los usuarios pueden elegir al lanzar una pila que incluya instancias EC2.

Si el conjunto de valores de parámetros de una plantilla es demasiado amplio para los destinatarios dela cartera, puede definir restricciones de plantilla con el fin de limitar los valores que los usuarios puedenelegir al lanzar un producto. Por ejemplo, si los parámetros de plantilla incluyen tipos de instancias EC2que son demasiado grandes para los usuarios (pues estos que deben utilizar únicamente tipos de instanciapequeña, como t2.micro o t2.small), entonces puede agregar una restricción de plantilla para limitarlos tipos de instancias que los usuarios finales pueden elegir. Para obtener más información acerca delos parámetros de plantilla de AWS CloudFormation, consulte Parámetros en la Guía del usuario de AWSCloudFormation.

Las restricciones de plantilla están vinculadas a una cartera. Si se aplican restricciones de plantilla a unproducto de una cartera y, a continuación, se incluye el producto en otra cartera, las restricciones no seaplicarán al producto en la segunda cartera.

Si se aplica una restricción de plantilla a un producto que ya se ha compartido con los usuarios, larestricción se activará de inmediato para todos los lanzamientos de productos posteriores y para todas lasversiones del producto que contenga esa cartera.

Puede definir reglas de restricción de plantilla mediante un editor de reglas o escribiendo las reglas comotexto JSON en la consola del administrador de AWS Service Catalog. Para obtener más información sobrelas reglas, su sintaxis y ejemplos, consulte Reglas de restricciones de plantilla (p. 45).

Para probar una restricción antes de distribuírsela a los usuarios, cree una cartera de prueba que contengalos mismos productos y pruebe las restricciones con ella.

44

AWS Service Catalog Guía del administradorRestricciones de plantilla

Para aplicar restricciones de plantilla a un producto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. En la página Portfolios, elija la cartera que contiene el producto al que desee aplicar una restricción de

plantilla.3. Expanda la sección Constraints y elija Add constraints.4. En la Select product and type ventana, para Product elija el producto para el que desea definir las

restricciones de plantilla. A continuación, para Constraint type, elija Template (Plantilla). Elija Continue.5. En la página Template constraint builder, edite las reglas de restricción mediante el editor de JSON o

la interfaz del constructor de reglas.

• Para editar el código JSON de la regla, elija la pestaña Constraint Text Editor. En esta pestaña seproporcionan varios ejemplos para ayudarle a comenzar.

Para crear las reglas mediante una interfaz de constructor de reglas, elija la pestaña Rule Builder.En ella, puede elegir cualquier parámetro que se especifica en la plantilla del producto e indicar losvalores admisibles para ese parámetro. En función del tipo de parámetro, debe indicar los valoresadmisibles eligiendo los elementos en una lista de comprobación, especificando un número oespecificando un conjunto de valores separados por comas en una lista.

Cuando haya terminado de crear la regla, elija Add rule. La regla aparecerá en la tabla en la pestañaRule Builder. Para revisar y editar el resultado JSON, elija la pestaña Constraint Text Editor.

6. Cuando haya terminado de editar las reglas de la restricción, elija Submit. Para ver la restricción, vayaa la página de detalles de la cartera y amplíe Constraints.

Reglas de restricciones de plantillaLas reglas que definen las restricciones de plantilla de AWS Service Catalog describen cuándo losusuarios finales pueden utilizar la plantilla y qué valores pueden especificar para los parámetros que sedeclaran en la plantilla de AWS CloudFormation usada para crear el producto que desean utilizar. Lasreglas son útiles para impedir que los usuarios finales especifiquen accidentalmente un valor incorrecto.Por ejemplo, puede agregar una regla que compruebe si los usuarios finales han especificado una subredválida en una VPC determinada o han usado tipos de instancia de m1.small para los entornos depruebas. AWS CloudFormation utiliza reglas para validar los valores del parámetro antes de que cree losrecursos del producto.

Cada regla consta de dos propiedades: una condición de regla (opcional) y declaraciones (obligatorias).La condición de regla determina cuándo surte efecto una regla. Las declaraciones describen qué valorespueden especificar los usuarios para un parámetro determinado. Si no se define la condición de regla,las declaraciones de la regla surten efecto en todos los casos. Para definir una condición de regla y lasdeclaraciones, se utilizan funciones intrínsecas específicas de reglas, que son funciones que solo sepueden utilizar en la sección Rules de una plantilla. Puede anidar funciones, pero el resultado final de unacondición de regla o una declaración debe ser verdadero o falso.

Por ejemplo, supongamos que ha declarado una VPC y un parámetro de subred en la secciónParameters. Puede crear una regla que valide que una subred determinada está en una VPC. Por lotanto, cuando un usuario especifica una VPC, AWS CloudFormation evalúa la declaración para comprobarsi el valor del parámetro de subred pertenece a esa VPC antes de crear o actualizar la pila. Si el valordel parámetro no es válido, AWS CloudFormation no creará ni actualizará la pila. Si los usuarios noespecifican una VPC, AWS CloudFormation no comprobará el valor del parámetro de subred.

Sintaxis

La sección Rules de una plantilla consta del nombre de clave Rules, seguido de un único signo de dospuntos. Todas las declaraciones de regla van entre llaves. Si se declaran varias reglas, deben delimitarse

45

AWS Service Catalog Guía del administradorRestricciones de plantilla

mediante comas. Para cada regla, se declara un nombre lógico entre comillas seguido de un signo de dospuntos y de las llaves que contienen la condición de regla y las declaraciones.

Una regla puede incluir una propiedad RuleCondition y necesariamente debe incluir una propiedadAssertions. Para cada regla, se puede definir una sola condición de regla. En la propiedad Assertionsse pueden definir una o varias declaraciones. Puede definir una condición de regla y declaracionesmediante funciones intrínsecas específicas de reglas, como se muestra en la siguiente pseudoplantilla:

"Rules" : { "Rule01" : { "RuleCondition" : { Rule-specific intrinsic function }, "Assertions" : [ { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" }, { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" } ] }, "Rule02" : { "Assertions" : [ { "Assert" : { Rule-specific intrinsic function }, "AssertDescription" : "Information about this assert" } ] }}

La pseudoplantilla muestra una sección de Rules que contiene dos reglas con el nombre Rule01 yRule02. Rule01 incluye una condición de regla y dos declaraciones. Si la función de la condición de reglase evalúa en true (verdadero), se evalúan y aplican ambas funciones en cada declaración. Si la condiciónde regla es falsa, la regla no surte efecto. Rule02 siempre surte efecto porque no tiene una condición deregla, lo que significa que la afirmación siempre se evalúa y aplica.

Puede utilizar las siguientes funciones intrínsecas específicas de reglas para definir las condiciones deregla y las declaraciones:

• Fn::And

• Fn::Contains

• Fn::EachMemberEquals

• Fn::EachMemberIn

• Fn::Equals

• Fn::If

• Fn::Not

• Fn::Or

• Fn::RefAll

• Fn::ValueOf

• Fn::ValueOfAll

Ejemplo: comprobación condicional del valor de un parámetroLas dos reglas siguientes comprueban el valor del parámetro InstanceType. En función del valor delparámetro Environment (test o prod), el usuario debe especificar m1.small o m1.large para el

46

AWS Service Catalog Guía del administradorRestricciones de plantilla

parámetro InstanceType. Los parámetros InstanceType y Environment deben declararse en lasección Parameters de la misma plantilla.

"Rules" : { "testInstanceType" : { "RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "test"]}, "Assertions" : [ { "Assert" : { "Fn::Contains" : [ ["m1.small"], {"Ref" : "InstanceType"} ] }, "AssertDescription" : "For the test environment, the instance type must be m1.small" } ] }, "prodInstanceType" : { "RuleCondition" : {"Fn::Equals":[{"Ref":"Environment"}, "prod"]}, "Assertions" : [ { "Assert" : { "Fn::Contains" : [ ["m1.large"], {"Ref" : "InstanceType"} ] }, "AssertDescription" : "For the prod environment, the instance type must be m1.large" } ] }}

Funciones de reglas de AWS Service CatalogPuede utilizar funciones intrínsecas en la condición o en las declaraciones de una regla; por ejemplo,Fn::Equals, Fn::Not y Fn::RefAll. La propiedad de condición determina si AWS CloudFormationaplicará las declaraciones. Si la condición se evalúa en true, AWS CloudFormation evalúa lasdeclaraciones para comprobar si el valor de un parámetro es válido en el momento de crear o actualizarun producto provisionado. Si algún valor de un parámetro no es válido, AWS CloudFormation no crea oactualizar la pila. Si la condición se evalúa en false, AWS CloudFormation no comprueba el valor delparámetro y procede a llevar a cabo la operación de la pila.

Funciones• Fn::And (p. 47)• Fn::Contains (p. 48)• Fn::EachMemberEquals (p. 48)• Fn::EachMemberIn (p. 49)• Fn::Equals (p. 49)• Fn::Not (p. 50)• Fn::Or (p. 50)• Fn::RefAll (p. 51)• Fn::ValueOf (p. 51)• Fn::ValueOfAll (p. 52)• Funciones compatibles (p. 52)• Atributos admitidos (p. 52)

Fn::And

Devuelve true si todas las condiciones especificadas se evalúan como true; devuelve false si algunade las condiciones se evalúa como false. Fn::And actúa como operador AND. El número mínimo decondiciones que puede incluir es de dos y el máximo es de diez.

47

AWS Service Catalog Guía del administradorRestricciones de plantilla

Declaración

"Fn::And" : [{condition}, {...}]

Parámetros

condición

Una función intrínseca específica de una regla que se evalúa en true o en false.

Ejemplo

En el siguiente ejemplo, la condición se evalúa en true si el nombre del grupo de seguridad al que sehace referencia es igual a sg-mysggroup y si el valor del parámetro InstanceType es m1.large om1.small:

"Fn::And" : [ {"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]}, {"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}]

Fn::ContainsDevuelve true si una cadena especificada coincide con al menos uno de los valores de una lista decadenas.

Declaración

"Fn::Contains" : [[list_of_strings], string]

Parámetros

list_of_strings

Lista de cadenas, como "A", "B", "C".string

Cadena, como "A", que se desea comparar con una lista de cadenas.

Ejemplo

La siguiente función se evalúa en true si el valor del parámetro InstanceType figura en la lista(m1.large o m1.small):

"Fn::Contains" : [ ["m1.large", "m1.small"], {"Ref" : "InstanceType"}]

Fn::EachMemberEqualsDevuelve true si una cadena especificada coincide con todos los valores de una lista.

Declaración

"Fn::EachMemberEquals" : [[list_of_strings], string]

48

AWS Service Catalog Guía del administradorRestricciones de plantilla

Parámetros

list_of_strings

Lista de cadenas, como "A", "B", "C".string

Cadena, como "A", que se desea comparar con una lista de cadenas.

Ejemplo

La siguiente función devuelve true si la etiqueta Department de todos los parámetros de tipoAWS::EC2::VPC::Id tiene un valor de IT:

"Fn::EachMemberEquals" : [ {"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]}, "IT"]

Fn::EachMemberIn

Devuelve true si cada miembro de una lista de cadenas coincide con al menos un valor de una segundalista de cadenas.

Declaración

"Fn::EachMemberIn" : [[strings_to_check], [strings_to_match]]

Parámetros

strings_to_check

Una lista de cadenas, como "A", "B", "C". AWS CloudFormation comprueba si cada miembro delparámetro strings_to_check está presente en el parámetro strings_to_match.

strings_to_match

Lista de cadenas, como "A", "B", "C". Cada miembro del parámetro strings_to_match secompara con los miembros del parámetro strings_to_check.

Ejemplo

La siguiente función comprueba si los usuarios especifican una subred que pertenece a una nube privadavirtual (VPC). La VPC debe encontrarse en la cuenta y la región en las que los usuarios trabajan con lapila. La función se aplica a todos los parámetros de tipo AWS::EC2::Subnet::Id.

"Fn::EachMemberIn" : [ {"Fn::ValueOfAll" : ["AWS::EC2::Subnet::Id", "VpcId"]}, {"Fn::RefAll" : "AWS::EC2::VPC::Id"}]

Fn::Equals

Compara dos valores para determinar si son iguales. Devuelve true si los dos valores son iguales yfalse si no lo son.

49

AWS Service Catalog Guía del administradorRestricciones de plantilla

Declaración

"Fn::Equals" : ["value_1", "value_2"]

Parámetros

value

Un valor de cualquier tipo que se desea comparar con otro valor.

Ejemplo

El ejemplo siguiente se evalúa en true si el valor del parámetro EnvironmentType es igual a prod:

"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]

Fn::Not

Devuelve true para una condición que se evalúa en false y devuelve false para una condición que seevalúa en true. Fn::Not actúa como operador NOT.

Declaración

"Fn::Not" : [{condition}]

Parámetros

condition

Una función intrínseca específica de una regla que se evalúa en true o en false.

Ejemplo

El ejemplo siguiente se evalúa en true si el valor del parámetro EnvironmentType no es igual a prod:

"Fn::Not" : [{"Fn::Equals" : [{"Ref" : "EnvironmentType"}, "prod"]}]

Fn::Or

Devuelve true si cualquiera de las condiciones especificadas se evalúa como true; devuelve false sitodas las condiciones se evalúan como false. Fn::Or actúa como operador OR. El número mínimo decondiciones que puede incluir es de dos y el máximo es de diez.

Declaración

"Fn::Or" : [{condition}, {...}]

Parámetros

condition

Una función intrínseca específica de una regla que se evalúa en true o en false.

50

AWS Service Catalog Guía del administradorRestricciones de plantilla

Ejemplo

En el siguiente ejemplo, la condición se evalúa en true si el nombre del grupo de seguridad al que sehace referencia es igual a sg-mysggroup o si el valor del parámetro InstanceType es m1.large om1.small:

"Fn::Or" : [ {"Fn::Equals" : ["sg-mysggroup", {"Ref" : "ASecurityGroup"}]}, {"Fn::Contains" : [["m1.large", "m1.small"], {"Ref" : "InstanceType"}]}]

Fn::RefAllDevuelve todos los valores de un tipo de parámetro determinado.

Declaración

"Fn::RefAll" : "parameter_type"

Parámetros

parameter_type

Tipo de parámetro específico de AWS, como AWS::EC2::SecurityGroup::Id oAWS::EC2::VPC::Id. Para obtener más información, consulte Parámetros en la Guía del usuario deAWS CloudFormation.

Ejemplo

La función siguiente devuelve una lista de todos los ID de VPC de la región y la cuenta de AWS en las quese crea o actualiza la pila:

"Fn::RefAll" : "AWS::EC2::VPC::Id"

Fn::ValueOfDevuelve un valor de atributo o una lista de valores para un parámetro y un atributo específicos.

Declaración

"Fn::ValueOf" : [ "parameter_logical_id", "attribute" ]

Parámetros

atributo

Nombre de un atributo del que desea recuperar un valor. Para obtener más información acerca de losatributos, consulte Atributos admitidos (p. 52).

parameter_logical_id

Nombre de un parámetro del que desea recuperar valores de atributo. El parámetro debe declararseen la sección Parameters de la plantilla.

Ejemplos

El siguiente ejemplo devuelve el valor de la etiqueta Department de la VPC que se especifica en elparámetro ElbVpc:

51

AWS Service Catalog Guía del administradorRestricciones de plantilla

"Fn::ValueOf" : ["ElbVpc", "Tags.Department"]

Si especifica varios valores para un parámetro, la función Fn::ValueOf puede devolver una lista. Porejemplo, puede especificar varias subredes y obtener una lista de zonas de disponibilidad en la que cadamiembro sea la zona de disponibilidad de una subred determinada:

"Fn::ValueOf" : ["ListOfElbSubnets", "AvailabilityZone"]

Fn::ValueOfAll

Devuelve una lista de todos los valores de atributo de un tipo de parámetro y un atributo determinados.

Declaración

"Fn::ValueOfAll" : ["parameter_type", "attribute"]

Parámetros

atributo

Nombre de un atributo del que desea recuperar un valor. Para obtener más información acerca de losatributos, consulte Atributos admitidos (p. 52).

parameter_type

Tipo de parámetro específico de AWS, como AWS::EC2::SecurityGroup::Id o AWS::EC2::VPC::Id.Para obtener más información, consulte Parámetros en la Guía del usuario de AWS CloudFormation.

Ejemplo

En el siguiente ejemplo, la función Fn::ValueOfAll devuelve una lista de valores en la que cadamiembro es el valor de la etiqueta Department de las VPC que tienen esa etiqueta:

"Fn::ValueOfAll" : ["AWS::EC2::VPC::Id", "Tags.Department"]

Funciones compatibles

No puede utilizar otra función en las funciones Fn::ValueOf y Fn::ValueOfAll. No obstante, puedeutilizar las siguientes funciones dentro de todas las demás funciones intrínsecas específicas de reglas:

• Ref

• Otras funciones intrínsecas específicas de reglas

Atributos admitidos

En la siguiente lista se describen los valores de los atributos que puede recuperar para recursos y tipos deparámetros concretos:

El tipo de parámetro AWS::EC2::VPC::Id o los identificadores de VPC• DefaultNetworkAcl• DefaultSecurityGroup

52

AWS Service Catalog Guía del administradorUso de acciones de servicio

• Tags.tag_keyEl tipo de parámetro AWS::EC2::Subnet::Id o los identificadores de subred

• AvailabilityZone• Tags.tag_key• VpcId

El tipo de parámetro AWS::EC2::SecurityGroup::Id o los identificadores de grupo de seguridad• Tags.tag_key

Acciones de servicio de AWS Service CatalogAWS Service Catalog le permite reducir el mantenimiento administrativo y la formación técnica de losusuarios finales a la vez que se cumplen las medidas de conformidad y seguridad. Con las accionesde servicio, como administrador, puede permitir a los usuarios finales que realicen tareas operativas,solucionen problemas, ejecuten comandos aprobados o soliciten permisos en AWS Service Catalog.Los documentos de AWS Administrador de sistemas se utilizan para definir acciones. Los documentosde AWS Administrador de sistemas proporcionan acceso a acciones predefinidas que implementan lasprácticas recomendadas de AWS, como detener y reiniciar Amazon EC2, y también puede definir accionespersonalizadas.

En este tutorial proporcionará a los usuarios finales la capacidad de reiniciar una instancia Amazon EC2.Añadirá los permisos necesarios, definirá la acción de servicio, asociará la acción de servicio con unproducto y probará la experiencia del usuario final utilizando la acción con un producto aprovisionado.

Requisitos previosEn este tutorial se supone que tiene todos los permisos de administrador de AWS, que ya estáfamiliarizado con AWS Service Catalog y que ya tiene un conjunto básico de productos, paquetes yusuarios. Si no está familiarizado con AWS Service Catalog, complete la tareas de configuración (p. 7) yIntroducción (p. 11) antes de utilizar este tutorial.

Temas• Paso 1: Configurar los permisos de usuario final (p. 53)• Paso 2: Crear una acción de servicio (p. 54)• Paso 3: Asociar la acción de servicio con una versión de producto (p. 55)• Paso 4: Probar la experiencia del usuario final (p. 55)• Paso 5: Solucionar problemas (p. 55)

Paso 1: Configurar los permisos de usuario finalLas cuentas de usuario final deben tener los permisos necesarios para ver y realizar acciones de servicioespecíficas. En este ejemplo, el usuario final necesita permiso para obtener acceso a la característica deacciones de servicio de AWS Service Catalog y para realizar un reinicio de Amazon EC2.

Para actualizar los permisos

1. Abra la consola de AWS Identity and Access Management (IAM) en https://console.aws.amazon.com/iam/.

2. En el menú, elija Groups (Grupos).

53

AWS Service Catalog Guía del administradorPaso 2: Crear una acción de servicio

3. En la página Groups (Grupos), seleccione los grupos que utilizan los usuarios finales para obteneracceso a los recursos de AWS Service Catalog. En este ejemplo, seleccionamos el grupo de usuariosfinales. En su propia implementación, elija el grupo que utilizan los usuarios finales relevantes.

4. En la pestaña Permissions (Permisos) de la página de detalles de su grupo, puede crear unanueva política o editar una existente. En este ejemplo, añadimos permisos a la política existenteseleccionando la política personalizada creada para los permisos Aprovisionar y Terminar de AWSService Catalog del grupo.

5. En la página Policy (Política), seleccione Edit Policy (Editar política) para agregar los permisosnecesarios. Puede utilizar el editor visual o el editor JSON para editar la política. En este ejemplo,utilizamos el editor JSON para añadir los permisos. Para este tutorial, añada los siguientes permisos ala política:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ]}

6. Después de editar la política, revise y apruebe el cambio en ella. Los usuarios del grupo de usuariosfinales ahora tienen los permisos necesarios para realizar la acción de reinicio de Amazon EC2 enAWS Service Catalog.

Paso 2: Crear una acción de servicioA continuación, creará una acción de servicio para reiniciar las instancias Amazon EC2.

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/sc/.2. En el menú, elija Service actions (Acciones de servicio).3. En la página service actions (acciones de servicio), elija Create new action (Crear nueva acción).4. En la página Create action (Crear acción), elija un documento de AWS Administrador de sistemas

para definir la acción de servicio. La acción de reinicio de instancia Amazon EC2 está definida por undocumento de AWS Administrador de sistemas, por lo que mantenemos la opción predeterminada enel menú desplegable Amazon documents (Documentos de Amazon).

5. Elija la acción AWS-RestartEC2Instance.6. Proporcione un nombre y una descripción a la acción que tenga sentido para su entorno y su equipo.

El usuario final verá esta descripción, así que elija algo que le ayude a entender lo que hace la acción.7. En Parameter and target configuration (Configuración de parámetro y destino), elija el parámetro de

documento de SSM que será el destino de la acción (por ejemplo, el ID de instancia) y elija el destinodel parámetro. Seleccione Add parameter (Añadir parámetro) para añadir parámetros adicionales.

54

AWS Service Catalog Guía del administradorPaso 3: Asociar la acción de servicio

con una versión de producto

8. En Permissions (Permisos), elija un rol. Estamos usando permisos predeterminados para esteejemplo. Son posibles otras configuraciones de permisos y están definidas en esta página.

9. Después de revisar la configuración, elija Create action (Crear acción).10. En la página siguiente, aparece una confirmación cuando se ha creado la acción y está lista para

utilizarse.

Paso 3: Asociar la acción de servicio con una versiónde productoDespués de definir una acción, debe asociar un producto a dicha acción.

1. En la página service actions (acciones de servicio), elija AWS-RestartEC2instance y a continuación,Associate action (Asociar acción).

2. En la página Associate action (Asociar acción), elija el producto en el que desea que sus usuariosfinales realicen la acción de servicio. En este ejemplo, elegimos Linux Desktop (Escritorio Linux).

3. Seleccione una versión del producto. Tenga en cuenta que puede utilizar la casilla de verificaciónsuperior para seleccionar todas las versiones.

4. Elija Associate action (Asociar acción).5. En la página siguiente aparece un mensaje de confirmación.

Ha creado la acción de servicio en AWS Service Catalog. El siguiente paso de este tutorial es utilizar laacción de servicio como usuario final.

Paso 4: Probar la experiencia del usuario finalLos usuarios finales pueden realizar acciones de servicio en los productos aprovisionados. Para los finesde este tutorial, el usuario final debe tener al menos un producto aprovisionado. El producto aprovisionadodebe lanzarse desde la versión del producto que asoció con la acción de servicio en el paso anterior.

Para obtener acceso a la acción de servicio como usuario final

1. Inicie sesión en la consola de AWS Service Catalog como usuario final.2. En el panel de AWS Service Catalog, en el panel de navegación, seleccione Provisioned products list

(Lista de productos aprovisionados). La lista muestra los productos que se aprovisionan para la cuentadel usuario final.

3. En la página Provisioned products list (Lista de productos aprovisionados), elija la instancia que estáaprovisionada.

4. En la página Provisioned product details (Detalles de producto aprovisionado), elija Actions (Acciones)en la parte superior derecha y, a continuación, seleccione la acción AWS-RestartEC2instance.

5. Confirme que desea ejecutar la acción personalizada. Recibirá una confirmación de que se ha enviadola acción.

Paso 5: Solucionar problemasSi la ejecución de la acción de servicio produce un error, puede encontrar el mensaje de error en la secciónOutputs (Salidas) del evento de ejecución de acción de servicio en la página Provisioned product (Productoaprovisionado). A continuación, puede consultar las explicaciones de los mensajes de error comunes quepuede encontrar.

55

AWS Service Catalog Guía del administradorPaso 5: Solucionar problemas

Note

El texto exacto de los mensajes de error está sujeto a cambios, por lo que debe evitar usarlos encualquier tipo de proceso automatizado.

Internal Failure (Error interno)

AWS Service Catalog experimentó un error interno. Inténtelo de nuevo más tarde. Si el error persiste,póngase en contacto con el servicio de atención al cliente.

An error occurred (ThrottlingException) when calling the StartAutomationExecution operation (Se haproducido un error [ThrottlingException] al llamar a la operación StartAutomationExecution

La ejecución de la acción del servicio se limitó por el servicio backend, como SSM.

Access denied while assuming the role (Acceso denegado al asumir el rol)

AWS Service Catalog no pudo asumir el rol especificado en la definición de la acción del servicio.Asegúrese de que la entidad principal servicecatalog.amazonaws.com o una entidad principal regionalcomo servicecatalog.us-east-1.amazonaws.com esté incluida en la lista blanca en la política de confianzadel rol.

An error occurred (AccessDeniedException) when calling the StartAutomationExecution operation: Useris not authorized to perform: ssm:StartAutomationExecution on the resource (Se ha producido un error[AccessDeniedException] al llamar a la operación StartAutomationExecution: el usuario no está autorizadoa realizar: ssm:StartAutomationExecution en el recurso).

El rol especificado en la definición de acción del servicio no tiene permisos para invocarssm:StartAutomationExecution. Asegúrese de que el rol tiene los permisos de SSM adecuados.

Cannot find any resources with type TargetType in provisioned product (No se puede encontrar ningúnrecurso con el tipo TargetType en el producto aprovisionado)

El producto aprovisionado no contiene ningún recurso que coincida con el tipo de destino especificadoen el documento de SSM, como AWS::EC2::Instance. Compruebe el producto aprovisionado para estosrecursos o confirme que el documento es correcto.

Document with that name does not exist (El documento con ese nombre no existe)

El documento especificado en la definición de acción del servicio no existe.

Failed to describe SSM Automation document (Se ha producido un error al describir el documento deautomatización de SSM)

AWS Service Catalog encontró una excepción desconocida de SSM al intentar describir el documentoespecificado.

Failed to retrieve credentials for role (Se ha producido un error al recuperar las credenciales para el rol)

AWS Service Catalog encontró un error desconocido al asumir el rol especificado.

Parameter has value "InvalidValue" not found in {ValidValue1}, {ValidValue2} (El parámetrotiene el valor "InvalidValue" no encontrado en {ValidValue1}, {ValidValue2})

El valor del parámetro pasado a SSM no está en la lista de valores permitidos para el documento. Confirmeque los parámetros proporcionados son válidos e inténtelo de nuevo.

Parameter type error. The value supplied for ParameterName is not a valid string (Error del tipo deparámetro. El valor proporcionado para ParameterName no es una cadena válida).

56

AWS Service Catalog Guía del administradorAdición de productos de AWS Marketplace a la cartera

El valor del parámetro pasado a SSM no es válido para el tipo del documento.

Parameter is not defined in service action definition (El parámetro no está definido en la definición deacción del servicio)

Se ha pasado un parámetro a AWS Service Catalog que no está definido en la definición de la acción delservicio. Solo puede utilizar parámetros definidos en la definición de acción del servicio.

Step fails when it is executing/canceling action. Mensaje de error. Please refer to Automation ServiceTroubleshooting Guide for more diagnosis details (El paso produce un error cuando se está ejecutando/cancelando la acción. Mensaje de error. Consulte la guía de solución de problemas del servicio deautomatización para obtener más detalles de diagnóstico).

Se ha producido un error en un paso del documento de automatización de SSM. Consulte el error en elmensaje para solucionar más problemas.

The following values for the parameter are not allowed because they are not in the provisioned product:InvalidResourceId (No se permiten los siguientes valores para el parámetro porque no están en elproducto aprovisionado: InvalidResourceId)

El usuario solicitó la acción en un recurso que no está en el producto aprovisionado.

TargetType not defined for SSM Automation document (TargetType no definido para el documento deautomatización de SSM)

Las acciones de servicio requieren que los documentos de automatización de SSM tengan definido unTargetType. Compruebe su documento de automatización de SSM.

Adición de productos de AWS Marketplace a lacartera

Puede agregar productos de AWS Marketplace a las carteras para ponerlos a disposición de los usuariosfinales de AWS Service Catalog.

AWS Marketplace es una tienda online donde encontrará una amplia selección de software y servicios alos que puede suscribirse para comenzar a utilizarlos de inmediato. AWS Marketplace contiene diversostipos de productos, tales como bases de datos, servidores de aplicaciones, herramientas de pruebas,herramientas de monitorización, herramientas de administración de contenidos y software de inteligenciaempresarial. AWS Marketplace está disponible en https://aws.amazon.com/marketplace.

Puede distribuir un producto de AWS Marketplace a los usuarios finales de AWS Service Catalog. Paraello, defina el producto en una plantilla de AWS CloudFormation y agregue esta plantilla a una cartera.Cualquier usuario final que tenga acceso a la cartera podrá lanzar el producto desde la consola.

AWS Marketplace admite AWS Service Catalog directamente o puede suscribirse y agregar los productosmanualmente. Recomendamos agregar los productos mediante la funcionalidad diseñada expresamentepara AWS Service Catalog.

Administración de productos de AWS Marketplacemediante AWS Service CatalogPuede agregar los productos de AWS Marketplace a los que se ha suscrito directamente a AWS ServiceCatalog mediante una interfaz personalizada. En AWS Marketplace, elija Service Catalog (Catálogo deservicios). Para obtener más información, consulte la página sobre cómo copiar productos en AWS ServiceCatalog en la sección de ayuda y preguntas frecuentes de AWS Marketplace.

57

AWS Service Catalog Guía del administradorAdministración y adición manual

de productos de AWS Marketplace

Administración y adición manual de productos de AWSMarketplaceLos pasos siguientes permiten suscribirse a un producto de AWS Marketplace, definirlo en una plantilla deAWS CloudFormation y agregar esta última a una cartera de AWS Service Catalog.

Para suscribirse a un producto de AWS Marketplace

1. Vaya a AWS Marketplace en https://aws.amazon.com/marketplace.2. Examine los productos o realice una búsqueda para encontrar el que desea agregar a la cartera de

AWS Service Catalog. Elija el producto para ver la página de detalles del producto.3. Elija Continue para ver la página de tramitación y, a continuación, elija la pestaña Manual Launch

(Lanzamiento manual).

La información de la página de tramitación incluye los tipos de instancias Amazon Elastic ComputeCloud (Amazon EC2) admitidas, las regiones de AWS admitidas y el identificador de imagen demáquina de Amazon (AMI) que el producto utiliza para cada región de AWS. Tenga en cuenta quealgunas opciones afectarán a los costos. Esta información se utiliza para personalizar la plantilla deAWS CloudFormation en los siguientes pasos.

4. Elija Accept Terms para suscribirse al producto.

Después de suscribirse a un producto, puede obtener acceso a la información de la página detramitación de AWS Marketplace en cualquier momento; para ello, elija Your Software (Su software) y,a continuación, elija el producto.

Para definir el producto de AWS Marketplace en una plantilla de AWS CloudFormation

Para completar los pasos siguientes, utilizará una de las plantillas de muestra de AWS CloudFormationcomo punto de partida y personalizará la plantilla para que represente el producto de AWS Marketplace.Para obtener acceso a las plantillas de ejemplo, consulte el artículo sobre plantillas de ejemplo en la Guíadel usuario de AWS CloudFormation.

1. En la página Plantillas de ejemplo de la Guía del usuario deAWS CloudFormation, elija la región dondese vaya a usar el producto. La región debe ser compatible con el producto de AWS Marketplace.Puede ver las regiones compatibles en la página de tramitación del producto de AWS Marketplace.

2. Para ver una lista de plantillas de ejemplo de servicios que son adecuadas para la región, elija elenlace Services.

3. Para comenzar, puede utilizar cualquiera de los ejemplos que sea adecuado para sus necesidades.En los pasos de este procedimiento se utiliza la plantilla Amazon EC2 instance in a security group.Para ver la plantilla de ejemplo, elija View y, a continuación, guarde localmente una copia de laplantilla para poder editarla. El archivo local debe tener la extensión .template.

4. Abra el archivo de la plantilla en un editor de texto.5. Personalice la descripción de la parte superior de la plantilla. La descripción puede ser parecida a la

siguiente:

"Description": "Launches a LAMP stack from AWS Marketplace",

6. Personalice el parámetro InstanceType de forma que incluya únicamente los tipos de instanciasEC2 que son compatibles con el producto. Si la plantilla incluye tipos de instancias EC2 nocompatibles, el producto no se lanzará para los usuarios finales.

a. En la página de tramitación del producto de AWS Marketplace, consulte los tipos de instanciasEC2 compatibles en la sección Pricing Details (Información sobre precios), como en el siguienteejemplo:

58

AWS Service Catalog Guía del administradorAdministración y adición manual

de productos de AWS Marketplace

b. En la plantilla, cambie el tipo de instancia predeterminado por el tipo de instancia EC2 compatibleque desee.

c. Modifique la lista AllowedValues de forma que incluya únicamente los tipos de instancias EC2que son compatibles con el producto.

d. Elimine de la lista AllowedValues los tipos de instancias EC2 que no desee que utilicen losusuarios finales cuando lancen el producto.

Cuando haya terminado de editar el parámetro InstanceType, puede que tenga un aspecto similaral ejemplo siguiente:

"InstanceType" : {

59

AWS Service Catalog Guía del administradorAdministración y adición manual

de productos de AWS Marketplace

"Description" : "EC2 instance type", "Type" : "String", "Default" : "m1.small", "AllowedValues" : [ "t1.micro", "m1.small", "m1.medium", "m1.large", "m1.xlarge", "m2.xlarge", "m2.2xlarge", "m2.4xlarge", "c1.medium", "c1.xlarge", "c3.large", "c3.large", "c3.xlarge", "c3.xlarge", "c3.4xlarge", "c3.8xlarge" ], "ConstraintDescription" : "Must be a valid EC2 instance type." },

7. En la sección Mappings de la plantilla, edite los mapeos de AWSInstanceType2Arch de modo quesolo se incluyan los tipos de instancias EC2 y las arquitecturas que sean compatibles.

a. Edite la lista de mapeos y elimine todos los tipos de instancias EC2 que no están incluidas en lalista AllowedValues para el parámetro InstanceType.

b. Edite el valor Arch de cada tipo de instancia EC2 de modo que sea el tipo de arquitectura quees compatible con el producto. Los valores válidos son PV64, HVM64 y HVMG2. Para saber quéarquitectura es compatible con el producto, consulte la página de detalles del producto en AWSMarketplace. Para saber qué arquitecturas son compatibles con las familias de instancias EC2,consulte la Matriz de tipos de instancias de la AMI de Amazon Linux.

Cuando haya terminado de editar los mapeos de AWSInstanceType2Arch, puede que tengan unaspecto similar al ejemplo siguiente:

"AWSInstanceType2Arch" : { "t1.micro" : { "Arch" : "PV64" }, "m1.small" : { "Arch" : "PV64" }, "m1.medium" : { "Arch" : "PV64" }, "m1.large" : { "Arch" : "PV64" }, "m1.xlarge" : { "Arch" : "PV64" }, "m2.xlarge" : { "Arch" : "PV64" }, "m2.2xlarge" : { "Arch" : "PV64" }, "m2.4xlarge" : { "Arch" : "PV64" }, "c1.medium" : { "Arch" : "PV64" }, "c1.xlarge" : { "Arch" : "PV64" }, "c3.large" : { "Arch" : "PV64" }, "c3.xlarge" : { "Arch" : "PV64" }, "c3.2xlarge" : { "Arch" : "PV64" }, "c3.4xlarge" : { "Arch" : "PV64" }, "c3.8xlarge" : { "Arch" : "PV64" } },

8. En la sección Mappings de la plantilla, edite los mapeos de AWSRegionArch2AMI con el fin deasociar cada región de AWS con la arquitectura y el identificador de AMI correspondientes para elproducto.

a. En la página de tramitación del producto de AWS Marketplace, consulte el identificador de AMIque su producto utiliza para cada región de AWS, como en el siguiente ejemplo:

60

AWS Service Catalog Guía del administradorAdministración y adición manual

de productos de AWS Marketplace

b. En la plantilla, quite los mapeos de las regiones no compatibles.c. Edite el mapeo de cada región para eliminar las arquitecturas no compatibles (PV64, HVM64 o

HVMG2) y sus identificadores de AMI asociados.d. Para cada mapeo restante de región y arquitectura, especifique el identificador de AMI

correspondiente de la página de detalles del producto de AWS Marketplace.

Cuando haya terminado de editar los mapeos de AWSRegionArch2AMI, puede que el código tengaun aspecto similar al ejemplo siguiente:

"AWSRegionArch2AMI" : { "us-east-1" : {"PV64" : "ami-nnnnnnnn"}, "us-west-2" : {"PV64" : "ami-nnnnnnnn"}, "us-west-1" : {"PV64" : "ami-nnnnnnnn"}, "eu-west-1" : {"PV64" : "ami-nnnnnnnn"}, "eu-central-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-northeast-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-southeast-1" : {"PV64" : "ami-nnnnnnnn"}, "ap-southeast-2" : {"PV64" : "ami-nnnnnnnn"}, "sa-east-1" : {"PV64" : "ami-nnnnnnnn"} }

A partir de ahora, puede utilizar la plantilla para agregar el producto a una cartera de AWSService Catalog. Si desea realizar cambios adicionales, consulte Trabajo con plantillas de AWSCloudFormation para obtener más información sobre las plantillas.

Para agregar el producto de AWS Marketplace a una cartera de AWS Service Catalog

1. Inicie sesión en la Consola de administración de AWS y vaya a la consola del administrador de AWSService Catalog en https://console.aws.amazon.com/servicecatalog/.

2. En la página Portfolios, elija la cartera que desee agregar al producto de AWS Marketplace.3. En la página de detalles de cartera, elija Upload new product.4. Escriba el producto solicitado y los detalles de soporte.5. En la página Version details, seleccione Upload a template file, haga clic en Browse y elija el archivo

de plantilla.6. Escriba el título y la descripción de la versión.7. Elija Next.

61

AWS Service Catalog Guía del administradorUso compartido de carteras

8. En la página Review (Revisar), compruebe que el resumen es correcto y, a continuación, elija Confirmand upload. El producto se agregará a la cartera. Ahora ya está disponible para los usuarios finalesque tienen acceso a la cartera.

Uso compartido de carterasPara que sus productos del AWS Service Catalog estén a disposición de usuarios que no pertenecen a sucuenta de AWS (tales como los usuarios que pertenecen a otras organizaciones o a otras cuentas de AWSde su organización), puede compartir las carteras de productos con las cuentas de AWS de esos usuarios.

Al compartir una cartera de productos, lo que se hace es permitir que un administrador de AWS ServiceCatalog de otra cuenta de AWS importe la cartera a su cuenta y la distribuya a los usuarios finales de esacuenta. Esta cartera importada no es una copia independiente. Los productos y las restricciones de lacartera importada se mantienen sincronizados con los cambios realizados en la cartera compartida, esdecir, la cartera original que se ha compartido. El administrador destinatario, aquel con quien se compartela cartera, no puede modificar los productos ni las restricciones, pero sí puede agregar accesos de AWSIdentity and Access Management (IAM) para los usuarios finales. Para obtener más información, consulteConceder acceso a los usuarios (p. 35).

El administrador destinatario puede distribuir los productos a los usuarios finales que pertenecen a sucuenta de AWS de las siguientes maneras:

• Agregando usuarios, grupos y funciones de IAM a la cartera importada.• Agregando productos de la cartera importada a una cartera local, es decir, una cartera creada por

el administrador destinatario que pertenece a su cuenta de AWS. A continuación, el administradordestinatario agrega los usuarios, grupos y roles de IAM a la cartera local. Las restricciones que ustedhaya aplicado a los productos de la cartera compartida también están presentes en la cartera local. Eladministrador destinatario puede agregar restricciones adicionales a la cartera local, pero no puedeeliminar las restricciones importadas.

Cuando se agregan productos o restricciones a la cartera compartida o se eliminan productos orestricciones de ella, el cambio se propaga a todas las instancias importadas de la cartera. Por ejemplo, sielimina un producto de la cartera compartida, dicho producto también se eliminará de la cartera importada.También se eliminará de todas las carteras locales a la que se haya agregado el producto importado. Siun usuario final ha lanzado un producto antes de eliminarlo, el producto provisionado por el usuario finalcontinuará ejecutándose, pero ya no estará disponible para lanzamientos futuros.

Si se aplica una restricción de lanzamiento a un producto de una cartera compartida, esta se propaga atodas las instancias importadas del producto. Para anular la restricción de lanzamiento, el administradordestinatario puede agregar el producto a una cartera local y, a continuación, aplicarle una restricciónde lanzamiento diferente. La restricción de lanzamiento que se encuentre en vigor establece un rol delanzamiento para el producto. Una función de lanzamiento es una función de IAM que AWS ServiceCatalog utiliza para provisionar recursos de AWS (tales como instancias EC2 o bases de datos de RDS)cuando un usuario final lanza el producto. Como administrador, puede elegir designar un ARN de rol delanzamiento específico o un nombre de rol local. Si utiliza el ARN del rol, el rol se utilizará incluso si elusuario final pertenece a una cuenta de AWS diferente de la que posee el rol de lanzamiento. Si utiliza unnombre de rol local, se utilizará el rol de IAM con ese nombre en la cuenta del usuario final. Para obtenermás información sobre las restricciones de lanzamiento y los roles de lanzamiento, consulte Restriccionesde lanzamiento AWS Service Catalog (p. 40). La cuenta de AWS que posee la función de lanzamientoprovisiona los recursos de AWS y es la cuenta que incurre en los cargos por el uso de esos recursos. Paraobtener más información, consulte Precios de AWS Service Catalog.

Note

No se pueden volver a compartir los productos de una cartera que se ha importado o compartido.

62

AWS Service Catalog Guía del administradorRelación entre las carteras compartidas e importadas

Relación entre las carteras compartidas e importadasEn la tabla siguiente se indica la relación entre una cartera importada y una cartera compartida, así comolas acciones que un administrador que importe una cartera de productos puede y no puede realizar conese cartera y con los productos que contiene.

Elemento de la carteracompartida

Relación con la carteraimportada

El administradordestinatario puede

El administradordestinatario no puede

Productos y versionesde productos

Se heredan.

Si el creador de lacartera agrega o eliminaproductos de la carteracompartida, el cambiose propaga a la carteraimportada.

Agregar productosimportados a lascarteras locales. Losproductos se mantienensincronizados con lacartera compartida.

Cargar o agregarproductos a carteraimportada ni quitarproductos de ella.

Restricciones delanzamiento

Se heredan.

Si el creador dela cartera agregarestricciones delanzamiento a unproducto compartidoo las elimina de él, elcambio se propaga atodas las instanciasimportadas delproducto.

Si el administradordestinatario agrega unproducto importadoa una cartera local,la restricción delanzamiento importadaque se aplica a eseproducto está presenteen la cartera local.

En una cartera local,el administrador puedeanular la restricciónde lanzamientoimportada aplicandootra restricción distintaal producto.

Agregar restricciones delanzamiento a la carteraimportada o quitarlas deella.

Restricciones deplantilla

Se heredan.

Si el creador dela cartera agregauna restricción deplantilla a un productocompartido o la eliminade él, el cambio sepropaga a todas lasinstancias importadasdel producto.

Si el administradordestinatario agrega unproducto importado auna cartera local, la

En una cartera local,el administrador puedeagregar restriccionesde plantilla que seaplicarán ademásde las restriccionesimportadas.

Eliminar lasrestricciones de plantillaimportadas.

63

AWS Service Catalog Guía del administradorUso compartido de carteras

Elemento de la carteracompartida

Relación con la carteraimportada

El administradordestinatario puede

El administradordestinatario no puede

cartera local hereda lasrestricciones de plantillaimportadas que seaplican a ese producto.

Usuarios, grupos y rolesde IAM

No se heredan. Agregar usuarios,grupos y funcionesde IAM que estánpresentes en lacuenta de AWS deladministrador.

No se usa.

Uso compartido de carterasPara permitir que un administrador de AWS Service Catalog de otra cuenta de AWS distribuya susproductos a los usuarios finales, comparta su cartera de AWS Service Catalog con la cuenta de AWS deese administrador.

Para llevar a cabo estos pasos, debe obtener el ID de la cuenta de AWS de destino. El ID se proporcionaen la página My Account (Mi página) de la Consola de administración de AWS de la cuenta de destino.

Para compartir una cartera

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. En la página Portfolios, seleccione la cartera que desea compartir y, a continuación, elija Share

Portfolio.3. En la ventana Enter AWS account ID, escriba el ID de la cuenta de AWS con la que desea compartirla.

A continuación, elija Share. Si la carteras se comparte correctamente, aparece un mensaje en lapágina Portfolios que confirma que la cartera se ha vinculado con la cuenta de destino. Tambiénproporciona una URL que el administrador destinatario debe utilizar para importar la cartera.

4. Envíe la URL al administrador de AWS Service Catalog de la cuenta de destino. La dirección URLabre la página Import Portfolio y proporciona automáticamente el ARN de la cartera compartida.

Importación de una carteraSi un administrador de AWS Service Catalog de otra cuenta de AWS comparte una cartera con usted,debe importarla a su propia cuenta para poder distribuir los productos que contiene a sus usuarios finales.

Para importar la cartera, el administrador debe facilitarle una URL para importarla.

Abra la URL y en la página de inicio Import Portfolio, elija Import. Aparecerá la página Portfolios y la carterase mostrará en la tabla Imported Portfolios (Carteras importadas).

Uso de AWS CloudFormation StackSetsNote

Esta característica se encuentra actualmente en modo beta. Las etiquetas automáticas no soncompatibles actualmente con AWS CloudFormation StackSets.

64

AWS Service Catalog Guía del administradorDiferencias entre conjuntos de pilas e instancias de pila

Puede utilizar AWS CloudFormation StackSets para lanzar productos de AWS Service Catalog en variasregiones y cuentas. Puede especificar el orden en el que los productos se implementan secuencialmenteen las regiones. En varias cuentas, los productos se implementan en paralelo. En el lanzamiento, losusuarios pueden especificar la tolerancia a errores y el número máximo de cuentas en las que se puederealizar la implementación en paralelo. Para obtener más información, consulte Trabajo con AWSCloudFormation StackSets.

Diferencias entre conjuntos de pilas e instancias depilaUn conjunto de pilas le permite crear pilas en las cuentas de AWS entre regiones mediante una únicaplantilla de AWS CloudFormation.

Una instancia de pila se refiere a una pila en una cuenta de destino de una región y está asociada a unsolo conjunto de pilas.

Para obtener más información, consulte Conceptos de StackSets.

Restricciones de conjunto de pilasEn AWS Service Catalog puede utilizar restricciones de conjunto de pilas para configurar las opciones deimplementación del producto.

Para obtener más información, consulte the section called “Restricciones de conjunto de pilas” (p. 43).

Administración de presupuestosPuede utilizar Presupuestos de AWS para realizar un seguimiento de los costos y el uso del servicio enAWS Service Catalog. Puede asociar presupuestos con productos y carteras de AWS Service Catalog.

Presupuestos de AWS ofrece la posibilidad de definir presupuestos personalizados que alertan cuandolos costos o el uso superan o se prevé que superen el importe presupuestado. La información sobrePresupuestos de AWS está disponible en https://aws.amazon.com/aws-cost-management/aws-budgets.

Tareas• Requisitos previos (p. 65)• Creación de un presupuesto (p. 66)• Asociación de un presupuesto (p. 67)• Visualización de un presupuesto (p. 67)• Desasociación de un presupuesto (p. 68)

Requisitos previosAntes de utilizar Presupuestos de AWS, debe activar las etiquetas de asignación de costos en la consolade AWS Billing and Cost Management. Para obtener más información, consulte Activación de etiquetas deasignación de costos definidas por el usuario en la Guía del usuario de AWS Billing and Cost Management.

Note

Las etiquetas tardan hasta 24 horas en activarse.

También debe habilitar el acceso de los usuarios a la consola de AWS Billing and Cost Management paratodos los usuarios o grupos que vayan a utilizar la característica Presupuestos. Para ello, cree una nuevapolítica para los usuarios.

65

AWS Service Catalog Guía del administradorCreación de un presupuesto

Para permitir a los usuarios de IAM crear presupuestos, también debe permitir a los usuarios ver lainformación de facturación. Si desea utilizar notificaciones de Amazon SNS, puede proporcionar a losusuarios la capacidad de crear notificaciones de Amazon SNS, tal y como se muestra en el ejemplo depolítica siguiente.

Para crear la política de presupuestos

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.2. En el panel de navegación, seleccione Policies.3. En el panel de contenido, elija Create policy (Crear política).4. Seleccione la pestaña JSON y copie el texto del siguiente documento de política JSON. Pegue el texto

en el cuadro de texto JSON.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ]}

5. Cuando haya terminado, seleccione Review policy (Revisar política). El Policy Validator notifica loserrores de sintaxis.

6. En la página Review (Revisar), asigne un nombre a la política. Revise el Summary (Resumen) de lapolítica para ver los permisos concedidos por la política y, a continuación, elija Create policy (Crearpolítica) para guardar el trabajo.

La nueva política aparece en la lista de las políticas administradas y está lista para asociarse a losgrupos y usuarios. Para obtener más información, consulte Crear y asociar una política administradapor el cliente en la Guía del usuario de AWS Identity and Access Management.

Creación de un presupuestoEn la consola del administrador de AWS Service Catalog, las páginas Products (Productos) y Portfolios(Carteras) enumeran los productos y carteras existentes y le permiten realizar acciones en ellas. Paracrear un presupuesto, primero decida a qué producto o cartera desea asociar el presupuesto.

66

AWS Service Catalog Guía del administradorAsociación de un presupuesto

Para crear un presupuesto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija Products (Productos) o Portfolios (Carteras).3. Seleccione el producto o la cartera a la que desea añadir un presupuesto.4. Abra el menú Actions (Acciones) y, a continuación, elija Create budget (Crear presupuesto).5. En la página Budget creation (Creación de presupuesto) asocie un tipo de etiqueta al presupuesto.

Existen dos tipos de etiquetas: AutoTags y TagOptions. Las AutoTags son etiquetas que identificanuna cartera, producto y usuario que lanzaron un producto, y AWS Service Catalog las aplicaautomáticamente a los recursos aprovisionados. Una TagOption es un par de clave-valor definido porel administrador y administrado en AWS Service Catalog.

Para que los gastos que se producen en una cartera o producto se reflejen en el presupuestoasociado, deben tener la misma etiqueta. Tenga en cuenta que una clave de etiqueta que se utiliza porprimera vez puede tardar 24 horas en activarse. Para obtener más información, consulte the sectioncalled “Requisitos previos” (p. 65).

6. Elija Continue.7. Se abrirá la página Set up your budget (Configurar el presupuesto). Continúe con la configuración del

presupuesto siguiendo los pasos que se indican en Creación de un presupuesto.

Después de crear un presupuesto, debe asociarlo al producto o a la cartera.

Asociación de un presupuestoCada cartera o producto puede tener un presupuesto asociado, pero cada presupuesto puede asociarse avarios productos y carteras.

Cuando asocia un presupuesto a un producto o cartera, podrá ver información sobre el presupuesto enla página de detalles de dicho producto o cartera. Para que el gasto que se produce en el producto o lacartera se refleje en el presupuesto, debe asociar las mismas etiquetas tanto en el presupuesto como en elproducto o la cartera.

Note

Si elimina un presupuesto desde Presupuestos de AWS, las asociaciones existentes conproductos y carteras de AWS Service Catalog seguirán existiendo, pero AWS Service Catalog nopodrá mostrar ninguna información sobre el presupuesto eliminado.

Para asociar un presupuesto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija Products (Productos) o Portfolios (Carteras).3. Seleccione el producto o la cartera a la que desea asociar el presupuesto.4. Abra el menú Actions (Acciones) y, a continuación, elija Associate budget (Asociar presupuesto).5. En la página Budget association (Asociación de presupuesto), seleccione un presupuesto existente.

Después elija Continue (Continuar).6. La tabla Portfolios (Carteras) o Products (Productos) ahora incluye datos del presupuesto que acaba

de añadir.

Visualización de un presupuestoSi un presupuesto está asociado a un producto, puede ver información sobre el presupuesto en la páginaProducts (Productos) y Product details (Detalles del producto). Si un presupuesto está asociado a una

67

AWS Service Catalog Guía del administradorDesasociación de un presupuesto

cartera, puede ver información sobre el presupuesto en la página Portfolios (Carteras) y Portfolio details(Detalles de la cartera).

Las páginas Portfolios (Carteras) y Products (Productos) muestran información del presupuesto de losrecursos existentes. Puede ver columnas que muestran Current vs. budget (Actual vs. presupuesto) yForecast vs. budget (Previsto vs. presupuesto).

Al hacer clic en un producto o cartera, se abrirá una página de detalles. Estas páginas de Portfolio detail(Detalles de la cartera) y Product detail (Detalles del producto) tienen una sección con informaciónpormenorizada sobre el presupuesto asociado. Puede ver la cantidad presupuestada, el gasto actual y elgasto previsto. También tiene la opción de ver los detalles del presupuesto y editarlo.

Desasociación de un presupuestoPuede desasociar un presupuesto de una cartera o un producto.

Note

Si elimina un presupuesto desde Presupuestos de AWS, las asociaciones existentes conproductos y carteras de AWS Service Catalog seguirán existiendo, pero AWS Service Catalog nopodrá mostrar ninguna información sobre el presupuesto eliminado.

Para desasociar un presupuesto

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija Products (Productos) o Portfolios (Carteras).3. Seleccione el producto o la cartera de la que desea desasociar un presupuesto.4. Abra el menú Actions (Acciones) y, a continuación, elija Disassociate budget (Desasociar

presupuesto).5. Aparecerá una alerta que le pedirá que confirme que desea desasociar el presupuesto. Elija Confirm.

68

AWS Service Catalog Guía del administradorAdministración de todos los productos

provisionadas como administrador

Administración de productosprovisionados

AWS Service Catalog proporciona una interfaz para administrar los productos provisionados. Puedeconsultar, actualizar y terminar todos los productos provisionados del catálogo en función del nivel deacceso. Consulte las secciones siguientes para obtener ejemplos de procedimientos.

Temas• Administración de todos los productos provisionadas como administrador (p. 69)• Cambio del propietario del producto aprovisionado (p. 69)• Tutorial: Identificación de la asignación de recursos del usuario (p. 70)

Administración de todos los productosprovisionadas como administrador

Para administrar todos los productos provisionados de la cuenta, se requiere accesoAWSServiceCatalogAdminFullAccess o de nivel equivalente a las operaciones de escritura del productoprovisionado. Para obtener más información, consulte Identity and Access Management en AWS ServiceCatalog (p. 22).

Para consultar y administrar todos los productos provisionados

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.

Si ya ha iniciado sesión en la consola AWS Service Catalog, elija Service Catalog, End user.2. Si es preciso, vaya a la sección Provisioned products.3. En la sección Provisioned products, elija la lista de View: y seleccione el nivel de acceso que desea

ver: User, Role o Account. Se mostrarán todos los productos provisionados del catálogo.4. Elija un producto provisionado que desee consultar, actualizar o terminar. Para obtener más

información acerca de la información facilitada en esta vista, consulte Visualización de informaciónsobre productos provisionados.

Cambio del propietario del producto aprovisionadoPuede cambiar el propietario de un producto aprovisionado en cualquier momento. Debe conocer el ARNdel usuario o rol que desea establecer como nuevo propietario.

De forma predeterminada, esta característica está disponible para los administradores que utilizan lapolítica administrada AWSServiceCatalogAdminFullAccess. Puede activarla para los usuarios finales siles concede el permiso servicecatalog:UpdateProvisionedProductProperties en AWS Identity and AccessManagement (IAM).

Para cambiar el propietario de un producto aprovisionado

1. En la consola de AWS Service Catalog, seleccione Provisioned products list (Lista de productosaprovisionados).

2. Localice el producto aprovisionado que desea actualizar, elija los tres puntos que hay junto a él yseleccione Change provisioned product owner (Cambiar el propietario del producto aprovisionado).

69

AWS Service Catalog Guía del administradorVéase también

También puede encontrar la opción Change owner (Cambiar propietario) en la página de detalles delproducto aprovisionado, en el menú Actions (Acciones).

3. En el cuadro de diálogo, escriba el ARN del usuario o rol que desea establecer como nuevopropietario. Un ARN comienza por arn: e incluye otra información separada por dos puntos o barrasdiagonales, por ejemplo, arn:aws:iam::123456789012:user/NewOwner.

4. Elija Submit. Verá un mensaje de realización correcta cuando se haya actualizado el propietario.

Véase también• UpdateProvisionedProductProperties

Tutorial: Identificación de la asignación de recursosdel usuario

Puede identificar al usuario que ha provisionado un producto y los recursos asociados con ese producto enla consola de AWS Service Catalog. Este tutorial le ayuda a adaptar este ejemplo a sus propios productosprovisionados.

Para administrar todos los productos provisionados de la cuenta, se requiere accesoAWSServiceCatalogAdminFullAccess o de nivel equivalente a las operaciones de escritura del productoprovisionado. Para obtener más información, consulte Identity and Access Management en AWS ServiceCatalog (p. 22).

Para identificar al usuario que ha provisionado un producto y los recursos asociados

1. Vaya a la consola de productos provisionados en la consola de AWS Service Catalog.

70

AWS Service Catalog Guía del administradorTutorial: Identificación de la

asignación de recursos del usuario

2. En el panel Provisioned products, elija Account en el campo View.

3. Identifique el producto provisionado que desee investigar y selecciónelo.

4. Amplíe la sección Events y anote los valores de Provisioned product ID y CloudformationStackARN.5. Utilice el ID del producto provisionado para identificar el registro de CloudTrail que se corresponde

con este lanzamiento e identificar al usuario que ha realizado la solicitud (por lo general, se especificamediante una dirección de correo electrónico durante la federación). En este ejemplo, es "steve".

{ "eventVersion":"1.03","userIdentity": { "type":"AssumedRole", "principalId":"[id]:steve", "arn":"arn:aws:sts::[account number]:assumed-role/SC-usertest/steve", "accountId":[account number], "accessKeyId":[access key], "sessionContext": { "attributes": { "mfaAuthenticated":[boolean], "creationDate":[timestamp] }, "sessionIssuer": { "type":"Role", "principalId":"AROAJEXAMPLELH3QXY", "arn":"arn:aws:iam::[account number]:role/[name]",

71

AWS Service Catalog Guía del administradorTutorial: Identificación de la

asignación de recursos del usuario

"accountId":[account number], "userName":[username] } } }, "eventTime":"2016-08-17T19:20:58Z","eventSource":"servicecatalog.amazonaws.com", "eventName":"ProvisionProduct", "awsRegion":"us-west-2", "sourceIPAddress":[ip address], "userAgent":"Coral/Netty", "requestParameters": { "provisioningArtifactId":[id], "productId":[id], "provisioningParameters":[Shows all the parameters that the end user entered], "provisionToken":[token], "pathId":[id], "provisionedProductName":[name], "tags":[], "notificationArns":[] }, "responseElements": { "recordDetail": { "provisioningArtifactId":[id], "status":"IN_PROGRESS", "recordId":[id], "createdTime":"Aug 17, 2016 7:20:58 PM", "recordTags":[], "recordType":"PROVISION_PRODUCT", "provisionedProductType":"CFN_STACK", "pathId":[id], "productId":[id], "provisionedProductName":"testSCproduct", "recordErrors":[], "provisionedProductId":[id] } }, "requestID":[id], "eventID":[id], "eventType":"AwsApiCall", "recipientAccountId":[account number]}

6. Utilice el valor CloudformationStackARN para identificar los eventos de AWS CloudFormationy buscar información sobre los recursos creados. También puede utilizar el API de AWSCloudFormation para obtener esta información. Para obtener más información, consulte AWSCloudFormation API Reference.

72

AWS Service Catalog Guía del administradorTutorial: Identificación de la

asignación de recursos del usuario

Tenga en cuenta que puede realizar los pasos del 1 al 4 con el API de AWS Service Catalog o la AWSCLI. Para obtener más información, consulte Guía para desarrolladores de AWS Service Catalog y AWSService Catalog Command Line Reference.

73

AWS Service Catalog Guía del administradorAutoTags

Administración de etiquetas en AWSService Catalog

AWS Service Catalog proporciona etiquetas que le permiten categorizar los recursos. Existen dos tipos deetiquetas: AutoTags y TagOptions.

Las AutoTags son etiquetas que identifican información sobre el origen de un recurso aprovisionado enAWS Service Catalog y que AWS Service Catalog aplica automáticamente a los recursos aprovisionados.

Las TagOptions son pares de clave-valor administrados en AWS Service Catalog que sirven comoplantillas para crear etiquetas de AWS.

Temas• AutoTags de AWS Service Catalog (p. 74)• Biblioteca de TagOption de AWS Service Catalog (p. 75)

AutoTags de AWS Service CatalogLas AutoTags son etiquetas que identifican información sobre el origen de un recurso aprovisionado enAWS Service Catalog y que AWS Service Catalog aplica automáticamente a los recursos aprovisionados.

En AutoTags se incluyen etiquetas para los identificadores únicos de la cartera, el producto, el usuario, laversión del producto y el producto aprovisionado. Esto proporciona un conjunto de etiquetas que reflejanla estructura de AWS Service Catalog que los clientes han configurado en el catálogo. Las AutoTags no secomputarán en el límite de 50 etiquetas del cliente.

Las AutoTags de AWS Service Catalog ayudan a brindar un etiquetado consistente para sus recursosy esto es útil para cuando se configuran presupuestos para una cartera, producto o usuario. Además,puede usar las AutoTags para identificar recursos para operaciones posteriores al lanzamiento, comoconfigurar las reglas de AWS Config. Las AutoTags para sus recursos aprovisionados pueden visualizarseen la sección de etiquetas de los servicios posteriores que se utilizan para aprovisionar, como AWSCloudFormation, Amazon EC2 y Amazon S3.

Detalles de AutoTag

• aws:servicecatalog:portfolioArn: el ARN de la cartera desde la que se lanzó el producto aprovisionado.• aws:servicecatalog:productArn: el ARN del producto desde el que se lanzó el producto aprovisionado.• aws:servicecatalog:provisioningPrincipalArn: el ARN de la entidad principal de aprovisionamiento

(usuario) que creó el producto aprovisionado.• aws:servicecatalog:provisionedProductArn: el ARN del producto aprovisionado.• aws:servicecatalog:provisioningArtifactIdentifier: el ID del artefacto de aprovisionamiento original (versión

del producto).

Note

AWS Service Catalog ha añadido recientemente dos nuevas AutoTags,aws:servicecatalog:provisionedProductArn y aws:servicecatalog:provisioningArtifactIdentifier.

74

AWS Service Catalog Guía del administradorBiblioteca de TagOptions

Estas nuevas AutoTags se rellenan automáticamente durante las actualizaciones de los productosaprovisionados.

Biblioteca de TagOption de AWS Service CatalogPara permitir a los administradores administrar fácilmente las etiquetas de los productos provisionados,AWS Service Catalog proporciona la biblioteca de TagOptions. TagOption es un par de clave-valoradministrado en AWS Service Catalog. No es una etiqueta de AWS, pero sirve como plantilla para crearuna etiqueta de AWS basada en la TagOption.

La biblioteca de TagOptions hace que resulte más fácil lo siguiente:

• Utilizar una taxonomía coherente• Etiquetar correctamente los recursos de AWS Service Catalog• Utilizar opciones definidas y seleccionables por el usuario para las etiquetas permitidas

Los administradores pueden asociar TagOptions con los productos y las carteras. Durante el lanzamiento(aprovisionamiento) de un producto, AWS Service Catalog agrega las TagOptions de las carteras ylos productos asociados y se las aplica al producto provisionado, tal y como se indica en el diagramasiguiente:

Con la biblioteca de TagOptions, puede desactivar las TagOptions conservando sus asociaciones conlas carteras o productos, para después reactivarlas cuando las necesite. Este enfoque no solo ayuda amantener la integridad de la biblioteca, sino que también permite administrar TagOptions que se utilizan deforma intermitente o únicamente en circunstancias especiales.

Las TagOptions se administran con la consola de AWS Service Catalog o con el API de la biblioteca deTagOptions. Para obtener más información, consulte AWS Service Catalog API Reference.

Contenido• Lanzamiento de un producto con TagOptions (p. 76)• Administración de TagOptions (p. 78)

75

AWS Service Catalog Guía del administradorLanzamiento de un producto con TagOptions

Lanzamiento de un producto con TagOptionsCuando un usuario lanza un producto que tiene TagOptions, AWS Service Catalog lleva a cabo lassiguientes acciones automáticamente:

• Recopila todas las TagOptions del producto y de la cartera de lanzamiento.• Se asegura de que solo las TagOptions que tienen claves exclusivas se utilizan en una etiqueta del

producto provisionado. Los usuarios obtienen una lista de valores de opción múltiple para la clave. Unavez que el usuario ha elegido un valor, este se convierte en una etiqueta en el producto provisionado.

• Permite a los usuarios agregar etiquetas sin conflictos al producto durante el provisionamiento.

En los siguientes casos de uso se muestra el funcionamiento de las TagOptions durante el lanzamiento.

Ejemplo 1: Clave de TagOption únicaUn administrador crea TagOption[Group=Finance] y se la asocia a Portfolio1, que tiene Product1 sinTagOptions. Cuando un usuario lanza el producto provisionado, la TagOption única se convierte enTag[Group=Finance], tal y como se indica a continuación:

Ejemplo 2: Conjunto de TagOptions con la misma clave en unacarteraUn administrador ha colocado dos TagOptions con la misma clave en una cartera de productos y no hayTagOptions con la misma clave en ninguno de los productos de esa cartera. Durante el lanzamiento,el usuario debe seleccionar uno de los dos valores asociados con la clave. A continuación, el productoprovisionado se etiqueta con la clave y el valor seleccionado por el usuario.

76

AWS Service Catalog Guía del administradorLanzamiento de un producto con TagOptions

Ejemplo 3: Conjunto de TagOptions con la misma clave en lacartera y en un producto contenido en ellaUn administrador ha colocado varias TagOptions con la misma clave en una cartera de productos ytambién hay varias TagOptions con la misma clave en el producto de esa cartera. AWS Service Catalogcrea un conjunto de valores a partir de la agregación (operación Y lógica) de las TagOptions. Cuandoel usuario lanza el producto, ve este conjunto de valores y realiza en él su selección. El productoprovisionado se etiqueta con la clave y el valor seleccionado por el usuario.

77

AWS Service Catalog Guía del administradorAdministración de TagOptions

Ejemplo 4: Varias TagOptions con la misma clave y valores enconflictoUn administrador ha colocado varias TagOptions con la misma clave en una cartera de productos ytambién hay varias TagOptions con la misma clave en el producto de esa cartera. AWS Service Catalogcrea un conjunto de valores a partir de la agregación (operación Y lógica) de las TagOptions. Si en laagregación no se encuentran valores para la clave, AWS Service Catalog crea una etiqueta con la mismaclave y un valor de sc-tagconflict-portfolioid-productid, donde portfolioid y productidson los nombres de recurso de Amazon (ARN) de la cartera y del producto. De este modo se garantizaque el producto provisionado se etiquete con la clave correcta y con un valor que el administrador puedeencontrar y corregir.

Administración de TagOptionsComo administrador, puede crear, eliminar y editar TagOptions, así como asociarlas a una cartera o unproducto y anular la asociación.

Para crear una TagOption (consola)

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija TagOption library.3. Escriba un nuevo valor para una de las agrupaciones de claves o elija Create new TagOption y escriba

un nuevo par de clave y valor.

Una vez creada, la nueva TagOption se agrupa según su par de clave-valor y se ordena alfabéticamente.Puede eliminar una TagOption recién creado. Para ello, elija Delete from library. Esta característica deeliminación solo está disponible para las TagOptions recién creadas. Se ha diseñado para administrarrápidamente las TagOptions con errores mecanográficos.

Para crear una TagOption con la API de AWS Service Catalog, consulte CreateTagOption.

Para asociar un TagOption con una cartera o un producto (consola)

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija TagOption, seleccione una TagOption y elija la cartera o el producto que desee asociar con ella.

Si lo prefiere, vaya a la página de detalles de una cartera o un producto, elija Add TagOption yseleccione la TagOption que desee asociar.

3. Seleccione Save.

78

AWS Service Catalog Guía del administradorAdministración de TagOptions

Para sociar una TagOption con una cartera o producto mediante la API de AWS Service Catalog, consulteAssociateTagOptionWithResource.

Para eliminar (anular su asociación) una TagOption de una cartera o un producto (consola)

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija TagOption, seleccione una TagOption y abra la página Detail.3. Seleccione la x pequeña situada a la derecha de la cartera o del producto cuya asociación desea

eliminar.

Si lo prefiere, vaya a la página Detail de un producto o cartera y elija la x pequeña situada a la derechade la TagOption que desea eliminar.

Para eliminar una TagOption con la API de AWS Service Catalog, consulteDisassociateTagOptionFromResource.

Para editar una TagOption

1. Abra la consola de AWS Service Catalog en https://console.aws.amazon.com/servicecatalog/.2. Elija TagOption library, seleccione una TagOption y edite su clave o valor.3. Seleccione Save.

79

AWS Service Catalog Guía del administradorHerramientas de monitorización

Monitorización en AWS ServiceCatalog

Puede monitorear sus recursos de AWS Service Catalog mediante Amazon CloudWatch, que recopila yprocesa los datos sin formato de AWS Service Catalog en métricas legibles. Estas estadísticas se registrandurante un periodo de dos semanas, para que pueda obtener acceso a información histórica y obteneruna mejor perspectiva del desempeño de su servicio. Los datos de métricas de AWS Service Catalog seenvían automáticamente a CloudWatch en periodos de un minuto. Para obtener más información acercade CloudWatch, consulte la Guía del usuario de Amazon CloudWatch.

Para ver una lista de las métricas y dimensiones disponibles, consulte Métricas de CloudWatch para AWSService Catalog (p. 81).

El monitoreo es un aspecto importante para mantener la fiabilidad, la disponibilidad y el desempeño deAWS Service Catalog y de las soluciones de AWS. Debe recopilar datos de monitorización de todaslas partes de su solución de AWS para que le resulte más sencillo depurar un error que se produce endistintas partes del código, en caso de que ocurra. Antes de empezar a monitorear AWS Service Catalog,debe crear un plan de monitoreo que incluya respuestas a las siguientes preguntas:

• ¿Cuáles son los objetivos de la monitorización?• ¿Qué recursos va a monitorizar?• ¿Con qué frecuencia va a monitorizar estos recursos?• ¿Qué herramientas de monitorización va a utilizar?• ¿Quién se encargará de realizar las tareas de monitorización?• ¿Quién debería recibir una notificación cuando surjan problemas?

Herramientas de monitorizaciónAWS proporciona varias herramientas que puede utilizar para monitorear AWS Service Catalog. Puedeconfigurar algunas de estas herramientas para que monitoricen por usted, pero otras herramientasrequieren intervención manual. Le recomendamos que automatice las tareas de monitorización en lamedida de lo posible.

Herramientas de monitorización automatizadasPuede utilizar las siguientes herramientas de monitorización automatizado para vigilar AWS ServiceCatalog e informar cuando haya algún problema:

• Alarmas de Amazon CloudWatch – observe una sola métrica durante el período que especifiqueespecificado y realice una o varias acciones según el valor de la métrica relativo a un determinadoumbral durante varios períodos de tiempo. La acción es una notificación enviada a un tema de AmazonSimple Notification Service (Amazon SNS) o una política de Amazon EC2 Auto Scaling. Las alarmasde CloudWatch no invocan acciones simplemente por tener un estado determinado. Es necesario queel estado haya cambiado y se mantenga durante un número especificado de períodos. Para obtenermás información sobre cómo crear una alarma, consulte el artículo sobre el uso de alarmas de Amazon

80

AWS Service Catalog Guía del administradorMétricas de CloudWatch

CloudWatch. Para obtener más información sobre el uso de métricas de Amazon CloudWatch con AWSService Catalog, consulte Métricas de CloudWatch para AWS Service Catalog (p. 81).

Métricas de CloudWatch para AWS Service CatalogPuede monitorear sus recursos de AWS Service Catalog mediante Amazon CloudWatch, que recopila yprocesa los datos sin formato de AWS Service Catalog en métricas legibles. Estas estadísticas se registrandurante un periodo de dos semanas, para que pueda obtener acceso a información histórica y obteneruna mejor perspectiva del desempeño de su servicio. Los datos de métricas de AWS Service Catalog seenvían automáticamente a CloudWatch en periodos de un minuto. Para obtener más información acercade CloudWatch, consulte la Guía del usuario de Amazon CloudWatch.

Temas• Habilitar métricas de CloudWatch (p. 81)• Métricas y dimensiones disponibles (p. 81)• Visualización de las métricas de AWS Service Catalog (p. 82)

Habilitar métricas de CloudWatchLas métricas de Amazon CloudWatch están deshabilitadas de forma predeterminada.

Métricas y dimensiones disponiblesLas métricas y dimensiones que AWS Service Catalog envía a Amazon CloudWatch se indican acontinuación.

Métricas de AWS Service CatalogEl espacio de nombres de AWS/ServiceCatalog incluye las siguientes métricas.

Métrica Descripción

ProvisionedProductLaunchEl número de productos aprovisionados lanzado para un productodeterminado y el artefacto de aprovisionamiento en un periodo especificado.

Unidades: recuento

Estadísticas válidas: mínimo, máximo, suma, promedio

Dimensiones de las métricas de AWS Service CatalogAWS Service Catalog envía las siguientes dimensiones a CloudWatch.

Dimensión Descripción

State Esta dimensión filtra los datos solicitados de todos losproductos aprovisionados lanzados con este estadoespecificado. Esto le ayuda a clasificar los datos por elestado del lanzamiento.

Estado válido: SUCCEEDED, FAILED

81

AWS Service Catalog Guía del administradorVisualización de las métricas de AWS Service Catalog

Dimensión Descripción

ProductId Esta dimensión filtra únicamente los datos solicitadospara el ID de producto identificado. Esto le ayuda aseleccionar un producto exacto desde el que efectuar ellanzamiento.

ProvisioningArtifactId Esta dimensión filtra únicamente los datos solicitadospara el ID de artefacto de aprovisionamiento identificado.Esto le ayuda a seleccionar una versión exacta deproductos desde la que efectuar el lanzamiento.

Visualización de las métricas de AWS Service CatalogPodrá ver las métricas de CloudWatch en la consola de CloudWatch, lo que ofrece una visualizaciónprecisa y personalizable de sus recursos, así como el número de tareas que se ejecutan en un servicio.

Temas• Visualización de métricas de AWS Service Catalog en la consola de CloudWatch (p. 82)

Visualización de métricas de AWS Service Catalog en la consolade CloudWatchLas métricas de AWS Service Catalog se pueden ver en la consola de CloudWatch. La consola deCloudWatch proporciona una vista detallada de métricas de AWS Service Catalog y puede adaptar lasvistas en función de sus necesidades. Para obtener más información acerca de CloudWatch, consulte laGuía del usuario de Amazon CloudWatch.

Para ver métricas en la consola de CloudWatch

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En la sección Metrics (Métricas) del panel de navegación izquierdo, elija Service Catalog (Catálogo de

servicios).3. Seleccione las métricas que desea ver.

82

AWS Service Catalog Guía del administradorConector para ServiceNow

Integraciones de productos yservicios con AWS Service Catalog

AWS Service Catalog se integra con diversos servicios de AWS, así como productos y servicios de socios.La información de las siguientes secciones puede ayudarle a configurar AWS Service Catalog para laintegración con los productos y servicios que utilice.

Temas• Conector de AWS Service Catalog para ServiceNow (p. 83)• AWS Service Management Connector para Jira Service Desk (p. 103)

Conector de AWS Service Catalog paraServiceNow

Para ayudar a los clientes a integrar el aprovisionamiento seguro, compatible y preaprobado de productosde AWS en el portal ServiceNow, AWS ha creado el Conector de AWS Service Catalog para ServiceNow.

El conector de AWS Service Catalog para ServiceNow sincroniza los productos y las carteras de AWSService Catalog con ServiceNow Service Catalog para permitir a los usuarios solicitar los productos deAWS aprobados a través de ServiceNow.

Temas• Introducción (p. 83)• Introducción (p. 84)• Notas de la versión (p. 84)• Permisos de referencia (p. 85)• Configuración de AWS Service Catalog (p. 90)• Creación de restricciones de StackSet (p. 65)• Relacionar presupuestos con productos y portafolios (p. 92)• Configuración de ServiceNow (p. 92)• Validación de configuraciones (p. 98)• Características adicionales del administrador de ServiceNow (p. 98)• Instrucciones de actualización (p. 100)

IntroducciónAWS Service Catalog permite administrar de manera centralizada los servicios de AWS implementadosy los productos de software aprovisionados con más frecuencia. Ayuda a la organización a cumplirsistemáticamente los requisitos de control y cumplimiento, a la vez que permite a los usuarios implementarrápidamente tan solo aquellosservicios de AWS aprobados que necesitan.

ServiceNow es una plataforma de administración de servicios empresariales que se centra, desde unaóptica orientada a servicios, en las actividades, las tareas y los procesos de trabajo cotidianos para hacerposible un entorno de trabajo moderno. ServiceNow Service Catalog es una aplicación de autoservicioque los usuarios finales pueden usar para solicitar servicios de TI siguiendo los flujos de trabajo y deaprobación a petición.

83

AWS Service Catalog Guía del administradorIntroducción

IntroducciónAntes de instalar el Conector de AWS Service Catalog para ServiceNow, compruebe que dispone de lospermisos necesarios en su cuenta de AWS y en su instancia de ServiceNow.

Para ver un vídeo que muestra cómo integrar productos de AWS en su portal de ServiceNow, consulteIntegrar productos de AWS en su portal de ServiceNow.

Requisitos previos de AWSPara comenzar, necesita disponer de una cuenta de AWS para configurar las carteras y los productos deAWS. Para obtener más información, consulte Configuración para AWS Service Catalog (p. 7).

Para cada cuenta de AWS, el Conector para ServiceNow también requiere dos usuarios de AWS Identityand Access Management (IAM) y dos roles de IAM:

• Un IAM usuario para sincronizar AWS Service Catalog las carteras y los productos para Service CatalogServiceNow elementos.

• Un rol de IAM configurado como usuario final de AWS Service Catalog y asignado a cada cartera.• Un usuario final de IAM que asuma rol del usuario final anterior. Este usuario final haya un punto de

referencia de permisos para aprovisionar los servicios de AWS en la ServiceNow Service Catalog. Esteusuario final de ServiceNow está vinculado al rol de usuario final en IAM.

• Un rol de lanzamiento de IAM utilizado para asignar los permisos de servicio de AWS de referencia alas restricciones de lanzamiento de AWS Service Catalog. La configuración de esta función permite laseparación de funciones porque aprovisiona los recursos del producto en nombre del usuario final deServiceNow.

Los permisos de referencia permiten al usuario final aprovisionar los siguientes servicios de AWS:Amazon Simple Storage Service y Amazon Elastic Compute Cloud. Para permitir que los usuariosfinales aprovisionen servicios de AWS superiores a los permisos de referencia, debe incluir los permisosde servicios de AWS adicionales en el rol de lanzamiento. Para obtener más información acercade las acciones de configuración de permisos iniciales, consulte the section called “Permisos dereferencia” (p. 85).

Note

Para utilizar una plantilla AWS CloudFormation para ajustar las configuraciones de AWS delConector de ServiceNow, consulte las dos configuraciones de AWS JSON para: Conector paraServiceNow v2.3.4 - Regiones comerciales de AWS y Conector para ServiceNow v2.3.4 - RegiónOeste de AWS GovCloud.

Requisitos previos para ServiceNowAdemás de la cuenta de AWS, se necesita una instancia de ServiceNow para instalar la aplicación conámbito del Conector para ServiceNow. La instalación inicial debe realizarse o bien en un entorno depruebas empresarial o bien en una instancia para desarrollador personal de ServiceNow (PDI), en funciónde los requisitos de control de tecnología de la organización. El administrador de ServiceNow necesita elrol de administrador para instalar la aplicación con ámbito del Conector para ServiceNow.

Notas de la versiónLaversión 2.3.4 del Conector para ServiceNow de AWS Service Catalog incluye una corrección a laregresión de la plataforma ServiceNow que admite la llamada Object.getPrototypeOf(...) a laaplicación limitada para crear y devolver un objeto con seguridad para el acceso cruzado entre límites.

84

AWS Service Catalog Guía del administradorPermisos de referencia

Antes de esta corrección, los clientes recibirían un error prototype_not_allowed al validar regionesdentro del Conector de AWS Service Catalog en las últimas versiones o parches de la plataformaServiceNow (Orlando, Nueva York y Madrid).

Esta versión también incluye características anteriores del Conector de AWS Service Catalog paraServiceNow, como:

• La capacidad de los administradores para ver los presupuestos de los productos y la cartera y los costesreales. (Requiere que los presupuestos se asocien a AWS Service Catalog.)

• Soporte para la región oeste de AWS GovCloud.• La capacidad de los usuarios finales de elegir cuentas y regiones para implementaciones de StackSet.• La capacidad de ver salidas y eventos de productos aprovisionados en el elemento de solicitud

ServiceNow. Esto incluye el cierre de los elementos de solicitud de ServiceNow cuando los productos seterminan.

Esta versión también incluye características anteriores del Conector de AWS Service Catalog paraServiceNow, como:

• Compatibilidad con AWS CloudFormation StackSets, lo que permite lanzar productos de AWS ServiceCatalog en varias regiones y cuentas.

• Compatibilidad con conjuntos de cambios de AWS CloudFormation, lo que permite obtener una vistaprevia de los cambios realizados en los recursos de un lanzamiento o una actualización.

• Mostrar las carteras de AWS Service Catalog (incluidos los productos relacionados) como subcategoríasen ServiceNow Service Catalog.

• Compatibilidad con acciones de autoservicio de AWS Service Catalog mediante documentosAdministrador de sistemas de AWS.

• Compatibilidad con acciones operacionales de AWS Service Catalog posteriores al aprovisionamientopara actualizar y finalizar productos.

• Exposición de los productos de AWS Service Catalog en la página del portal de ServiceNow.• Compatibilidad con varias cuentas.• Validación de regiones de AWS e identidades asociadas con la sincronización de AWS y ServiceNow.• Sincronización de los detalles del producto en la vista My Asset/CMDB.

Permisos de referenciaEn esta sección se proporcionan instrucciones sobre cómo configurar a los usuarios y los permisos deAWS de referencia que se necesitan para el Conector de AWS Service Catalog para ServiceNow. Paracada cuenta de AWS, el Conector para ServiceNow requiere dos usuarios y tres roles de IAM:

• Usuario de sincronización de AWS Service Catalog: usuario de IAM para sincronizar carterasy productos de AWS con elementos del catálogo de ServiceNow (política administradaAWSServiceCatalogAdminReadOnlyAccess).

• AWS Service Catalog End User role (Rol de usuario final): rol de IAM configurado como usuario final deAWS Service Catalog y asignado a cada cartera de AWS Service Catalog.

• AWS Service Catalog End User (Usuario final): habilita el Conector para ServiceNow de forma queaprovisionie los productos de AWS asumiendo un rol que contiene la relación de confianza con la cuentay las políticas necesarias para los privilegios del usuario final de AWS Service Catalog.

• SCConnect Launch role (Rol de lanzamiento de SCConnect): rol de IAM que se usa para incluir lospermisos de los servicios de AWS de referencia en las restricciones de lanzamiento de AWS ServiceCatalog. Configurar esta función permite establecer la separación de funciones al aprovisionar losrecursos de productos en nombre del usuario final de ServiceNow. El rol SCConnectLaunch contienepermisos de referencia para servicios de Amazon EC2 y Amazon S3. Si sus productos contienen más

85

AWS Service Catalog Guía del administradorPermisos de referencia

servicios de AWS, debe incluir dichos servicios en el rol SCConnectLaunch o crear nuevos roles delanzamiento.

Creación de un usuario de sincronización de AWS ServiceCatalogEn la siguiente sección se describe cómo crear un usuario de sincronización de AWS Service Catalog yasociar el permiso de IAM adecuado. Para llevar a cabo esta tarea, se necesitan permisos de IAM paracrear nuevos usuarios.

Para crear un usuario de sincronización de AWS Service Catalog

1. Vaya a Creación de políticas de IAM. Siga las instrucciones indicadas para crear una políticadenominada SCConnectorAdmin que permita a los administradores de ServiceNow eliminar losproductos de AWS Service Catalog en ServiceNow que no tengan asociadas acciones de autoservicio.Los administradores de ServiceNow también pueden ver los presupuestos asociados a carterasy productos de AWS Service Catalog. Copie la siguiente política y péguela en Policy Document(Documento de política):

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "servicecatalog:DisassociateProductFromPortfolio", "servicecatalog:DeleteProduct", "servicecatalog:DeleteConstraint", "servicecatalog:DeleteProvisionedProductPlan", "servicecatalog:DeleteProvisioningArtifact", "servicecatalog:ListBudgetsForResource", "servicecatalog:SearchProductsAsAdmin", "servicecatalog:ListPortfoliosForProduct", "servicecatalog:ListPrincipalsForPortfolio", "servicecatalog:ListAcceptedPortfolioShares", "budgets:ViewBudget" ], "Resource": "*" }] }

2. Vaya a Creación de un usuario de IAM en su cuenta de AWS. Siga las instrucciones indicadas paracrear un usuario de sincronización (es decir, SCSyncUser). El usuario necesita acceso medianteprogramación y de Consola de administración de AWS para seguir las instrucciones de instalación delConector para ServiceNow.

3. Establezca permisos para el usuario de sincronización (SCSyncUser). Elija Attach existingpolicies directly (Adjuntar políticas existentes directamente) y seleccione las políticasAWSServiceCatalogAdminReadOnlyAccess y SCConnectorAdmin .

Note

La política ServiceCatalogAdminReadOnlyAccess ha quedado obsoleta. Si está utilizandouna versión actual de Conector para ServiceNow, actualice su SCSyncUser con la políticaadministrada correcta: AWSServiceCatalogAdminReadOnlyAccess.

4. Revise y elija Create User (Crear usuario).

86

AWS Service Catalog Guía del administradorPermisos de referencia

5. Tenga en cuenta la información de Access (Acceso) y Secret Access (Acceso secreto). Descargue elarchivo.csv que contiene la información de credenciales del usuario.

Creación de un usuario final de AWS Service CatalogEn la siguiente sección se describe cómo crear un usuario final de AWS Service Catalog y asociarle elpermiso de IAM adecuado. Este usuario final de AWS (SCEndUser) requiere que primero cree un rol deAWS (como SnowEndUser) con los permisos de IAM necesarios. El usuario final de AWS asumirá el rol deAWS. Para llevar a cabo esta tarea, se necesitan permisos de IAM para crear nuevos usuarios.

Si se va a actualizar desde una versión anterior de Connector, tenga en cuenta que la políticaServiceCatalogServiceNowAdditionalPermissions de AWS ya no se necesita en el Conector paraServiceNow. Continúe con el paso Crear un rol SnowEndUser.

Para crear un usuario final de AWS Service Catalog

1. Primero debe crear el rol de AWS (como, por ejemplo, SnowEndUser). Vaya a Crear un rol.

Para los productos que utilizan AWS CloudFormation StackSets, debe crear una política insertada deStackSet. Con AWS CloudFormation StackSets, puede crear productos que se implementen en variascuentas y regiones. Utilizando una cuenta de administrador, defina y administre una plantilla de AWSService Catalog, y utilícela como base para aprovisionar pilas en las cuentas de destino seleccionadasen las regiones especificadas. Debe tener los permisos necesarios definidos en sus cuentas de AWS.

Para configurar los permisos necesarios, vaya a Concesión de permisos paraoperaciones de Stack Set. Siguiendo las instrucciones que se indican allí, cree unrolAWSCloudFormationStackSetAdministrationRole y AWSCloudFormationStackSetExecutionRole.

Cree la política insertada de StackSet para habilitar el aprovisionamiento de un producto en variasregiones dentro de una cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole" } ] }

87

AWS Service Catalog Guía del administradorPermisos de referencia

Note

Sustituya 123456789123 por la información de su cuenta. Los archivos Conector paraServiceNow v2.3.4 - Regiones comerciales de AWS y Conector para ServiceNow v2.3.4 -Región oeste de AWS GovCloud incluyen los permisos del conjunto de pilas.

2. Añada los siguientes permisos (políticas) al rol SnowEndUser:

• AWSServiceCatalogEndUserFullAccess: Nota: La política ServiceCatalogEndUserFullAccess haquedado obsoleta. Si está utilizando una versión actual de Conector para ServiceNow, actualiceSCSyncUser con la política administrada de AWS correcta.

• StackSet (política insertada)• AmazonEC2ReadOnlyAccess• AmazonS3ReadOnlyAccess - Nota: en el caso de los productos de AWS Service Catalog que

utilizan AWS CloudFormation StackSets, debe modificar el rol SnowEndUser para incluir lospermisos ReadOnly para los servicios que desea aprovisionar. Por ejemplo, para aprovisionar unbucket de Amazon S3, incluya la política AmazonS3ReadOnlyAccess en el rol SnowEndUser.

• Cree una relación de confianza en el rol SnowEndUser con la cuenta. Copie y pegue el textosiguiente en Trust Relationship (Relación de confianza) (sustituyendo la cadena numérica del ARNpor la información de su cuenta):

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

3. Vaya a Crear una política. Siga las instrucciones indicadas para crear una política denominadaStsAssume-SC. Copie y pegue el texto siguiente en el editor de JSON (sustituyendo la cadenanumérica del ARN por la información de su cuenta):

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam:: 123456789123:role/SnowEndUser" } ] }

4. Vaya a Creación de un usuario de IAM en su cuenta de AWS. Siga las instrucciones indicadas paracrear un usuario (por ejemplo, SCEndUser). El usuario necesitará acceso mediante programación yde Consola de administración de AWS para poder seguir las instrucciones de instalación del Conectorpara ServiceNow.

88

AWS Service Catalog Guía del administradorPermisos de referencia

5. Adjunte la política de asunción (StsAssume-SC) al usuario final (SCEndUser). Elija Attach existingpolicies directly (Adjuntar políticas existentes directamente) y seleccione StsAssume-SC.

6. Revise y elija Create User (Crear usuario).7. Tenga en cuenta la información de Access (Acceso) y Secret Access (Acceso secreto). Descargue el

archivo.csv que contiene la información de credenciales del usuario.

Creación de un rol SCConnectLaunchEn la siguiente sección se describe cómo crear el rol SCConnectLaunch. Esta función se utiliza paraincluir los permisos de referencia del servicio de AWS en las restricciones de lanzamiento de AWS ServiceCatalog. Para obtener más información, consulte Restricciones de lanzamiento de AWS Service Catalog.

Para crear un rol SCConnectLaunch

1. Cree la política AWSCloudFormationFullAccess. Elija Create policy (Crear política) y pegue losiguiente en el editor de JSON:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource": "*" } ] }

Note

AWSCloudFormationFullAccess ahora incluye permisos adicionales para ChangeSets.2. Cree una política denominada ServiceCatalogSSMActionsBaseline. Siga las instrucciones indicadas

en Creación de políticas de IAM y pegue lo siguiente en el editor de JSON:

{ "Version": "2012-10-17",

89

AWS Service Catalog Guía del administradorConfiguración de AWS Service Catalog

"Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ] }

3. Cree el rol SCConnectLaunch. Asigne la relación de confianza a AWS Service Catalog.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

4. Adjunte las políticas pertinentes al rol SCConnectLaunch. Adjunte las siguientes políticas de referenciade IAM:

• AmazonEC2FullAccess (política administrada de AWS)• AmazonS3FullAccess (política administrada de AWS)• AWSCloudFormationFullAccess (política administrada personalizada)• ServiceCatalogSSMActionsBaseline

Configuración de AWS Service CatalogAhora que ha creado dos usuarios de IAM con los permisos de referencia en cada cuenta, el siguientepaso consiste en configurar AWS Service Catalog. En esta sección se describe cómo configurar AWSService Catalog de manera que tenga una cartera que incluya un producto de bucket de AmazonS3. Utilice la plantilla Amazon S3 que se encuentra en Creación de un bucket de Amazon S3 para elalojamiento de sitios web y con una DeletionPolicy. Copie y guarde la plantilla de Amazon S3 en sudispositivo.

90

AWS Service Catalog Guía del administradorCreación de restricciones de StackSet

Para configurar AWS Service Catalog

1. Cree una cartera siguiendo los pasos que se indican en Crear una cartera de AWS ServiceCatalog (p. 14).

2. Para añadir el producto de bucket de Amazon S3 a la cartera que acaba de crear, vaya a la consolade AWS Service Catalog y, en la página Upload new product (Actualizar nuevo producto), escriba losdetalles del producto.

3. En Select template (Seleccionar plantilla), seleccione la plantilla de AWS CloudFormation del bucketde Amazon S3 que ha guardado en el dispositivo.

4. Establezca Constraint type (Tipo de restricción) en Launch (Lanzar) para el producto queacaba de crear con el rol SCConnectLaunch en los permisos de referencia. Para obtener másinstrucciones sobre restricciones de lanzamiento, consulte Restricciones de lanzamiento AWS ServiceCatalog (p. 40).

Note

El diseño de configuración de AWS requiere que cada producto de AWS Service Catalogtenga una restricción de lanzamiento. Si no se respeta este paso, podría aparecer el mensaje“Unable to Retrieve Parameter” (No se puede recuperar el parámetro) en ServiceNow ServiceCatalog.

5. Añada el rol SnowEndUser de IAM a la cartera AWS Service Catalog. Para obtener más instruccionessobre el acceso de los usuarios, consulte Conceder acceso a los usuarios (p. 35).

Creación de restricciones de StackSetPara aplicar una restricción de StackSet a un producto de AWS Service Catalog

1. Obtenga acceso a AWS Service Catalog como administrador del catálogo2. Elija la cartera que contiene el producto.3. Expanda Constraints y elija Add constraints.4. Elija el producto en Product (Producto) y establezca Constraint type en Stack Set (Conjunto de pilas).

Elija Continue.5. En Stack Set constraint page (Página de restricciones de conjunto de pilas), escriba una descripción.6. Elija las cuentas en las que desea crear productos.7. Elija las regiones en las que desea implementar productos. Los productos se implementan en estas

regiones en el orden que especifique.8. Elija el rol AWSCloudFormationStackSetAdministrationRole que se utilizará para administrar sus

cuentas de destino.9. Elija el rol AWSCloudFormationStackSetExecutionRole que asumirá el rol de administrador.10. Elija Submit (Enviar).

Tenga en cuenta que las plantillas Conector para ServiceNow v2.3.4 - Regiones comerciales de AWSy Conector para ServiceNow v2.3.4 - Región oeste de AWS GovCloud crean los permisos y las salidasnecesarias para las restricciones de conjuntos de pila. Ejemplo de salidas del conjunto de pilas:

SCStackSetAdministratorRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole SCIAMStackSetExecutionRoleName AWSCloudFormationStackSetExecutionRole SCIAMAdminRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole

91

AWS Service Catalog Guía del administradorRelacionar presupuestos con productos y portafolios

Note

Sustituya 123456789123 por la información de su cuenta.

Relacionar presupuestos con productos y portafoliosEl Conector para ServiceNow incluye la posibilidad de que los administradores de ServiceNow veanpresupuestos relacionados con productos y carteras de AWS Service Catalog. Los administradores deAWS Service Catalog pueden crear o asociar presupuestos ya existentes a productos y carteras.

Para obtener más información sobre la creación y asociación de presupuestos, consulte the section called“Administración de presupuestos” (p. 65).

Configuración de ServiceNowDespués de completar las configuraciones de IAM y AWS Service Catalog, lo siguiente es configurarServiceNow. Las tareas de instalación de ServiceNow incluyen:

• Limpieza de la caché de la plataforma de ServiceNow.• Limpieza de la caché del navegador web.• Instalación de la aplicación de ámbito restringido del Conector para ServiceNow, así como la carga y

validación del conjunto de aplicaciones.• Configurar los componentes de administración del sistema de la plataforma ServiceNow.• Configurar la aplicación con ámbito del Conector de AWS Service Catalog, incluidas las cuentas, la

sincronización de trabajos programados y los permisos.

Desactivar la caché de la plataforma ServiceNowAntes de instalar la aplicación con ámbito de AWS Service Catalog, recomendamos desactivarla caché de la plataforma ServiceNow. Para ello, escriba la siguiente dirección URL: https://[InsertServiceNowInstanceNameHere]/cache.do

Note

Asegúrese de instalar el conjunto de actualización en un entorno de pruebas o que no sea deproducción. Consulte a un administrador del sistema de ServiceNow si necesita autorización paralimpiar la caché de la plataforma ServiceNow.

Limpieza de la caché del navegador webLimpie la caché del navegador web para borrar los formularios de productos representados anteriormente.

Instalación de la aplicación de ámbito restringido del Conectorpara ServiceNowEl Conector para ServiceNow de AWS Service Catalog se ha publicado como una aplicación convencionalcon ámbito de ServiceNow mediante el conjunto de actualización ServiceNow Update Set. Los conjuntosde actualización de ServiceNow son cambios en el código de la plataforma que están listos para usary permiten a los desarrolladores mover el código entre los entornos de instancias de ServiceNow.El conjunto de actualizaciones del Conector para ServiceNow puede descargarse de la tienda deServiceNow. En el caso de aquellos usuarios que vayan a instalar el conjunto de actualizaciones enuna instancia personal del desarrollador (PDI) de ServiceNow, descargue el código del Conjunto deactualizaciones del Conector para ServiceNow versión 2.3.4.

El conjunto de actualizaciones del Conector para ServiceNow versión 2.3.4 puede utilizarse con lasversiones “Madrid” “New York” u “Orlando” de la plataforma ServiceNow.

92

AWS Service Catalog Guía del administradorConfiguración de ServiceNow

Si aún no dispone de una instancia de ServiceNow, comience por este paso. Si ya tiene una instancia deServiceNow, vaya a Para descargar el Conector de AWS Service Catalog para ServiceNow.

Para obtener una instancia de ServiceNow

1. Vaya a Obtener una instancia personal del desarrollador.2. Cree unas credenciales de programa de desarrollador de ServiceNow.3. Siga las instrucciones para solicitar una instancia de ServiceNow.4. Capture los detalles de la instancia, incluidos la dirección URL, el ID administrativo y la contraseña

provisional.

Para descargar el Conector de AWS Service Catalog para ServiceNow

1. En su panel de ServiceNow, escriba plugins en el panel de navegación de la parte superior izquierda.2. Cuando aparezca la página System Plugins (Complementos del sistema), junto a la lista desplegable

Name (Nombre) busque user criteria (criterios de usuario).3. Elija User Criteria Scoped API (API con ámbito de criterios de usuario) y, a continuación, seleccione

Activate (Activar).4. En la tienda de ServiceNow, descargue el Conector de AWS Service Catalog. Cuando se le solicite,

inicie sesión con sus credenciales de administrador.

Para instalar el conjunto de actualización

1. En el panel de ServiceNow, escriba update sets en el panel de navegación de la parte superiorizquierda.

2. Elija Retrieved Update Sets (Conjuntos de actualización recuperados) en los resultados.3. Seleccione Import Update Set from XML (Importar conjunto de actualización de XML) y actualice el

archivo XML de la versión.4. Seleccione el conjunto de actualización AWS Service Catalog - 2.3.4.5. Elija Preview Update Set (Vista previa del conjunto de actualización), con lo que ServiceNow validará

el conjunto de actualización del conector.6. Elija Update.7. Elija Commit Update Set (Confirmar conjunto de actualización) para aplicar el conjunto de

actualización y crear la aplicación. Este procedimiento debe completarse al 100 %.

Configuración de los componentes de administración del sistemade la plataforma ServiceNowPara habilitar la aplicación de ámbito restringido AWS Service Catalog del Conector de AWS ServiceCatalog para ServiceNow, el administrador del sistema debe configurar las tablas, las vistas y losformularios específicos de la plataforma.

Note

Si se va a realizar la actualización a partir de una versión anterior, los permisos de las tablas dela plataforma ServiceNow (User Criteria, Catalog Variable Set y Category) ya no serán necesariosen el Conector para ServiceNow.

Habilite los permisos de las tablas de la plataforma ServiceNow (Category y Catalog ItemCategory).

En el caso de los productos de AWS que van a aparecer en las carteras de AWS como subcategoríasdel catálogo de servicios de ServiceNow, debe modificar el formulario Application Access (Acceso de las

93

AWS Service Catalog Guía del administradorConfiguración de ServiceNow

aplicaciones) de las tablas Catalog Item Category. Esta acción es necesaria porque no hay ninguna API deámbito ServiceNow disponible para la tabla Catalog Item Category.

1. Escriba "Tables" (Tablas) en el navegador y seleccione System Definition (Definición del sistema). Acontinuación, haga clic en Tables (Tablas).

2. En la lista de tablas, busque una tabla con la etiqueta "Catalog Item Category" (o con el nombre"sc_cat_item_category"). Aparecerá la lista de tablas. Seleccione Category (Categoría) para ver elformulario que define la tabla.

3. Seleccione la pestaña "Application Access" (Acceso de las aplicaciones) del formulario y active lascasillas "Can Create" (Puede crear), “Can Update (Puede actualizar) y "Can delete" (Puede eliminar).Haga clic en el botón "Update" (Actualizar).

Permisos de ServiceNow para administradores de la aplicaciónde ámbito restringido del Conector.La aplicación de ámbito restringido de AWS Service Catalog incluye dos roles de ServiceNow que permitenobtener acceso para configurar la aplicación. Esto permite que los administradores del sistema concedanuno o más privilegios de usuario para administrar la aplicación sin tener que dotarlos de permisos plenosde acceso de administración del sistema. Estos roles se pueden asignar a usuarios individuales o a unusuario administrador.

Para configurar privilegios de administrador de aplicaciones

1. Escriba Users (Usuarios) en el panel de navegación y seleccione System Security – Users (Seguridaddel sistema - Usuarios).

2. Seleccione un usuario al que conceder uno o los dos roles anteriores (por ejemplo, admin). Tambiénpuede Crear un usuario.

3. Elija Edit (Editar) en la pestaña Roles del formulario.4. Filtre la colección de roles por el prefijo "x_".5. Elija uno o los dos roles siguientes y añádalos al usuario: x_126749_aws_sc_account_admin,

x_126749_aws_sc_portfolio_manager.6. Seleccione Save.

Para añadir AWS Service Catalog a las categorías de ServiceNow Service Catalog

1. Vaya a Self Service | Service Catalog (Autoservicio | Catálogo de servicios) y seleccione el icono Addcontent (Añadir contenido) en la parte superior derecha.

2. Seleccione la entrada AWS Service Catalog Product (Producto de AWS Service Catalog). Añádala asu página de inicio del catálogo eligiendo el primer enlace Add Here (Añadir aquí) de la segunda filadel panel de selección en la parte inferior de la página.

Para añadir un tipo de solicitud de cambio

1. Si va a actualizar a partir de una versión anterior de la aplicación con ámbito de AWS Service Catalog,debe eliminar el tipo de solicitud de cambio AWS Product Termination antes de crear un nuevo tipo desolicitud de cambio.

2. Debe añadir un nuevo tipo de solicitud de cambio denominado AWS Provisioned Product Event(Evento de producto aprovisionado de AWS) para que la aplicación con ámbito active una solicitudde cambio automatizada en Change Management (Administración de cambios). Para obtenerinstrucciones, consulte las instrucciones sobre cómo añadir un nuevo tipo de solicitud de cambio.

3. Abra una solicitud de cambio existente.

94

AWS Service Catalog Guía del administradorConfiguración de ServiceNow

4. Abra el menú contextual (haga clic con el botón derecho) de Type (Tipo) y, a continuación, elija ShowChoice List (Mostrar lista de opciones).

5. Elija New (Nueva) y rellene los campos siguientes:

• Table (Tabla): Change Request• Label (Etiqueta): AWS Provisioned Product Event• Value (Valor): AWSProvisionedProductEvent• Sequence (Secuencia): elija el siguiente valor que no esté en uso

6. Envíe el formulario.

Configuración de la aplicación con ámbito del Conector de AWSService CatalogUna vez instalado y configurado el Conector de AWS Service Catalog para ServiceNow en elprocedimiento anterior, debe configurar la aplicación con ámbito de AWS Service Catalog y los rolesaplicables.

Para configurar la aplicación con ámbito de AWS Service Catalog y los roles aplicables

1. En el panel de ServiceNow, cree un rol denominado order_aws_sc_products. Este rol se concede acualquier usuario que tenga permiso para realizar pedidos de productos de AWS Service Catalog.Para obtener instrucciones, consulte la sección Crear un rol.

2. Conceda roles a los siguientes usuarios:

• System Administrator (admin) (Administrador de usuario): para simplificar, en este ejemplose designa al usuario admin como administrador de la aplicación con ámbito de AWSService Catalog. Conceda a este usuario los dos permisos administrativos del adaptador,x_126749_aws_sc_portfolio_manager and x_126749_aws_sc_account_admin. En un escenario real,estos roles podrían concederse a dos usuarios diferentes.

• Abel Tuter: el usuario abel.tuter se ha elegido como usuario final de ejemplo. Conceda a Abel elnuevo rol order_aws_sc_products. Esto le permite realizar pedidos de productos a AWS.

Corregir scripts para entradas del tipo cuenta de AWSLa versión 2.3.4 del Conector para ServiceNow permite a los administradores de ServiceNowidentificar entradas del tipo de cuenta de AWS como End User (Usuario final) o Sync User (Usuario desincronización). Si ha instalado versiones anteriores de Conector para ServiceNow, la versión 2.3.4 incluyeun script de corrección de ServiceNow que actualiza automáticamente las entradas del tipo de cuenta.

Para ejecutar el script de corrección

1. En el panel ServiceNow, en el menú de la izquierda, busque Fix scripts (Scripts de corrección).2. Busque el script llamado Update AWS account type (Actualizar tipo de cuenta de AWS).3. Elija Run Fix Script (Ejecutar script de corrección).

Configuración de cuentas1. Inicie sesión como administrador del sistema.2. En el menú Accounts (Cuentas) de la aplicación con ámbito de AWS Service Catalog, cree dos

entradas para cada cuenta de AWS, una para aprovisionamiento y otra para sincronización: snow-

95

AWS Service Catalog Guía del administradorConfiguración de ServiceNow

stsuser-account y snow-sync-account. Deberá utilizar las claves y las claves secretas de los usuariosque ha creado en AWS. Tenga en cuenta que los nombres indicados se han elegido para mayorcomodidad, para que sea más fácil saber a qué usuario de IAM corresponden (se trata de los usuarioscreados en la configuración de AWS).

Las regiones de GovCloud y el tipo de entrada de cuenta son necesarios para que Conector apunte alos puntos de enlace de GovCloud adecuados. Hay dos nuevas regiones disponibles: US GovCloud(US West) - FIPS 2, y US GovCloud (US West), que se utiliza para no FIPS.

Para crear una entrada de cuenta SyncUser

1. Introduzca el nombre como identificador de entrada de cuenta, como snow-sync-account (para laregión comercial) o snow-sync-account_GovCloud (para la región GovCloud).

2. Introduzca la clave de acceso de AWS y la clave de acceso secreta desde las configuraciones IAM delusuario de sincronización de la cuenta de AWS.

3. Introduzca el tipo de entrada de cuenta del usuario de sincronización. Tenga en cuenta que estacaracterística se añadió para abordar los puntos de enlace únicos de GovCloud.

4. Elija la región Comercial o GovCloud. Podrá validarla en la siguiente sección.5. Guarde o actualice la información del usuario de sincronización.

Para crear una entrada de cuenta EndUser

1. Introduzca el nombre como identificador de entrada de cuenta, como snow-stsuser-account (para laregión comercial) o snow-stsuser-account_GovCloud (para la región GovCloud).

2. Introduzca la clave de acceso de AWS y la clave de acceso secreta desde las configuraciones IAM delusuario de sincronización de la cuenta de AWS.

3. Introduzca el tipo de entrada de cuenta del End User (Usuario final). Tenga en cuenta que estacaracterística se añadió para abordar los puntos de enlace únicos de GovCloud.

4. Solo para usuarios de GovCloud: seleccione la región GovCloud. Esto es necesario para abordar lospuntos de enlace de servicio únicos en GovCloud.

Note

Para regiones comerciales, no seleccione ninguna región en la entrada de cuenta del usuariofinal.

5. Guarde o actualice la información del usuario final.

Validación de la conectividad con las regiones de AWSAhora, puede validar la conectividad con las regiones de AWS entre la cuenta nieve-sync-account deServiceNow y el usuairo de sincronización SyncUser de AWS IAM.

Para validar la conectividad con las regiones de AWS

1. En la aplicación con ámbito de AWS Service Catalog, elija Accounts (Cuentas).2. Seleccione snow-sync-account y elija Validate Regions (Validar regiones).3. Si la conexión es correcta, aparecerá el mensaje “Successfully performed AWS Service Catalog

SearchProductsAsAdmin action in each referenced Region” (Se realizó correctamente la acciónSearchProductsAsAdmin de AWS Service Catalog en cada región de referencia).

Si la clave de acceso de AWS IAM o la clave de acceso secreto son incorrectas, recibirá unmensaje similaral siguiente: Error performing AWS Service Catalog SearchProductsAsAdmin action in

96

AWS Service Catalog Guía del administradorConfiguración de ServiceNow

one or more Regions: us-east-1: The security token included in the request isinvalid. Check that the access key and secret access key are correct.

Sincronización manual de trabajos programadosDurante la configuración inicial, ejecute manualmente la sincronización en lugar de esperar a que seejecuten los trabajos programados.

Para sincronizar las cuentas manualmente

1. Inicie sesión como administrador del sistema.2. Busque Scheduled Jobs (Trabajos programados) en el panel de navegación.3. Busque el trabajo Sync all Accounts (Sincronizar tods las cuentas), selecciónelo y elija Execute Now

(Ejecutar ahora).

Note

Si Execute Now (Ejecutar ahora) no aparece en la esquina superior izuierda, elija ConfigureJob Definition (Configurar definición del trabajo). Aparecerá Execute Now (Ejecutar ahora).

Concesión de acceso a las carterasLos datos se podrán ver en los menús de la aplicación con ámbito de AWS Service Catalog una vez que sehaya ejecutado el trabajo de sincronización programado.

Para conceder acceso a los productos de AWS Service Catalog en ServiceNow, debe establecer un enlaceentre el rol SnowEndUser de AWS descubierta con el trabajo Sync All Scheduled Job y una entrada snow-stsuser-account creada en la aplicación con ámbito de AWS Service Catalog de ServiceNow.

Para conceder acceso a los productos de AWS Service Catalog en ServiceNow

1. En la aplicación con ámbito de AWS Service Catalog, elija el módulo Identities (Identidades).2. Seleccione la dirección de ARN del rol SnowEndUser de AWS y asígnela a la cuenta snow-stsuser-

account. Puede hacer doble clic en la celda de la columna de la cuenta, o bien hacer clic en el nombrede usuario SCEndUser y edite el formulario presentado.

Role Grants (Concesión de roles) está disponible en los módulos Identities (Identidades) para asociarcómodamente el rol order_aws_sc_products de ServiceNow a la identidad del rol AWS SnowEndUser.

3. Elija New (Nuevo) y escriba el valor de Role (Rol) de order_aws_sc_products y la identidad deSnowEndUser.

4. Elija Submit (Enviar).

Ahora, el módulo Identities (Identidades) presenta una vista del rol asociado. Puede probar la identidad deAWS para determinar si el usuario final de ServiceNow con el rol order_aws_sc_products puede solicitar unproducto de AWS Service Catalog.

Para probar el acceso a las carteras

1. Elija el botón Test Authorization mostrado en el módulo de identidades de AWS.2. Si la prueba se realiza satisfactoriamente, se devolverá el mensaje Successfully performed

SearchProducts action as arn:aws:iam::AWS Account:role/SnowEndUser.3. Si hay cualquier error, se devolverá el mensaje Error using account…4. Con la configuración anterior, ahora Abel Tuter puede realizar pedidos de productos a AWS Service

Catalog en ServiceNow.

97

AWS Service Catalog Guía del administradorValidación de configuraciones

Validación de configuracionesAhora está listo para validar los procedimientos de instalación del Conector de AWS Service Catalog paraServiceNow.

Para validar la configuración del Conector

1. Inicie sesión en su instancia de ServiceNow como usuario final (por ejemplo, Abel Tuter).2. Escriba Service Catalog en el filtro de navegación y elija Service Catalog.3. La vista de la interfaz de usuario muestra la categoría AWS Service Catalog.

Para realizar un pedido de un producto

1. Seleccione el producto AWS Service Catalog S3 Storage para aprovisionarlo.2. Rellene los detalles de la solicitud del producto, como nombre del producto, parámetros y etiquetas.3. Elija Order Now (Solicitar ahora) para enviar la solicitud de ServiceNow y aprovisionar el producto de

AWS Service Catalog.4. Después de aproximadamente un minuto, recibirá un mensaje de estado del pedido que indica que la

solicitud se ha enviado.

Para ver los productos aprovisionados

Los usuarios finales pueden ver los productos en dos lugares en el portal ServiceNow a través de loselementos de solicitud (Solicitudes) o los en los widget de My AWS Products (Mis productos de AWS).

Para ver productos en Service Portal Requests (Solicitudes de portal de servicios)

1. Seleccione Requests (Solicitudes) en la barra de navegación de la página de inicio.2. Seleccione el producto de la solicitud de su elección (contiene el número de producto de la solicitud y

el producto de AWS Service Catalog).

Note

El elemento de la solicitud se actualiza con los eventos y salidas de productos de AWS.Cuando finalice el producto de AWS, el elemento de solicitud ServiceNow pasará a un estadode Closed Complete (Cerrado completado).

Para ver productos en las solicitudes del portal de servicios del widget My AWS Products (Misproductos de AWS)

1. Vaya al widget My AWS Products (Mis productos de AWS)2. Elija el nombre de producto de AWS Select que ha introducido en el formulario de solicitud.3. Ver Estado y eventos del producto4. Si desea realizar acciones operativas postaprovisionadas, elija Request Update (Solicitar

actualización), Request Self-Service Action (Solicitar acción de autoservicio), o Terminate (Finalizar).

Características adicionales del administrador deServiceNowEn esta sección se proporciona información acerca de las características adicionales del administradorpara el Conector de AWS Service Catalog para ServiceNow.

98

AWS Service Catalog Guía del administradorCaracterísticas adicionales del administrador de ServiceNow

Eliminación de productos de AWS Service CatalogEl Conector para ServiceNow permite que los administradores de ServiceNow con el permisox_126749_aws_sc_account_admin puedan eliminar los productos de AWS Service Catalog que no tienenacciones de autoservicio asociadas.

Note

Para poder administrar los productos con la plataforma ServiceNow, debe desvincularlas acciones de autoservicio de los productos de AWS Service Catalog en la Consola deadministración de AWS.

Para eliminar los productos de AWS Service Catalog

1. En el Conector, vaya a AWS Service Catalog - Products (AWS Service Catalog - Productos). Elija elproducto de AWS Service Catalog que desee eliminar.

2. Seleccione Manage Product (Administrar producto).3. Elija Delete Product (Eliminar producto).4. Aparece una advertencia. Seleccione OK.5. Una vez que se haya completado la eliminación, aparece un mensaje que le indica que el producto se

ha eliminado.

Realización de pedidos de productos de AWS Service Catalog através del portal de servicio de ServiceNowEl Conector para ServiceNow de la versión 1.6.7 y versiones posteriores permite realizar el pedido deproductos de AWS Service Catalog a través del portal de servicio utilizando las vistas Service Catalog(Catálogo de servicios) y Order Something (Realizar pedido). La versión también incluye páginas y widgetsque se pueden añadir al portal de servicio y que permiten a los usuarios ver los productos aprovisionados.

Note

La sección Service Portal Features (Características de Service Portal) está destinada a unadministrador o equivalente de ServiceNow. El usuario de ServiceNow requiere permisos pararealizar modificaciones en Service Portal.

Widgets del portal de servicioEl Conector para ServiceNow contiene widgets que se pueden añadir al portal de servicio. Esta versióntambién incluye dos vistas alternativas de las páginas del portal:

• My AWS Products (Mis productos de AWS): proporciona información general sobre todos los productosaprovisionados que son propiedad del usuario.

• AWS Product Details (Detalles del producto de AWS) – Proporciona detalles de un solo productoaprovisionado.

Para obtener acceso a los nuevos widgets, debe actualizar Service Portal Designer.

Para actualizar Service Portal Designer

1. Vaya a Create and edit a page using the Service Portal Designer (Crear y editar una página medianteService Portal Designer).

2. Siga las instrucciones y elija la página Service Portal Index (Índice de Service Portal).3. En el contenedor Order Something (Realizar pedido), añada el widget My AWS Products (Mis

productos de AWS).4. El nuevo widget aparecerá en la vista principal de Service Portal.

99

AWS Service Catalog Guía del administradorInstrucciones de actualización

Páginas de Service PortalEn la siguiente sección se describen los dos páginas nuevas disponibles en la versión Beta de ServicePortal del Conector de AWS Service Catalog, My AWS Products (Mis productos de AWS) y AWS ProductDetails (Detalles del producto de AWS). Puede añadir enlaces a estas páginas en la página de inicio deService Portal o de otras páginas; para ello, utilice el mecanismo habitual de configuración de páginas deService Portal.

My AWS Products (Mis productos de AWS)

Proporciona una visión general de todos los productos aprovisionados que son propiedad del usuario. Losproductos finalizados se muestran por separado de los vigentes en un panel que se encuentra contraído alcargar la página.

La página My AWS Products (Mis productos de AWS) está disponible con el siguiente formato:

http://<insertinstancename>.service-now.com/sp?id=aws_sc_pp

AWS Product Details (Detalles del producto de AWS)

Proporciona detalles de un único producto aprovisionado.

La página AWS Product Details (Detalles del producto de AWS) está disponible con el siguiente formato:

http://<insertinstancename>.service-now.com/sp?id=aws_sc_pp_details&sys_id=<provisioned product id>

Instrucciones de actualizaciónEn esta sección se proporcionan los pasos de actualización a partir de una versión anterior del Conectorde AWS Service Catalog para ServiceNow.

Para actualizar a la versión más reciente del Conector

1. Desactive la caché de la plataforma ServiceNow escribiendo la siguiente dirección URL: https://[InsertServiceNowInstanceNameHere]/cache.do

Note

Asegúrese de instalar el conjunto de actualización en un entorno de pruebas o que no sea deproducción. Consulte a un administrador del sistema de ServiceNow si necesita autorizaciónpara limpiar la caché de la plataforma ServiceNow.

2. Limpieza de la caché del navegador web.3. Si la actualización se va a realizar a partir de una versión anterior, los permisos de las tablas de la

plataforma ServiceNow (User Criteria y Catalog Variable Set) ya no serán necesarios en el Conectorpara ServiceNow.

4. Permisos Enable (Habilitar) de las tablas de la plataforma ServiceNow (Category y Catalog ItemCategory).

5. En el caso de los productos de AWS que van a aparecer en las carteras de AWS como subcategoríasde ServiceNow Service Catalog, debe modificar el formulario Application Access (Acceso de lasaplicaciones) de las tablas Category y Catalog Item Category.

6. Escriba "Tables" (Tablas) en el navegador y seleccione System Definition (Definición del sistema),Tables (Tablas).

7. En la lista de tablas, busque una tabla con la etiqueta "Category" (Categoría) o con el nombre"sc_category". Aparecerá la lista de tablas. Seleccione Category (Categoría) para ver el formulario quedefine la tabla.

100

AWS Service Catalog Guía del administradorInstrucciones de actualización

8. Seleccione la pestaña "Application Access" (Acceso de las aplicaciones) del formulario y active lascasillas "Can Create" (Puede crear), “Can Update (Puede actualizar) y "Can delete" (Puede eliminar).Haga clic en el botón "Update" (Actualizar).

9. Repita los pasos que se han explicado en la tabla Category con la tabla "Catalog ItemCategory" (escriba sc_cat_item_category en el campo “Go to Name Search”).

10. En el panel de ServiceNow, escriba plugins (complementos) en el panel de navegación de la partesuperior izquierda.

11. Cuando aparezca la página System Plugins (Complementos del sistema), junto a la lista desplegableName (Nombre) busque user criteria (criterios de usuario).

12. Elija User Criteria Scoped API (API con ámbito de criterios de usuario) y, a continuación, seleccioneActivate (Activar).

13. Descargue el conjunto de actualizaciones del Conector para ServiceNow de la tienda de ServiceNow.En el caso de aquellos usuarios que vayan a instalar el conjunto de actualizaciones en una instanciapersonal del desarrollador (PDI) de ServiceNow, descargue el código del Conjunto de actualizacionesdel Conector para ServiceNow versión 2.3.4.

El conjunto de actualizaciones del Conector para ServiceNow versión 2.3.4 puede utilizarse con lasversiones “Madrid”, “New York” u “Orlando” de la plataforma ServiceNow.

14. En el panel de ServiceNow, escriba update sets (conjuntos de actualizaciones) en el panel denavegación situado en la parte superior izquierda.

15. Elija Retrieved Update Sets (Conjuntos de actualización recuperados) en los resultados.16. Seleccione Import Update Set from XML (Importar conjunto de actualización de XML) y actualice el

archivo XML de la versión.17. Seleccione el conjunto de actualización AWS Service Catalog Connector for ServiceNow.18. Elija Preview Update Set (Vista previa del conjunto de actualización), con lo que ServiceNow validará

el conjunto de actualización del conector.19. Elija Update.20. Elija Commit Update Set (Confirmar conjunto de actualización) para aplicar el conjunto de

actualización y crear la aplicación. Este procedimiento debe completarse al 100 %.

Para actualizar los permisos de AWS

1. Vaya a Creación de políticas de IAM. Siga las instrucciones indicadas para crear una políticadenominada SCConnectorAdmin que permita a los administradores de ServiceNow eliminar losproductos de AWS Service Catalog en ServiceNow que no tengan asociadas acciones de autoservicio.Los administradores de ServiceNow también pueden ver los presupuestos asociados a carterasy productos de AWS Service Catalog. Copie la siguiente política y péguela en Policy Document(Documento de política):

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "servicecatalog:DisassociateProductFromPortfolio", "servicecatalog:DeleteProduct", "servicecatalog:DeleteConstraint", "servicecatalog:DeleteProvisionedProductPlan", "servicecatalog:DeleteProvisioningArtifact", "servicecatalog:ListBudgetsForResource", "budgets:ViewBudget" ],

101

AWS Service Catalog Guía del administradorInstrucciones de actualización

"Resource": "*" } ] }

Note

La política deServiceCatalogServiceNowAdditionalPermissions de AWS ya no es necesariapara el Conector para ServiceNow.

2. Cree una política denominada ServiceCatalogSSMActionsBaseline. Siga las instrucciones de Creaciónde políticas de IAM y pegue lo siguiente en el editor de JSON:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ] }

3. Actualice la política AWSCloudFormationFullAccess. Elija Create policy (Crear política) y pegue losiguiente en el editor de JSON:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet",

102

AWS Service Catalog Guía del administradorConector para Jira Service Desk

"cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource": "*" } ]}

Note

AWSCloudFormationFullAccess ahora incluye permisos adicionales para ChangeSets.4. Asocie las políticas de IAM ServiceCatalogSSMActionsBaseline y AWSCloudFormationFullAccess

al rol SCConnectLaunch, que se creó durante la configuración de the section called “Permisos dereferencia” (p. 85).

5. El Conector para ServiceNow incluye la posibilidad de que los administradores de ServiceNow veanpresupuestos relacionados con productos y carteras de AWS Service Catalog. Los administradoresde AWS Service Catalog pueden crear o asociar presupuestos a carteras y productos. Paraobtener información sobre la creación y la asociación de presupuestos, consulte the section called“Administración de presupuestos” (p. 65).

Para añadir un tipo de solicitud de cambio

1. Al efectuar una actualización a partir de una versión anterior de la alicación con ámbito de AWSService Catalog, debe eliminar el tipo de solicitud de cambio AWS Product Termination (Finalizaciónde producto de AWS) para poder crear un nuevo tipo de solicitud de cambio.

2. Además, es preciso añadir un nuevo tipo de solicitud de cambio denominado AWS ProvisionedProduct Event (Evento de producto aprovisionado de AWS) para que la aplicación con ámbito activeuna solicitud de cambio automatizada en Change Management (Administración de cambios). Paraobtener instrucciones, consulte las instrucciones sobre cómo añadir un nuevo tipo de solicitud decambio.

• Abra una solicitud de cambio existente.• Abra el menú contextual de Type (Tipo) y, a continuación, elija Show Choice List (Mostrar lista de

opciones).• Elija New (Nueva) y rellene los campos siguientes:

Table (Tabla): Change request

Label (Etiqueta): AWS Provisioned Product Event

Value (Valor): AWSProvisionedProductEvent

Sequence (Secuencia): elija el siguiente valor que no esté en uso• Envíe el formulario.

AWS Service Management Connector para JiraService Desk

Para ayudar a los clientes a integrar el aprovisionamiento de productos de AWS seguros, conformescon las normativas y preaprobados en el portal de Jira Service Desk, AWS ha creado AWS Service

103

AWS Service Catalog Guía del administradorIntroducción

Management Connector para Jira Service Desk (denominado anteriormente AWS Service ManagementConnector).

AWS Service Management Connector para Jira Service Desk permite a los usuarios finales de JiraService Desk aprovisionar, administrar y operar recursos de AWS de forma nativa a través de Jira ServiceDesk de Atlassian. Los administradores de Jira Service Desk pueden proporcionar recursos de AWSpreaprobados, seguros y controlados a los usuarios finales mediante AWS Service Catalog, ejecutar guíasde automatización a través de AWS Administrador de sistemas y realizar un seguimiento de los recursosen una vista de elementos de configuración habilitada por AWS Config en Jira Service Desk con AWSService Management Connector.

Los usuarios finales de Jira Service Desk pueden examinar, solicitar y aprovisionar soluciones de AWSpreviamente protegidas, ver detalles de elementos de configuración de productos aprovisionados yejecutar flujos de trabajo dentro de Jira Service Desk en recursos de AWS. Esto simplifica las acciones desolicitud de productos de AWS para los usuarios de Jira Service Desk y proporciona control y gobierno delos productos de AWS a través de Jira Service Desk.

El conector suministrado por AWS está disponible sin costo alguno en Atlassian Marketplace. Esta nuevacaracterística está disponible con carácter general en todas las regiones de AWS donde los servicios AWSService Catalog, AWS Config y AWS Administrador de sistemas están disponibles.

Temas• Introducción (p. 104)• Lanzamientos y versiones compatibles con Jira Service Desk (p. 105)• Introducción (p. 105)• Notas de la versión (p. 106)• Permisos de referencia (p. 107)• Configuración de AWS Service Catalog (p. 111)• Configuración de Jira Service Desk (p. 112)• Configuración y caso de uso de la administración del ciclo de vida de TI (p. 117)• Validación de configuraciones (p. 122)• Características adicionales del administrador de Jira (p. 123)

IntroducciónAWS Service Catalog le permite administrar de manera centralizada los servicios de AWS implementadosy los productos de software aprovisionados con más frecuencia. Ayuda a la organización a cumplirsistemáticamente los requisitos de control y cumplimiento, a la vez que permite a los usuarios implementarrápidamente tan solo aquellos servicios de AWS aprobados que necesitan.

AWS Config le permite evaluar, auditar y analizar las configuraciones de sus recursos de AWS. AWSConfig monitorea y registra continuamente las configuraciones de recursos de AWS y le permiteautomatizar la comparación de las configuraciones registradas con las configuraciones deseadas.

AWS Administrador de sistemas le ofrece visibilidad y control de su infraestructura de AWS. SystemsManager le ofrece una interfaz de usuario unificada para que pueda ver los datos operativos de variosservicios de AWS y le permite automatizar tareas operativas en todos sus recursos de AWS.

Atlassian Jira Service Desk es un software de escritorio de servicio para equipos de TI modernos. Los tiposde solicitud de Jira Service Desk permiten el autoservicio para los desarrolladores y usuarios finales, paraque puedan solicitar servicios de TI en función de las aprobaciones de cumplimiento de solicitudes y losflujos de trabajo.

104

AWS Service Catalog Guía del administradorLanzamientos y versiones

compatibles con Jira Service Desk

Lanzamientos y versiones compatibles con JiraService DeskAWS Service Management Connector para Jira Service Desk es compatible con las versiones Server yData Center de Jira Service Desk. Las versiones de software de Jira (Jira Service Desk) son compatiblescon la versión actual y una versión anterior en cada una de las distribuciones principales, secundarias ypuntuales:

• Jira 8.8.0 (JSD 4.8.0)• Jira 8.7.1 (JSD 4.7.1)• Jira 8.7.0 (JSD 4.7.0)• Jira 8.6.1 (JSD 4.6.1)• Jira 8.5.4 (JSD 4.5.4)• Jira 7.13.13 (JSD 3.16.13)

También hay un conector de Jira Service Desk Cloud para el marketplace Atlassian. Para obtener másinformación, consulte AWS Service Catalog para Jira Service Desk Cloud.

IntroducciónAntes de instalar AWS Service Management Connector para Jira Service Desk, necesita una cuenta deAWS y una instancia de Atlassian con Jira Service Desk preinstalada. Compruebe que dispone de lospermisos necesarios en su cuenta de AWS y que tiene el software Jira Service Desk.

Para ver un vídeo sobre cómo integrar productos de AWS en su portal de Jira Service Desk, consulteIntegrar productos de AWS en su portal de Jira Service Desk.

Para obtener un archivo zip con código adicional de Connector, así como archivos de AWS Configuration,descargue y extraiga AWS Service Management Connector for JSD-Configuration Files.

Note

El inicio rápido de implementación de referencia de productos Jira en AWS está disponible parautilizar los recursos de AWS de la infraestructura necesaria para instalar la versión del centro dedatos de Jira Service Desk.

Requisitos previos de AWSPrimeros pasos:

• Para usar AWS Service Catalog con Connector, necesita una cuenta de AWS para configurar suscarteras y productos de AWS. Para obtener más información, consulte Configuración para AWS ServiceCatalog (p. 7).

• Para ver los datos de AWS Config, es necesario configurar los ajustes del servicio para registrar datospara los tipos de recursos de su interés. Se recomienda incluir productos aprovisionados y pilas de AWSCloudFormation, además de los principales tipos de recursos utilizados por su equipo. Para obtener másinformación, consulte Configuración de AWS Config con la consola.

• Para utilizar la automatización de AWS Administrador de sistemas con Connector, no se requiereninguna configuración en AWS. AWS proporciona una serie de documentos de automatización comoestándar. Si desea utilizar documentos de automatización adicionales, estarán disponibles en elcomplemento Connector. Para obtener más información, consulte Uso de documentos de Automation(cuadernos de trabajo).

105

AWS Service Catalog Guía del administradorNotas de la versión

Para cada cuenta de AWS, el complemento Connector para Jira Service Desk también requiere acceso ala API con the section called “Permisos de referencia” (p. 85) como se describe a continuación.

Requisitos previos de Jira Service DeskAdemás de su cuenta de AWS, necesita instalar el software de Jira Service Desk en su instancia deAtlassian para poder instalar el complemento AWS Service Management Connector. El administrador deJira Service Desk necesita el rol de administrador para instalar el complemento AWS Service ManagementConnector.

Antes de configurar el conector de AWS, asegúrese de seguir las recomendaciones de Atlassian paraproteger las instancias de Jira Service Desk. Para obtener más información, consulte Prevención deataques de seguridad.

El complemento Conector para Jira Service Desk está disponible para su descarga en el Marketplace deAtlassian.

Notas de la versiónLa versión 1.5.0 de AWS Service Management Connector para Jira Service Desk (denominadoanteriormente AWS Service Management Connector) incluye:

Características de integración de AWS Service Catalog

• Representación de carteras y productos de AWS Service Catalog en las vistas del Portal del Cliente deJira Service Desk y Jira Agent.

• Capacidad de los administradores de Jira Service Desk para asociar grupos de aprobación de JiraService Desk a carteras de AWS Service Catalog para requerir aprobaciones para solicitudes deproductos de usuario de Jira Service Desk.

• La capacidad de los usuarios de Jira Service Desk para solicitar productos de AWS Service Catalog através de Jira Service Desk.

• La capacidad de los administradores para ver los presupuestos de los productos y la cartera y los costesreales. (Requiere que los presupuestos se asocien a AWS Service Catalog.)

• Soporte para acciones de autoservicio de AWS Service Catalog para que los usuarios de Jira ServiceDesk actualicen y terminen los productos.

• Compatibilidad con AWS CloudFormation StackSets, lo que permite lanzar productos de AWS ServiceCatalog en varias regiones y cuentas.

• Compatibilidad con conjuntos de cambios de AWS CloudFormation, lo que permite obtener una vistaprevia de los cambios realizados en los recursos antes de un lanzamiento o una actualización.

Características de integración de AWS Config

• Representación de detalles de elementos de configuración de AWS Config de productos de AWSaprovisionados mediante una solicitud de Jira Service Desk.

• La capacidad de ver las relaciones de elementos de configuración en una estructura de árbol.• La capacidad de asociar los datos de los elementos de AWS Config con incidencias de Jira.

Características de integración de AWS Administrador de sistemas

• Representación de documentos de automatización de AWS Administrador de sistemas en las vistasCustomer Portal y Jira Agent de Jira Service Desk.

• La capacidad de que los administradores de Jira Service Desk asocien la automatización de AWSAdministrador de sistemas con proyectos de Jira.

106

AWS Service Catalog Guía del administradorPermisos de referencia

• La capacidad de que los usuarios de Jira Service Desk soliciten y ejecuten documentos deautomatización de AWS Administrador de sistemas a través de Jira Service Desk.

• La capacidad de crear incidencias de Jira (incidentes) que proporcionen sugerencias de correcciónprocesables a través de un documento de automatización de AWS Administrador de sistemas específicode Connector.

• Compatibilidad con varias cuentas de AWS.• Compatibilidad con los puntos de enlace y uso de FIPS en la región de AWS GovCloud West.• Compatibilidad con las versiones más recientes de Server y Data Center de Jira Service Desk.

Permisos de referenciaEn esta sección se proporcionan instrucciones sobre cómo configurar los usuarios y los permisos deAWS de referencia que se necesitan para AWS Service Management Connector para Jira Service Desk.Para cada cuenta de AWS, el complemento Connector para Jira Service Desk requiere dos conjuntos deidentificador de clave de acceso y clave secreta para el acceso a la API. Estos se corresponden con losusuarios de AWS Identity and Access Management (IAM). En concreto, debe configurar:

• Un usuario de IAM para sincronizar los recursos de AWS con Jira Service Desk.• Un usuario de IAM capaz de ejecutar la funcionalidad de usuario final para aprovisionar y ejecutar las

solicitudes expuestas a través de Jira Service Desk, incluida la adopción de cualquier rol necesario pararealizar el aprovisionamiento y la ejecución (se recomiendan los roles de lanzamiento de AWS ServiceCatalog).

Pueden ser el mismo usuario y usuarios que ya existan, pero de acuerdo con la práctica recomendada deconcesión de permisos mínimos, se recomienda que sean dos nuevos usuarios de Connector.

A continuación, se incluyen todos los detalles de los permisos requeridos por estos usuarios, con unaplantilla de AWS CloudFormation para facilitar la configuración. Los permisos de referencia permiten alusuario final aprovisionar los siguientes servicios de AWS: Amazon Simple Storage Service y AmazonElastic Compute Cloud. Para permitir que los usuarios finales aprovisionen servicios de AWS con máspermisos que los se incluyen como referencia, debe incluir los permisos de servicios de AWS adicionalesen los roles correspondientes.

Note

Para utilizar una plantilla de AWS CloudFormation para definir las configuraciones de AWS deConector para Jira Service Desk, consulte las dos JSON AWS Configurations para Connectorpara Jira Service Desk v1.5.0: regiones comerciales de AWS y Connector para Jira Service Deskv1.5.0: región AWS GovCloud Oeste.

Creación de un usuario de sincronización de AWS ServiceManagement ConnectorEn la siguiente sección se describe cómo crear un usuario de sincronización de AWS Connector y asociarel permiso de IAM correspondiente. Para llevar a cabo esta tarea, se necesitan permisos de IAM para crearnuevos usuarios.

Para crear un usuario de sincronización de AWS Service Management Connector

1. Vaya a Creación de un usuario de IAM en su cuenta de AWS. Siga las instrucciones indicadas paracrear un usuario de sincronización (es decir, SCSyncUser). El usuario necesita acceso medianteprogramación y de Consola de administración de AWS para seguir las instrucciones de instalación delConector para Jira Service Desk.

107

AWS Service Catalog Guía del administradorPermisos de referencia

2. Establezca permisos para el usuario de sincronización (SCSyncUser). Elija Attach existingpolicies directly (Asociar las políticas existentes directamente) y seleccione la políticaAWSServiceCatalogAdminReadOnlyAccess y la política AmazonSSMReadOnlyAccess.

3. Agregue también una política que permita budgets:ViewBudget en todos los recursos (*).4. Revise y elija Create User (Crear usuario).5. Tenga en cuenta la información de acceso y acceso secreto. Descargue el archivo.csv que contiene la

información de credenciales del usuario.

Creación de usuario final de AWS Service ManagementConnectorEn la siguiente sección se describe cómo crear el usuario final de AWS Service Management Connectory asociar los permisos de IAM correspondientes. Para llevar a cabo esta tarea, se necesitan permisos deIAM para crear nuevos usuarios.

Para crear un usuario final de AWS Service Management Connector

1. Vaya a Creación de un usuario de IAM en su cuenta de AWS. Siga las instrucciones indicadas paracrear un usuario (por ejemplo, SCEndUser). El usuario necesita acceso mediante programación y deConsola de administración de AWS para seguir las instrucciones de instalación del Conector para JiraService Desk.

2. Para los productos que utilizan AWS CloudFormation StackSets, debe crear una política insertada deconjunto de pilas. Con AWS CloudFormation StackSets, puede crear productos que se implementenen varias cuentas y regiones. Utilizando una cuenta de administrador, defina y administre una plantillade AWS Service Catalog, y utilícela como base para aprovisionar pilas en las cuentas de destinoseleccionadas en las regiones especificadas. Debe tener los permisos necesarios definidos en suscuentas de AWS.

Para configurar los permisos necesarios, vaya a Concesión de permisos paraoperaciones de Stack Set. Siguiendo las instrucciones que se indican allí, cree unrolAWSCloudFormationStackSetAdministrationRole y AWSCloudFormationStackSetExecutionRole.

3. Cree la política en línea del conjunto de pilas para habilitar el aprovisionamiento de un producto envarias regiones en una cuenta, reemplazando la cadena de números arn por el número de cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole" } ]

108

AWS Service Catalog Guía del administradorPermisos de referencia

}

Note

Las plantillas Connector para Jira Service Desk v1.5.0: regiones comerciales de AWS yConnector para Jira Service Desk v1.5.0: región AWS GovCloud Oeste incluyen los permisosdel conjunto de pilas de AWS CloudFormation.

4. Añada los siguientes permisos (políticas) al usuario SCEndUser:

• AWSServiceCatalogEndUserFullAccess - (política administrada de AWS)• StackSet - (política insertada)• AmazonS3ReadOnlyAccess• AmazonEC2ReadOnlyAccess• AWSConfigUserAccess

Note

Para productos de AWS Service Catalog con AWS CloudFormation StackSets, debe incluirlos permisos de solo lectura para los servicios que desea aprovisionar. Por ejemplo, paraaprovisionar un bucket de Amazon S3, incluya la política AmazonS3ReadOnlyAccess en elrol SCEndUser.

5. Agregue también una política que permita lo siguiente en todos los recursos (*):ssm:DescribeAutomationExecutions, ssm:DescribeDocument y ssm:StartAutomationExecution.

6. Revise y elija Create User (Crear usuario).7. Tenga en cuenta la información de acceso y acceso secreto. Descargue el archivo.csv que contiene la

información de credenciales del usuario.

Creación de un rol SCConnectLaunchEn la siguiente sección se describe cómo crear el rol SCConnectLaunch. Esta función se utiliza paraincluir los permisos de referencia del servicio de AWS en las restricciones de lanzamiento de AWSService Catalog. Para obtener más información, consulte Restricciones de lanzamiento AWS ServiceCatalog (p. 40).

Para crear un rol SCConnectLaunch

1. Cree la política AWSCloudFormationFullAccess. Elija Create policy (Crear política) y pegue losiguiente en el editor de JSON.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack",

109

AWS Service Catalog Guía del administradorPermisos de referencia

"cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource": "*" } ]}

2. Cree una política denominada ServiceCatalogSSMActionsBaseline. Siga las instrucciones indicadasen Creación de políticas de IAM y pegue lo siguiente en el editor de JSON.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ]}

3. Cree el rol SCConnectLaunch. Asigne la relación de confianza a AWS Service Catalog.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ]

110

AWS Service Catalog Guía del administradorConfiguración de AWS Service Catalog

}

4. Adjunte las políticas pertinentes al rol SCConnectLaunch. Adjunte las siguientes políticas de referenciade IAM:

• AmazonEC2FullAccess (política administrada de AWS)• AmazonS3FullAccess (política administrada de AWS)• AWSCloudFormationFullAccess (política administrada personalizada)• ServiceCatalogSSMActionsBaseline (política administrada personalizada)

Note

Para utilizar una plantilla de AWS CloudFormation para definir las configuraciones de AWS deConector para Jira Service Desk, consulte las dos JSON AWS Configurations para Connectorpara Jira Service Desk v1.5.0: regiones comerciales de AWS y Connector para Jira Service Deskv1.5.0: región AWS GovCloud Oeste.

Configuración de AWS Service CatalogAhora que ha creado dos usuarios de IAM con los permisos de referencia en cada cuenta, el siguientepaso consiste en configurar AWS Service Catalog. En esta sección se describe cómo configurar AWSService Catalog de manera que tenga una cartera que incluya un producto de bucket de AmazonS3. Utilice la plantilla Amazon S3 que se encuentra en Creación de un bucket de Amazon S3 para elalojamiento de sitios web para su producto preliminar. Copie y guarde la plantilla de Amazon S3 en sudispositivo.

Para configurar AWS Service Catalog

1. Cree una cartera siguiendo los pasos de Paso 3: Crear una cartera de AWS Service Catalog (p. 14).2. Para añadir el producto de bucket de Amazon S3 a la cartera que acaba de crear, vaya a la consola

de AWS Service Catalog y, en la página Upload new product (Actualizar nuevo producto), escriba losdetalles del producto.

3. En Select template (Seleccionar plantilla), seleccione la plantilla de AWS CloudFormation del bucketde Amazon S3 que ha guardado en el dispositivo.

4. Establezca Constraint type (Tipo de restricción) en Launch (Lanzar) para el producto queacaba de crear con el rol SCConnectLaunch en los permisos de referencia. Para obtener másinstrucciones sobre restricciones de lanzamiento, consulte Restricciones de lanzamiento AWS ServiceCatalog (p. 40).

Note

El diseño de configuración de AWS requiere que cada producto de AWS Service Catalog tengauna restricción de lanzamiento o StackSet. Si no se respeta este paso, podría aparecer elmensaje Unable to Retrieve Parameter (No se puede recuperar el parámetro) en el catálogo deservicios de Jira Service Desk.

Creación de restricciones de conjunto de pilasAWS CloudFormation StackSets permite a los usuarios crear productos que se implementan en variascuentas y regiones. En AWS Service Catalog, una restricción de conjunto de pilas le permite configurar lasopciones de implementación del producto.

111

AWS Service Catalog Guía del administradorConfiguración de Jira Service Desk

Para aplicar una restricción de StackSet a un producto de AWS Service Catalog

1. Obtenga acceso a AWS Service Catalog como administrador del catálogo.2. Elija la cartera que contiene el producto al que desea aplicar una restricción.3. Expanda Constraints (Restricciones) y elija Add constraints (Añadir restricciones).4. Elija el producto en Product y establezca Constraint type (Tipo de restricción) en Stack Set (Conjunto

de pila). Elija Continue.5. En Stack Set constraint page (Página de restricciones de conjunto de pilas), escriba una descripción.6. Elija las cuentas en las que desea crear productos.7. Elija las regiones en las que desea implementar productos. Los productos se implementan en estas

regiones en el orden que especifique.8. Elija el rol AWSCloudFormationStackSetAdministratorRole que se utilizará para administrar sus

cuentas de destino.9. Elija el rol AWSCloudFormationStackSetExecutionRole que asumirá el rol de administrador.10. Elija Submit.

Tenga en cuenta que las plantillas Conector para Jira Service Desk v1.5.0: regiones comerciales deAWS y Conector para Jira Service Desk v1.5.0: región AWS GovCloud Oeste crean los permisos ylas salidas necesarias para las restricciones del conjunto de pilas. Ejemplo de salidas del conjunto depilas:

SCStackSetAdministratorRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole SCIAMStackSetExecutionRoleName AWSCloudFormationStackSetExecutionRole SCIAMAdminRoleARN arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole

Tenga en cuenta que los productos de AWS Service Catalog pueden tener un conjunto de pila o unarestricción de lanzamiento, pero no ambos.

Configuración de Jira Service DeskAWS Service Management Connector para Jira Service Desk se publica como un complementoconvencional de Jira Service Desk. Los complementos son cambios de código en el software de Jiraque amplían su funcionalidad o amplían la funcionalidad del software Jira Service Desk. El complementoConector para Jira Service Desk está disponible para su descarga en el Marketplace de Atlassian.

Después de completar las configuraciones de IAM y AWS Service Catalog, debe configurar Jira ServiceDesk. Las tareas de instalación de Jira Service Desk incluyen:

• Borrar la caché del navegador web.• Instalar el complemento Conector para Jira Service Desk.• Configure el complemento AWS Service Management Connector, que incluye cuentas, sincronización de

programación y permisos de solicitud/aprobación.

Borrar la caché del navegador webBorre la caché de su navegador web para eliminar formularios de Jira Service Desk renderizadosanteriormente.

112

AWS Service Catalog Guía del administradorConfiguración de Jira Service Desk

Instalación del complemento Conector de Jira Service Desk1. Inicie sesión en su instancia de Jira como administrador.2. Abra el menú de administración y elija Add-ons (Complementos).3. En la pantalla Manage add-ons (Administrar complementos) seleccione Find new apps (Buscar nuevas

aplicaciones) o Find new add-ons (Buscar nuevos complementos) en la parte izquierda de la página.4. Busque AWS Service Management Connector para JSD. Los resultados de búsqueda deben incluir

versiones de aplicación compatibles con su instancia de Jira.5. Seleccione Install (Instalar) para descargar e instalar la aplicación.6. Continúe con Configuring AWS Accounts and Regions (Configuración de cuentas y regiones de AWS).

También puede descargar el código desde el archivo OBR: AWS Service Management Connector for JiraService Desk v1.5.0 OBR.

1. Paso 1: Ir a Manage apps (Administrar aplicaciones).2. Seleccione Upload app (Cargar aplicación) y cargue el archivo OBR.3. Continúe con Configuring AWS Accounts and Regions (Configuración de cuentas y regiones de AWS).

El complemento Conector para la versión 1.5.0 de Jira Service Desk se puede aplicar a las siguientesversiones de software de Jira (Jira Service Desk): desde la versión 7.11.2 (JSD 3.14.2) hasta la versiónJira 8.5.1 (JSD 4.5.1).

Configuración de cuentas y regiones de AWSUna vez instalado AWS Service Management Connector, configúrelo eligiendo el icono de administraciónde Jira en la parte superior derecha y luego seleccionando Add-ons (Complementos).

1. En la sección AWS Service Catalog del menú de navegación izquierdo, elija AWS accounts (Cuentasde AWS).

2. Seleccione Connect new account (Conectar nueva cuenta).3. Introduzca el alias de la cuenta (utilizado para identificar la cuenta de AWS en el Conector).4. Introduzca las credenciales de SC-Sync-User. Ésta es la identidad de la clave de acceso y las

credenciales de un usuario de sincronización guardado de la configuración de AWS. Las credencialesde SC-sync-user se utilizan para recuperar carteras y productos para ponerlos a disposición a travésde Jira Service Desk. Usted tendrá la oportunidad de establecer los grupos que tendrán permitidoacceder a ellos.

5. Introduzca las credenciales de SC-end-user. Ésta es la identidad de la clave de acceso y lascredenciales del usuario final guardadas de la configuración de AWS. Las credenciales de SC-end-user se utilizan para aprovisionar productos en nombre de un usuario de Jira.

6. Añada las regiones de AWS que contengan productos y carteras de AWS Service Catalog que quieraque estén disponibles en Jira Service Desk.

7. Elija Test Connectivity (Probar conectividad).8. Cuando el estado de la conexión sea correcto, elija Connect (Conectar).

Note

Se recomienda que el usuario de sincronización y el usuario final sean nuevos usuarios de AWSque solo se utilicen con AWS Service Management Connector. Estos usuarios deben tener unosprivilegios mínimos requeridos. Hay disponible una plantilla de AWS CloudFormation con lospermisos mínimos para AWS Service Management Connector.

113

AWS Service Catalog Guía del administradorConfiguración de Jira Service Desk

Configuración de carteras de AWS Service Catalog dentro de JiraAcceso al producto de AWS

En esta sección se describe cómo configurar carteras de AWS Service Catalog dentro de Jira.

Una vez que su cuenta o cuentas estén configuradas y la conectividad sea correcta, utilice la páginaAWS Account (Cuenta de AWS) para administrar, para cada cuenta, qué grupos tienen permiso paraacceder a cada cartera de cada región. Puede expandir y contraer cada Región y editar y añadir gruposen cada cartera. Solo los usuarios de los grupos designados tienen acceso a esos productos. De formapredeterminada, ningún grupo tiene acceso.

Note

Debe haber al menos un grupo asociado a una cartera de AWS Service Catalog para que losusuarios finales de Jira Service Desk puedan solicitar productos de AWS.

Aprovisionar productos y carteras

1. Elija AWS Accounts (Cuentas de AWS).2. Elija Manage (Administrar) para la cuenta de AWS en la que quiera configurar carteras.3. En Portfolios (Carteras), expanda la Región asociada a la cuenta. Las carteras se muestran bajo cada

región.4. En la columna Permission to request (Permiso para solicitar) elija Add groups (Añadir grupos) para las

carteras que quiera hacer visibles en Jira Service Desk. Seleccione el grupo que quiera que pueda very solicitar productos de AWS Service Catalog.

Note

Debido a que AWS Service Management Connector para Jira Service Desk permite a losusuarios de Jira aprovisionar productos de AWS en las carteras a las que tienen accesosus grupos, y controlar los productos aprovisionados, se debe recordar a los usuarios laimportancia de mantener la seguridad de sus cuentas de Jira.

5. Si los productos de esta cartera no requieren aprobaciones, seleccione Save (Guardar).

Aprobaciones de Jira Service Desk para productos en carteras de AWS ServiceCatalog

AWS Service Management Connector para Jira Service Desk permite a los administradores configuraraprobaciones para productos en el nivel de cartera. Todos los productos dentro de una cartera quecontiene permisos de aprobación requerirán aprobación, por lo que es posible que los administradores deJira deban colaborar con AWS en la estructura de la cartera de AWS Service Catalog.

Para configurar el proceso de aprobación

1. Elija AWS Accounts (Cuentas de AWS).2. Elija Manage (Administrar) en la cuenta de AWS para la que quiera configurar las aprobaciones de

cartera.3. En la columna Permission to approve (Permiso para aprobar) elija Add groups (Añadir grupos) para las

carteras que requieren aprobaciones de productos.4. Seleccione Require approval for provisioning (Requerir aprobación para el aprovisionamiento).5. En Permission to approve (Permiso para aprobar), elija Add group (Añadir grupo).6. Seleccione Save.

114

AWS Service Catalog Guía del administradorConfiguración de Jira Service Desk

Note

Si una cartera sólo tiene un grupo asociado con Permissions to request (Permisos para solicitar),los productos de la cartera se aprovisionan inmediatamente cuando se envía la solicitud deproducto.

Visualización de productos y presupuestosOtras dos pestañas de la sección Admin -> AWS Accounts -> Manage (Administración > Cuentas de AWS> Administrar) le permiten ver información sobre las carteras, a modo de referencia. La pestaña AvailableProducts (Productos disponibles) muestra los productos de la cartera y la información presupuestaria decada uno de ellos. La pestaña Budgets (Presupuestos) proporciona información presupuestaria generalsobre la cartera.

Configuración de la cuenta para otras características del complemento ConnectorNo hay configuraciones en el nivel de cuenta para los demás aspectos de AWS expuestos a través de JSDConnector, como AWS Config y automatización de AWS Administrador de sistemas.

Configuración de los ajustes del Conector (habilitación delproyecto Jira y tipo de solicitud)A continuación, AWS Service Management Connector para Jira Service Desk requiere que el complementoesté asociado a un proyecto de Jira y a un tipo de solicitud. Puede configurar qué características deConnector están habilitadas para cada proyecto de Jira.

Para una nueva instalación de Connector, la configuración predeterminada del proyecto es habilitar todaslas características de Connector (AWS Service Catalog, AWS Config y AWS Administrador de sistemas).Si va a actualizar una instalación existente, por razones de seguridad, las nuevas características noestarán habilitadas inicialmente.

Para configurar las características predeterminadas de Connector para servicios específicos deAWS

1. En el menú de navegación de la izquierda, en AWS Service Catalog, seleccione Connector Settings(Configuración del Conector).

2. En la parte superior, en Connector features enabled by default (Características de Connectorhabilitadas de forma predeterminada), seleccione cada elemento dependiendo de si desea que losproyectos que utilicen la configuración predeterminada puedan usarlas o no.

3. Elija Save (Guardar).

Para configurar los proyectos de Jira para los que está habilitado AWS Service ManagementConnector para Jira Service Desk

1. En el menú de navegación de la izquierda, en AWS Service Management Connector, seleccioneConnector settings (Configuración de Connector).

2. En Projects enabled for Connector (Proyectos habilitados para Connector), debe habilitar al menosun proyecto de Jira. Puede crear un nuevo proyecto Jira Service Desk o añadir uno existente. Sololos usuarios con acceso al proyecto asociado podrán acceder al Conector. Cuando se aplica estaactualización, Conector añade los tipos de problema necesarios y otros elementos de Jira necesariospara que los productos de AWS Service Catalog estén disponibles en esos proyectos. Puede volver aesta pantalla y añadir o eliminar proyectos en cualquier momento.

3. Inicialmente, los proyectos toman la configuración predeterminada en lo que respecta a lascaracterísticas de Connector que están habilitadas. Haga clic en Edit (Editar) en una fila de proyectopara cambiar la configuración de los distintos proyectos. Se permite que los proyectos utilicen máscaracterísticas que las predeterminadas.

115

AWS Service Catalog Guía del administradorConfiguración de Jira Service Desk

4. Elija Save (Guardar).

Note

Para que los usuarios finales puedan solicitar productos de AWS Service Catalog, debenhabilitarse uno o más proyectos y los usuarios deben tener permisos de Jira para crearincidencias en el proyecto de Jira y "Permiso para solicitar" en la configuración de Jira para lacuenta de AWS para al menos una cartera con productos.

Consideraciones sobre la habilitación de AWS Administrador de sistemas: actualmente no se admite tenerpermisos detallados en Jira que indiquen a qué documentos de automatización de AWS Administradorde sistemas tienen acceso los usuarios o grupos. Si un proyecto está habilitado para Systems ManagerAutomation, cualquier usuario con permiso para crear incidencias en ese proyecto tendrá la capacidadde ejecutar cualquiera de las automatizaciones. El acceso puede restringirse limitando a los usuarios quetienen acceso a proyectos con la automatización de AWS Administrador de sistemas habilitada.

Para configurar los ajustes operativos de AWS Service Management Connector para Jira ServiceDesk

1. En el menú de navegación de la izquierda, en AWS Service Management Connector, seleccioneConnector settings (Configuración de Connector).

2. En Operational settings (Configuración operativa), en el campo Synchronization interval (Intervalo desincronización) puede cambiar el intervalo de sincronización si lo desea. Este intervalo determina lafrecuencia con la que Jira Service Desk se sincroniza con AWS. Al aumentar este número, se reduciráel número de llamadas de la API a AWS, pero se tardará más tiempo en reflejar las actualizacionesde las carteras de AWS y los documentos de automatización en el complemento Connector. Lainformación sobre el aprovisionamiento activo de productos y las ejecuciones de automatización encurso se actualiza con más frecuencia.

3. Elija Save (Guardar).

Configuración de grupos de tipos de solicitud de proyectoEl tipo de solicitud de AWS debe estar en un grupo para que los usuarios puedan acceder a él en JiraService Desk. Al habilitar los proyectos de Jira, como se describe en Configuración de los ajustes delConector (habilitación del proyecto Jira y tipo de solicitud) (p. 115), los tipos de solicitud de producto deAWS están disponibles, pero los usuarios de Jira Service Desk no verán el tipo de solicitud hasta que estase añada a un Request Type Group (Grupo de tipo de solicitud).

Para configurar tipos de solicitud

1. En AWS Service Management Connector para Jira Service Desk, vaya a la página Connector settings(Configuración de Connector) .

2. En la sección Projects (Proyectos) elija add the AWS request type (añadir el tipo de solicitud de AWS).3. Seleccione Add existing request type (Añadir tipo de solicitud existente) en la esquina superior

derecha.4. Seleccione Request AWS product (Solicitar producto de AWS) del tipo de solicitud disponible.5. Seleccione Edit groups (Editar grupos) para el tipo de solicitud Request AWS product (Solicitar

producto de AWS).6. En el formulario Edit groups (Editar grupos) seleccione General, y, a continuación, elija Save

(Guardar).

Note

Se creó un tipo de solicitud personalizada de Request AWS Product (Solicitud de producto deAWS) para el Conector para Jira Service Desk, por lo que no es necesario modificar el tipo de

116

AWS Service Catalog Guía del administradorConfiguración y caso de uso de la

administración del ciclo de vida de TI

solicitud de Request AWS Product (Solicitud de producto de AWS). Puede añadir un tipo desolicitud a un grupo existente. Si no tiene un grupo, cree un grupo nuevo y añada el tipo desolicitud.

Configuración y caso de uso de la administración delciclo de vida de TIAWS Service Management Connector para Jira Service Desk permite a los usuarios finales de Jira ServiceDesk aprovisionar, administrar y operar los recursos de AWS de forma nativa a través de Jira Service Deskde Atlassian. Para habilitar el escenario de administración del ciclo de vida de TI, debe configurar:

• Recursos vinculados a AWS Config• Soluciones recomendadas por AWS Administrador de sistemas para una incidencia• Ejemplo de caso de uso: creación automática de incidencias de Jira para la administración del ciclo de

vida de TI, corrección de buckets de S3 públicos no conformes

Soluciones de AWS Config y AWS Administrador de sistemasrecomendadas para cualquier incidencia de JiraEl complemento Connector proporciona dos campos que se pueden usar y mostrar para cualquierincidencia.

• AWS Config Linked Resources (Recursos vinculados a AWS Config): este campo permite que paracualquier entrada de AWS Config se muestre información de AWS Config en la incidencia de Jira.La información se puede ampliar y también se muestra información sobre las relaciones. Se puedenvincular varios recursos de AWS a una incidencia.

• AWS Administrador de sistemas Automation Suggested Remediation (Solución recomendada por AWSAdministrador de sistemas): este campo permite que se registren documentos de automatización deSSM para una incidencia. Estos documentos se muestran como formas recomendadas de solucionar elproblema. Cuando un usuario de Jira consulte la incidencia, podrá ver estas soluciones recomendadas yhacer clic para aplicarlas. Se pueden adjuntar varias soluciones recomendadas a una incidencia.

Los dos campos se pueden utilizar por separado, pero funcionan muy bien juntos: cuando se detecta unincidente en un recurso o conjunto de recursos de AWS, la configuración permite a un usuario de Jira verla información de configuración para confirmar o comprender mejor el problema, aplicar soluciones quecorrigen problemas comunes y, a continuación, confirmar en la información de AWS Config que se hasolucionado el problema.

Para agregar campos de AWS a una incidencia existente

1. El proyecto o proyectos deben estar habilitados para Connector. Esto se hace en Connector Settings(Configuración de Connector), bajo Admin -> Manage Add-Ons (Administración > Administrarcomplementos), como se describe en la guía de configuración de Connector.

2. Vaya a Admin (Administración), luego a Projects (Proyectos) y abra el proyecto con el que deseeutilizar estos campos.

3. Elija el tipo de incidencia que desea utilizar en el menú de la izquierda.4. Seleccione esta opción para que aparezca "Fields" (Campos) en la parte superior derecha (si no está

ya seleccionada). A continuación, debe aparecer una lista de campos habilitados para la pantalla.5. Desplácese hasta la parte inferior donde debería haber un cuadro de texto en el que puede especificar

campos adicionales. Comience a escribir "AWS" y seleccione el campo de AWS que desea utilizar.6. Elija Add (Agregar) para aplicarlo.

117

AWS Service Catalog Guía del administradorConfiguración y caso de uso de la

administración del ciclo de vida de TI

7. Repita el paso anterior para el otro campo si desea usarlo.8. Repita estos pasos para cada tipo de incidencia con el que desee utilizar estos campos. Algunos tipos

de incidencias pueden compartir pantallas, por lo que el campo ya estará agregado para algunos.

También es importante anotar el ID de campo del campo o campos que está utilizando. Esto se puedehacer yendo a Admin -> Issues -> Custom fields (Administración > Incidencias > Campos personalizados) yseleccionando Configure (Configurar) en cada campo.

Inspeccione la URL que se abre para ver el ID de campo numérico. Debería ser un número de cincodígitos. Asimismo, para cualquier incidencia en un proyecto en el que haya agregado el campo (siguiendolas instrucciones anteriores), la API REST de /rest/api/2/issue/PRJ-1/editmeta (por ejemplo,http://localhost:2990/jira/rest/api/2/issue/PRJ-1/editmeta) incluirá información sobrelos campos y debería contener una entrada customfield_#####: { ..., name: "AWS ConfigLinked Resources", ... }, donde ##### es el ID de campo numérico.

Una vez que estos campos están habilitados para proyectos y tipos de incidencias, use la API REST deJira para crear o actualizar las incidencias con valores para estos campos. Esta API se puede utilizardesde herramientas como CloudWatch, AppDynamics, Jenkins o un documento de automatizaciónSystems Manager (proporcionado en la siguiente sección). El punto de enlace de la API REST paraactualizar una incidencia es /rest/api/2/issue/issue-key y el esquema general que se pasa paraestablecer un valor es:

{ "update": { "customfield_field-ID": [ { "set": "value" } ] } }

Consulte los ejemplos siguientes o, para obtener más información sobre la API REST, consulte JIRADeveloper Documentation: Updating an Issue via JIRA REST APIs.

Recursos vinculados a AWS ConfigEl campo AWS Config Linked Resources (Recursos vinculados a AWS Config) debe establecerse enla representación de cadena JSON de una lista de objetos (mapas) correspondientes a los recursosvinculados, cada uno con las siguientes claves:

• resourceId: el ID del recurso en AWS Config• resourceType: el tipo del recurso en AWS Config• accountName: el nombre o alias de la cuenta de AWS configurada en Jira que debe usarse para acceder

a este recurso• region: la región a la que AWS Config debe acceder para obtener información sobre este recurso

Por ejemplo, el siguiente valor mostraría información sobre el bucket de S3 my-bucket en eu-central-1, con las credenciales de cuenta y usuario final especificadas en Jira para la cuenta de AWSidentificada en Jira como MyAccount1:

[ { "resourceId": "my-bucket", "resourceType": "AWS::S3::Bucket", "accountName": "MyAccount1", "region": "eu-central-1" } ]

118

AWS Service Catalog Guía del administradorConfiguración y caso de uso de la

administración del ciclo de vida de TI

Solución recomendada por la automatización de AWSAdministrador de sistemasEl campo AWS Administrador de sistemas Automation Suggested Remediation (Solución recomendadapor la automatización de AWS Administrador de sistemas) debe establecerse en la representación decadena JSON de una lista de objetos (mapas) correspondientes a los documentos de automatización quese recomiendan como soluciones, cada uno con las siguientes claves:

• documentName: el nombre del documento de automatización de Systems Manager• description: una descripción de la solución que se mostrará en Jira; puede ser diferente de la descripción

del documento en AWS y podría explicar por qué es una buena solución para el problema en cuestión.• accountName: el nombre o alias de la cuenta de AWS configurada en Jira que debe usarse para acceder

a este recurso• region: la región a la que AWS Config debe acceder para obtener información sobre este recurso

Por ejemplo, el siguiente valor sugeriría que el documento de automatización AWS-DisableS3BucketPublicReadWrite, con una buena descripción para mostrar en Jira, se aplicaría aeu-central-1, utilizando las credenciales de cuenta y usuario final especificadas en Jira para la cuentade AWS identificada en Jira como MyAccount1:

[ { "documentName": "AWS-DisableS3BucketPublicReadWrite", "description": "This will make the bucket private, resolving the issue.", "accountName": "MyAccount1", "region": "eu-central-1" } ]

Creación de campos con scripting

Por ejemplo, el siguiente script de bash que utiliza curl vinculará el recurso mencionado anteriormente auna incidencia y adjuntará una solución recomendada. Los valores utilizados a continuación presuponenque Jira está en "localhost: 2990/jira" con el inicio de sesión "admin:admin", que el problema es "PRJ-1"y que los ID de campo son 10011 (recursos vinculados a AWS Config ) y 10010 (solución recomendada).Estos valores deben cambiarse por los correspondientes a su entorno.

1. Establezca estos valores de acuerdo con su entorno e incidencia:

JIRA_BASE_URL=http://localhost:2990/jira

JIRA_USER_PASS=admin:admin

ISSUE_KEY=PRJ-12. Establezca el ID de campo y edite el registro JSON para el recurso de AWS Config que se va a

vincular.

CUSTOM_FIELD_ID=customfield_10011cat > value.json EOF [ { "resourceId": "my-bucket", "resourceType": "AWS::S3::Bucket", "accountName": "MyAccount1", "region": "eu-central-1" } ]EOF

119

AWS Service Catalog Guía del administradorConfiguración y caso de uso de la

administración del ciclo de vida de TI

3. Defina una función auxiliar para incluir el registro JSON en caracteres de escape.

json_escape () { printf '%s' "$1" | python -c \ 'import json,sys; print(json.dumps(sys.stdin.read()))'}

4. Realice la llamada REST para establecer el campo AWS Config Linked Resource.

curl -v -D- -X PUT -H "Content-Type: application/json" \ --data '{ "update": { "'${CUSTOM_FIELD_ID}'": [ {"set": '"$( json_escape "$(cat value.json)")"' } ] } }' \ -u admin:admin ${JIRA_BASE_URL}/rest/api/2/issue/${ISSUE_KEY}

5. Establezca el ID de campo y edite el registro JSON para el que desea adjuntar una soluciónrecomendada.

CUSTOM_FIELD_ID=customfield_10010cat > value.json EOF [ { "documentName": "AWS-DisableS3BucketPublicReadWrite", "description": "This will make the bucket private, resolving the issue.", "accountName": "MyAccount1", "region": "eu-central-1" } ]EOF

6. Realice la llamada REST para establecer el campo AWS Administrador de sistemas AutomationSuggested Remediations.

curl -v -D- -X PUT -H "Content-Type: application/json" \ --data '{ "update": { "'${CUSTOM_FIELD_ID}'": [ {"set": '"$( json_escape "$(cat value.json)")"' } ] } }' \ -u ${JIRA_USER_PASS} ${JIRA_BASE_URL}/rest/api/2/issue/${ISSUE_KEY}

El problema debería mostrar AWS Config para el bucket y la solución recomendada que se va a aplicar deforma privada.

Creación de incidencias con sugerencias y un recurso de AWSvinculado desde AWS Administrador de sistemasSe proporciona un documento de automatización de Systems Manager que puede crear automáticamenteuna incidencia de Jira con los campos configurados para tener un recurso de AWS vinculado y hasta tresdocumentos de soluciones recomendadas. Para instalar este documento de automatización, descarguey extraiga JSD Connector Create Remediation Issue Automation and IT Lifecycle Demo.zip, que contienedos archivos:

• JSDConnector-CreateRemediationIssue.ssmdoc.yaml

120

AWS Service Catalog Guía del administradorConfiguración y caso de uso de la

administración del ciclo de vida de TI

• JSDConnector-function.zip

Siga estos pasos:

1. Cargue el archivo "JSDConnector-function.zip" en un bucket. Puede cargarlo con el siguientecomando (reemplazando `${BUCKET}` por el bucket correspondiente):

aws s3 cp JSDConnector-function.zip s3://${BUCKET}/function.zip

2. Cree el documento de automatización de Systems Manager, denominado JSDConnector-createRemediationIssue, con el contenido obtenido del archivo JSDConnector-CreateRemediationIssue.ssmDoc.yaml y una Key=SourceUrl,Values=s3://${BUCKET}/ asociada,utilizando el nombre del bucket del paso anterior como ${BUCKET}. Para ello, puede utilizar elsiguiente comando (reemplazando ${BUCKET}):

aws ssm create-document --name "JSDConnector-CreateRemediationIssue" --content "file://JSDConnector-CreateRemediationIssue.ssmdoc.yaml" --document-type "Automation" --document-format "YAML" --attachments "Key=SourceUrl,Values=s3://${BUCKET}/"

Una vez instalado, utilícelo como lo haría con cualquier otro documento de automatización de SystemsManager, rellenando los parámetros y ejecutándolo. Tenga en cuenta que esto requiere muchos de losmismos parámetros descritos anteriormente para conectarse a Jira.

A continuación, debería ver una incidencia en Jira con información de AWS Config y la soluciónrecomendada mostrada.

Ejemplo de caso de uso: creación automática de incidencias parala administración del ciclo de vida de TI, solución para buckets deS3 públicos no conformesUna vez que los campos estén habilitados para una incidencia y se haya creado el documento deautomatización de Systems Manager, puede configurar reglas para crear automáticamente incidencias deJira para las categorías de problemas comunes de AWS e incluir soluciones recomendadas para que losagentes o usuarios finales de Jira puedan ver fácilmente las incidencias y solucionarlas.

Esta demostración creará una regla de configuración de AWS que detecta buckets de S3 públicos ypermite a los agentes o usuarios finales de Jira deshabilitar el acceso público directamente desde Jira.

Tendrá que configurar los requisitos previos, los roles para la automatización y las funciones lambda quese van a ejecutar, así como la contraseña de Jira como una cadena segura en el almacén de parámetrosde Systems Manager.

Para almacenar la contraseña de Jira de forma segura en el almacén de parámetros

1. Abra la consola de AWS y vaya a Systems Manager -> Parameter Store (Systems Manager >Almacén de parámetros).

2. Elija Create parameter.3. Establezca el nombre como jira_password.4. Establezca el tipo como SecureString.

121

AWS Service Catalog Guía del administradorValidación de configuraciones

5. Establezca el valor como la contraseña para el usuario de Jira que se va a utilizar para crearincidencias.

6. Para guardar, elija Create parameter (Crear parámetro).

Se proporciona una plantilla de AWS CloudFormation para ayudar a configurar el rol y la regla deconfiguración: JSDConnector-CreateRemediationIssue-MakePublicBucketsPrivateConfigRule.cfn.yaml

Instale la plantilla, estableciendo los siguientes parámetros:

• JiraURL: la URL base de su instancia de Jira (por ejemplo, si se agrega "/rest/..." detrás de la dirección,se accede a la API REST).

• JiraUsername: el nombre de usuario que se va a usar para iniciar sesión en Jira (con la contraseñaespecificada en "jira_password").

• SSMParameterName: "jira_password" (el parámetro que contiene la contraseña de Jira).• ProjectKey: la clave del proyecto (el token delante de "-" en una incidencia); por ejemplo "PRJ".• IssueTypeName: debe coincidir exactamente con el nombre del tipo de incidencia en el proyecto de Jira.• JiraAwsAccountName: el nombre de la cuenta de AWS configurada en el complemento Connector en

Jira.• JiraAwsAccountRegion: la región en la que se encuentra el recurso no conforme; por ejemplo "us-

east-1".• JiraAwsResourceFieldId: escriba el ID de campo del campo AWS Config Linked Resources en Jira; por

ejemplo, "customfield_10011".• JiraRemediationsFieldId: escriba el ID de campo del campo AWS Administrador de sistemas Automation

Suggested Remediation en Jira; por ejemplo, "customfield_10010".

La regla de configuración se ejecutará automáticamente dentro del período especificado. Para verla enacción inmediatamente:

1. Cree un bucket de Amazon S3 público.2. Abra la regla de configuración en AWS Config y elija Re-evaluate (Volver a evaluar). La regla y la

automatización pueden tardar un poco en ejecutarse, pero en unos minutos debería ver una nuevaincidencia en Jira con información de AWS Config para el bucket no conforme y el documento deautomatización DisableS3BucketPublicReadWrite como una solución recomendada.

Validación de configuracionesAhora está listo para validar AWS Service Management Connector para los procedimientos de instalaciónde Jira Service Desk.

AWS Service CatalogPara solicitar un producto de AWS Service Catalog

1. Inicie sesión en el portal del cliente de Jira Service Desk como usuario final.2. En el portal del cliente de Jira Service Desk, seleccione Request AWS product (Solicitud de producto

de AWS).3. Introduzca los detalles de Summary (Resumen) .4. Abra el menú de AWS product request detail (Detalles de solicitud del producto de AWS) y seleccione

el producto que desee aprovisionar.5. Rellene los detalles de la solicitud del producto, como el nombre de referencia del producto,

parámetros y etiquetas.

122

AWS Service Catalog Guía del administradorCaracterísticas adicionales del administrador de Jira

6. Elija Create (Crear) para enviar la solicitud de Jira Service Desk y aprovisionar el producto de AWSService Catalog.

7. Después de procesar la solicitud, aparece un mensaje que indica que se ha creado la solicitud.Cuando el producto está listo para aprovisionarse, se notifica al usuario final que el producto se estálanzando.

Para ver los productos aprovisionados

1. En el portal de clientes de Jira Service Desk, vaya a Requests (Solicitudes) en la esquina superiorderecha.

2. Seleccione My requests (Mis solicitudes) en la vista del portal del cliente de Jira Service Desk.3. Seleccione el producto de AWS que solicitó.4. Se mostrarán los detalles del producto de AWS, incluido el estado de la solicitud del producto, los

eventos del producto y las actividades.5. Una vez que el producto esté en estado Available (Disponible), los usuarios finales pueden solicitar

acciones de operaciones posteriores al aprovisionamiento como la Request update (Actualizaciónde la solicitud), la Request termination (Finalización de la solicitud) y las Request self-serviceactions (Acciones de autoservicio de la solicitud). Estas acciones representan eventos y actividadesadicionales del producto dentro de la solicitud. Una vez terminado el producto, la solicitud se cierra enun estado resuelto.

Automatización de Systems ManagerPara ejecutar un documento de automatización

1. Inicie sesión en el portal del cliente de Jira Service Desk como usuario final.2. En el portal del cliente de Jira Service Desk, elija Request AWS automation (Solicitar automatización

de AWS).3. Introduzca los detalles de Summary (Resumen) .4. Abra el menú AWS automation request detail (Detalles de solicitud de automatización de AWS) y

seleccione un documento de automatización que desea ejecutar.5. Rellene los datos de la solicitud de automatización, los parámetros y las etiquetas.6. Elija Create (Crear) para enviar la solicitud de Jira Service Desk y ejecutar el documento de

automatización de AWS Administrador de sistemas.7. Después de procesar la solicitud, aparece un mensaje que indica que se ha creado la solicitud.

Cuando se ejecute la automatización, se notificará el progreso al usuario final.

Para ver ejecuciones de automatización

1. En el portal de clientes de Jira Service Desk, vaya a Requests (Solicitudes) en la esquina superiorderecha.

2. Seleccione My requests (Mis solicitudes) en la vista del portal del cliente de Jira Service Desk.3. Seleccione la ejecución de automatización de AWS que solicitó. Se mostrarán los detalles de

ejecución de la automatización de AWS, incluido el estado de la ejecución, los detalles de la solicitud ylos pasos.

Características adicionales del administrador de JiraEn las siguientes secciones se describen las aprobaciones y los controles de acceso disponibles en Jira.

123

AWS Service Catalog Guía del administradorCaracterísticas adicionales del administrador de Jira

AprobacionesEl agente de aprobación tiene acceso a una pantalla con las opciones para aprobar o rechazar la solicitudde producto. Para un rechazo, el agente puede añadir un comentario explicando por qué está rechazandola solicitud. El solicitante puede ver el estado de la solicitud, como Waiting for Approval (Esperandoaprobación), Scheduled (Programado), Launching (Lanzamiento), o Available (Disponible).

Los cambios realizados en los miembros del grupo de aprobadores no afectan a los aprobadoresidentificados para problemas preexistentes, pero sí afectan a si se permite la aprobación. Los usuariosde aprobadores se asignan al problema en el momento en que se crea el problema, y solo estos usuariostienen la opción de aprobar la solicitud. El usuario del aprobador debe seguir siendo miembro del grupocuando se realiza la aprobación; de lo contrario, la aprobación se rechaza.

Al igual que en el caso de AWS Service Catalog, todas las acciones posteriores a la provisión, incluida lafinalización, se aprueban previamente para el usuario o grupo que haya sido aprobado para aprovisionarlo.

Controles de accesoLos controles de acceso se pueden establecer en carteras, como se describe anteriormente en esta guía.Estos controles de acceso se suman a la habilitación pre-proyecto: los usuarios deben tener acceso a unproyecto de AWS habilitado para el Conector y pertenecer a los grupos habilitados para una cartera paraaprovisionar productos en esa cartera.

124

AWS Service Catalog Guía del administrador

Historial de revisiónEn la siguiente tabla se describen los cambios importantes de la documentación de AWS Service Catalog.

Característica Descripción Fecha de la versión

Cuotas de serviciode AWS

Para obtener más información sobrecómo AWS Service Catalog funcionacon AWS Service Quotas, consulteCuotas de servicio predeterminadas deAWS Service Catalog (p. 5).

24 de marzo de 2020

Biblioteca deintroducción

Para obtener más información acerca dela biblioteca de plantillas de productosde Well-Architected que ofrece AWSService Catalog, consulte Biblioteca deintroducción (p. 19).

10 de marzo de 2020

Guía de versión Para obtener más información acerca dela guía de versión del producto, consulteGuía de versión (p. 39).

17 de diciembre de 2019

Conector para JiraService Desk

Para empezar a utilizar Conectorpara Jira Service Desk, consulte AWSService Management Connector paraJira Service Desk (p. 103).

21 de noviembre de 2019

Nueva versiónde Conector paraServiceNow

Para obtener información acercade las actualizaciones de Conectorpara ServiceNow, consulte Conectorde AWS Service Catalog paraServiceNow (p. 83).

18 de noviembre de 2019

Nuevo capítulo deseguridad

Para obtener información sobre laseguridad en AWS Service Catalog,consulte Seguridad en AWS ServiceCatalog (p. 21).

31 de octubre de 2019

Cambio delpropietariodel productoaprovisionado

Para obtener información sobrecómo cambiar el propietario de losproductos aprovisionados, consulteCambio del propietario del productoaprovisionado (p. 69).

31 de octubre de 2019

Nueva restricciónde actualización derecursos

Para obtener más información acercade cómo utilizar la restricción deRESOURCE_UPDATE para actualizarlas etiquetas en los productosaprovisionados, consulte Restriccionesde actualización de etiquetas de AWSService Catalog (p. 43).

17 de abril de 2019

Connector paraServiceNow

Para empezar a utilizar el Connectorpara ServiceNow, consulte Conectorde AWS Service Catalog paraServiceNow (p. 83).

19 de marzo de 2019

125

AWS Service Catalog Guía del administrador

Característica Descripción Fecha de la versión

Compatibilidad conStackSets de AWSCloudFormation

Para empezar a utilizar StackSets deAWS CloudFormation, consulte Uso deAWS CloudFormation StackSets (p. 64).

14 de noviembre de 2018

Acciones deautoservicio

Para comenzar a utilizar acciones deautoservicio, consulte Acciones deservicio de AWS Service Catalog (p. 53).

17 de octubre de 2018

Métricas deCloudWatch

Para obtener información sobre lasmétricas de CloudWatch, consulteMétricas de CloudWatch para AWSService Catalog (p. 81).

26 de septiembre de 2018

Compatibilidad conTagOptions

Para administrar etiquetas, consulteBiblioteca de TagOption de AWSService Catalog (p. 75).

28 de junio de 2017

Importación de unacartera

Para importar una cartera compartidadesde otra cuenta de AWS, consulteImportación de una cartera (p. 64).

16 de febrero de 2016

Actualización dela información depermisos

Para conceder acceso a la vista deconsola de usuario final, consulteAcceso a la consola para los usuariosfinales (p. 25).

16 de febrero de 2016

Versión inicial Esta es la versión inicial de la AWSService Catalog Administrator Guide.

9 de julio de 2015

126