Amazon Service Catalog 功能

产品是指您希望在亚马逊云科技上部署的 IT 服务。产品可以包含一个或多个亚马逊云科技资源，例如 EC2 实例、存储卷、数据库、监控配置和网络组件，或打包的 Amazon Marketplace 产品。产品可以是运行 Linux 的单个计算实例、在其自身环境中运行的完全配置的多层 Web 应用程序或两者之间的任何服务。您可以通过导入 Amazon CloudFormation 模板来创建产品。这些模板定义了产品所需的亚马逊云科技资源、资源之间的关系，以及最终用户在启动产品以配置安全组、创建密钥对和执行其他自定义操作时可以插入的参数。

产品组合是指产品和配置信息的集合。产品组合有助于管理产品配置，以及谁可以使用特定产品以及如何使用它们。借助 Amazon Service Catalog，您可以针对组织中的每种类型的用户创建自定义产品组合，并选择性地授予相应产品组合的访问权限。当您向产品组合添加产品的新版本时，该版本将会自动对该产品组合的所有当前用户可用。您还可以与其他亚马逊云科技账户共享您的产品组合，并允许这些账户的管理员在应用其他约束的情况下分发您的产品组合。例如，对于开发人员，您可以为开发环境定义产品组合，例如获批版本的 LAMP 堆栈，用户可以将其用于软件开发和测试。您还可以为营销组织定义包括营销活动网站和市场分析应用程序的产品组合。

Amazon Service Catalog 允许您管理目录中产品的多个版本。这使您可以根据软件更新或配置更改来添加新版本的模板和相关资源。创建产品的新版本时，更新将自动分发给所有有权访问该产品的用户，从而允许用户选择要使用的产品版本。用户可以快速轻松地将正在运行的产品实例更新为新版本。

授予用户对产品组合的访问权限，以便此用户能够浏览该产品组合并启动其中的产品。您可以应用 Amazon Identity and Access Management (IAM) 权限，以控制谁可以查看和修改您的产品和产品组合。可以将 IAM 权限分配给 IAM 用户、组和角色。当用户启动分配了 IAM 角色的产品时，Amazon Service Catalog 将使用该角色通过 Amazon CloudFormation 来启动产品的云资源。通过为每个产品分配 IAM 角色，您可以避免向用户授予执行未经批准的操作的权限，并使他们能够使用目录来预置资源。

约束可限制为产品部署特定亚马逊云科技资源的方式。您可以使用它们将限制应用于产品以进行治理或成本控制。有两种类型的约束：模板和启动。模板约束可限制用户在启动产品时使用的配置参数（例如，EC2 实例类型或 IP 范围）。模板约束允许您为产品重复使用通用 Amazon CloudFormation 模板，并根据每个产品或每个产品组合对模板应用限制。启动约束允许您为产品组合中的产品指定角色。此角色用于在启动时预置资源，以便您能够限制用户权限，而不会影响用户从目录中预置产品的能力。例如，对于营销用户，您可以让他们创建营销活动网站，但使用约束来限制他们对预置基础数据库的访问权限。

每个 Amazon Service Catalog 产品都作为 Amazon CloudFormation 堆栈进行启动，后者是为该产品实例预置的一组资源。Amazon CloudFormation 堆栈允许您将产品实例作为单个单元进行配置、标记、更新和终止，从而更轻松地管理产品的生命周期。

使用服务操作，您可以让最终用户执行操作任务、排查问题、运行已批准的命令或在 Amazon Service Catalog 中请求对预置产品的权限，而无需授予最终用户对亚马逊云科技服务的完全访问权限。您可以使用 Amazon Systems Manager 文档来定义服务操作。Amazon Systems Manager 文档提供了对实施亚马逊云科技最佳实践的预定义操作的访问权限，例如 Amazon EC2 停止和重启，您也可以定义自定义操作。