プロダクトポートフォリオにプロダクトを追加した後、プロダクトの起動制約を設定できます。起動制約には、プロダクトを起動するために必要な権限が含まれます。起動制約を使用して、エンドユーザーにプロダクトの起動を承認できます。このようにして、複数のプロダクトインスタンスに対する管理権限をエンドユーザーごとに個別に付与する必要はありません。これにより、承認が簡素化されます。
前提条件
Service Catalog の管理権限が付与されていること。詳細については、「管理者に権限を付与する」をご参照ください。
- プロダクトポートフォリオが作成され、プロダクトがプロダクトポートフォリオに追加されていること。詳細については、「プロダクトポートフォリオにプロダクトを追加する」をご参照ください。
背景情報
プロダクトに起動制約が作成されると、その制約はプロダクトのすべてのバージョンに適用されます。エンドユーザーがプロダクトを起動すると、ビジネス要件に基づいてプロダクトバージョンを選択できます。
プロダクトポートフォリオでは、1 つのプロダクトに対して 1 つの制約が作成されます。エンドユーザーがプロダクトポートフォリオ内のすべてのプロダクトを起動する場合、プロダクトごとに制約を作成する必要があります。
ステップ 1:起動ロールを作成し、起動ロールに権限を付与する
プロダクトの制約を作成する前に、プロダクトを起動するための起動ロールを作成する必要があります。起動ロールには、次の権限が付与されている必要があります。
- Resource Orchestration Service (ROS) の管理権限。AliyunROSFullAccess ポリシーを使用して権限を付与できます。
- Terraform テンプレートで定義されているリソースの管理権限。テンプレートは、プロダクトの作成に使用されます。
このトピックでは、create_ecs テンプレートを例として使用します。 create_ecs テンプレートは、Elastic Compute Service (ECS) インスタンスの作成に使用されます。 create_ecs テンプレートは、ECS と Virtual Private Cloud (VPC) リソースを定義します。起動ロールに ECS (AliyunECSFullAccess) の管理権限と VPC (AliyunVPCFullAccess) の管理権限を付与する必要があります。
- RAM コンソール にログインします。
- 信頼できるエンティティが Service Catalog である TerraformExecutionRole という名前の RAM ロールを作成します。詳細については、「信頼できる Alibaba Cloud サービスの RAM ロールを作成する」をご参照ください。
- 次のシステムポリシーを RAM ロールにアタッチします。
詳細については、「RAM ロールに権限を付与する」をご参照ください。ポリシー 説明 AliyunROSFullAccess RAM ロールに Resource Orchestration Service (ROS) の管理権限を付与します。このポリシーは、RAM ロールがプロダクトを起動するときにスタックを作成するために使用できます。 AliyunECSFullAccess RAM ロールに ECS の管理権限を付与します。このポリシーは、RAM ロールがプロダクトを起動するときに ECS インスタンスを作成するために使用できます。 AliyunVPCFullAccess RAM ロールに VPC の管理権限を付与します。このポリシーは、RAM ロールがプロダクトを起動するときに VPC を作成するために使用できます。
ステップ 2:起動制約を作成する
- Service Catalog コンソール に管理者としてログインします。
- 左側のナビゲーションウィンドウで、 を選択します。
- [ポートフォリオ管理] ページで、制約を作成するプロダクトポートフォリオの名前をクリックします。
- [制約] タブをクリックし、[制約の作成] をクリックします。
- [制約の作成] ページで、パラメーターを設定します。
- [プロダクト] ドロップダウンリストからプロダクトを選択します。
- [制約の説明] フィールドに、起動制約の説明を入力します。
- [制約タイプ] セクションで、[起動制約] を選択します。
- ステップ 1:起動ロールを作成し、起動ロールに権限を付与する で作成した RAM ロールを [起動に使用する RAM ロール] ドロップダウンリストから選択します。
- [確認] をクリックします。