利用 AWS Service Catalog，组织可以集中管理通常部署的 IT 服务，实现一致的监管以及帮助满足合规性要求。AWS Service Catalog 可为产品配置提供标准化环境。用户浏览其有权访问的产品 (服务或应用程序) 的列表，找到要使用的产品并自行将其作为已配置产品启动。AWS Service Catalog API 还提供对所有用户操作的编程控制。
假设您需要为用户的启动请求构建一个审批工作流。许多解决方案都可以使用 AWS Service Catalog API 来构建复杂的自定义工作流 (例如，ServiceNow)。在本博客文章中，我将从 AWS Service Catalog 管理员的角度介绍如何使用 AWS Lambda、Amazon API Gateway、AWS CloudFormation 和 Amazon Simple Notification Service (Amazon SNS) 构建简单的工作流审批流程。
为构建此审批流程，我将使用 WaitCondition 和 WaitHandle 等 AWS CloudFormation 功能，并使用 AWS Lambda 作为自定义资源来创建简单的审批工作流。如果您正在寻找 AWS 原生解决方案来扩展现有 AWS Service Catalog 功能，则可使用此方法。这也有助于在产品启动时保留 AWS Service Catalog 用户界面。

架构概述：

用户从其可用产品列表中启动产品，并通过 AWS Service Catalog 界面填写所有必需的数据。您可以通过此输入信息获取用户的电子邮件地址。
对于需要管理员审批的产品，将有三个额外的 CloudFormation 资源：WaitHandle、WaitCondition 和自定义资源。将调用 Lambda 自定义资源以通知负责审批产品启动的管理员。堆栈将处于等待状态，直至它收到来自管理员的响应。
管理员收到有关产品启动的电子邮件通知，以及允许创建堆栈的审批 URL。该 URL 包含 WaitHandle 预签名 URL 作为参数，用于向堆栈发送继续操作的信号。
当管理员单击该 URL 时，API Gateway 后面的 Lambda 函数会收到管理员批准继续操作的信号。
如果管理员批准产品启动，则 Lambda 审批函数会发送确认以允许 WaitHandle 继续创建堆栈。否则，堆栈会在最长等待时间 12 小时之后回滚。
用户会在 AWS Service Catalog 控制台上收到完成或回滚状态。此外，管理员还可以联系用户，询问有关启动请求的更多信息，然后再进行审批。

构建步骤：

现在我们已经介绍了这些步骤，下面让我们构建审批流程所需的资源。我附上了一个 AWS CloudFormation 模板以方便您使用。当您启动该模板时，系统将提示您输入用于审批流程的电子邮件地址。在堆栈完成之后，将创建以下资源：
SNS 主题：一个 SNS 主题以及提供的电子邮件订阅。您将收到一封确认您的订阅的电子邮件。订阅该主题以接收消息。
SNS 通知函数：一个可发送审批邮件的 Lambda 函数。每当新产品启动需要审批时，都会调用此 Lambda 函数。此函数将获取 WaitHandle 预签名 URL 和用户电子邮件地址作为输入。
审批函数：一个通过发送 WaitHandle 预签名 URL 的状态来通知 CloudFormation 堆栈的 Lambda 函数。
除这些资源外，还将创建一个 API Gateway API 和一些 IAM 角色。
记下输出中的 Lambda 函数的 ARN。稍后您将需要此信息来测试设置。

测试：

要测试设置，您可以使用随附 CloudFormation 模板示例。这是由 Amazon 提供的、在 AWS 上部署 WordPress 的标准模板，但我已对其进行修改以引入审批流程，并添加了三个额外的资源：WaitCondition、WaitConditionHandle 和 NotificationFunction。
WaitCondition 和 WaitConditionHandle 用于暂停堆栈的创建，并在继续创建堆栈前等待信号。模板中的所有其他资源都取决于 WaitCondition 的审批状态。

Python

WaitHandle:
Type: 'AWS::CloudFormation::WaitConditionHandle'
WaitCondition:
Type: 'AWS::CloudFormation::WaitCondition'
Properties:
Handle:
Ref: 'WaitHandle'
Timeout: '43200'

NotificationFunction 是一个自定义资源，它可触发负责发送审批电子邮件的 Lambda 函数。

Python

NotificationFunction:
Type: Custom::NotificationFunction
Properties:
ServiceToken: ''
Region: !Ref "AWS::Region"
WaitUrl: !Ref WaitHandle
EmailID: !Ref UserEmail

您将需要下载该模板并修改 NotificationFunction 资源的 ServiceToken 参数，以指定您在上一部分中获得的 ARN。更新 Lambda ARN 后，就可以将该模板作为新产品添加到现有目录中，或在 CloudFormation 控制台中测试该模板。
当模板成功启动后，您将收到请求继续审批的电子邮件，内容类似于：

当您选择审批链接时，API 后面的 Lambda 函数将发送确认以允许 WaitHandle 继续创建堆栈。否则，堆栈将在最长等待时间 12 小时之后回滚。

故障排除：

如果您没有收到审批邮件，请查看 SNS 主题订阅状态。此外，请验证您是否在模板中指定了正确的 Lambda ARN。检查 Amazon CloudWatch 日志中是否有启动堆栈的任何异常或错误。此外，您还可以查看以下信息来源，获得有关 Amazon SNS、API Gateway 和 AWS Lambda 等服务的一般故障排除帮助：

总结：

现在，您可以通过添加三个资源从测试模板示例向您的 Service Catalog 堆栈中添加简单的审批工作流。有关从管理员控制台管理产品组合、产品和约束的更多信息，请查看此文档。
我希望本文和示例模板能够帮助您扩展 AWS Service Catalog 功能。欢迎在评论中留下您的反馈或建议。

本文转载自AWS技术博客。

原文链接：
https://amazonaws-china.com/cn/blogs/china/how-to-create-an-approval-flow-for-an-aws-service-catalog-product-launch-using-aws-lambda/

创作场景

如何使用 AWS Lambda 为 AWS Service Catalog 产品启动创建审批流程