Langkah 5: Buat peran peluncuran

Pada langkah ini, Anda akan membuat peran IAM (peran peluncuran) yang menentukan izin yang AWS Service Catalog dapat diasumsikan oleh mesin penyediaan Terraform saat pengguna akhir meluncurkan produk Terraform. HashiCorp

Peran IAM (peran peluncuran) yang kemudian Anda tetapkan ke produk Terraform bucket Amazon S3 sederhana Anda sebagai batasan peluncuran harus memiliki izin berikut:

• Akses ke AWS sumber daya yang mendasari produk Terraform Anda. Dalam tutorial ini, ini termasuk akses ke operasis3:CreateBucket*,s3:DeleteBucket*,s3:Get*,s3:List*, dan s3:PutBucketTagging Amazon S3.

• Baca akses ke template Amazon S3 dalam bucket Amazon AWS Service Catalog S3 milik

• Akses keCreateGroup,, ListGroupResourcesDeleteGroup, dan operasi kelompok Tag sumber daya. Operasi ini memungkinkan AWS Service Catalog untuk mengelola kelompok sumber daya dan tag

Untuk membuat peran peluncuran di akun AWS Service Catalog administrator

1. Saat masuk ke akun AWS Service Catalog administrator, ikuti petunjuk untuk Membuat kebijakan baru di tab JSON di Panduan Pengguna IAM.

2. Buat kebijakan untuk produk Terraform bucket Amazon S3 sederhana Anda. Kebijakan ini harus dibuat sebelum Anda membuat peran peluncuran, dan terdiri dari izin berikut:

   • s3— Memungkinkan izin AWS Service Catalog penuh untuk mendaftar, membaca, menulis, menyediakan, dan menandai produk Amazon S3.

   • s3— Memungkinkan akses ke ember Amazon S3 yang dimiliki oleh. AWS Service Catalog Untuk menyebarkan produk, AWS Service Catalog memerlukan akses ke artefak penyediaan.

   • resourcegroups— Memungkinkan AWS Service Catalog untuk membuat, daftar, menghapus, dan menandaiAWS Resource Groups.

   • tag— Memungkinkan izin AWS Service Catalog penandaan.

   catatan

   Bergantung pada sumber daya dasar yang ingin Anda terapkan, Anda mungkin perlu mengubah contoh kebijakan JSON.

   Rekatkan dokumen kebijakan JSON berikut:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                   }
               }
           },
           {
               "Action": [
                   "s3:CreateBucket*",
                   "s3:DeleteBucket*",
                   "s3:Get*",
                   "s3:List*",
                   "s3:PutBucketTagging"
               ],
               "Resource": "arn:aws:s3:::*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "resource-groups:CreateGroup",
                   "resource-groups:ListGroupResources",
                   "resource-groups:DeleteGroup",
                   "resource-groups:Tag"
               ],
               "Resource": "*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "tag:GetResources",
                   "tag:GetTagKeys",
                   "tag:GetTagValues",
                   "tag:TagResources",
                   "tag:UntagResources"
               ],
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
   }

3. 1. Pilih Berikutnya, Tag.

   2. Pilih Berikutnya, Tinjau.

   3. Di halaman Kebijakan ulasan, untuk Nama, masukkanS3ResourceCreationAndArtifactAccessPolicy.

   4. Pilih Buat kebijakan.

4. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

5. Untuk Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus, lalu masukkan kebijakan JSON berikut:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "GivePermissionsToServiceCatalog",
               "Effect": "Allow",
               "Principal": {
                   "Service": "servicecatalog.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
           },
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::account_id:root"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringLike": {
                       "aws:PrincipalArn": [
                           "arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*",
                           "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*",
                           "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*"
                       ]
                   }
               }
           }
       ]
   }

6. Pilih Berikutnya.

7. Dalam daftar Kebijakan, pilih yang baru saja S3ResourceCreationAndArtifactAccessPolicy Anda buat.

8. Pilih Berikutnya.

9. Untuk Nama peran, masukkan SCLaunch-S3product.

   penting

   Nama peran peluncuran harus dimulai dengan “SCLaunch” diikuti dengan nama peran yang diinginkan.

10. Pilih Buat peran.

    penting

    Setelah membuat peran peluncuran di akun AWS Service Catalog administrator Anda, Anda juga harus membuat peran peluncuran yang identik di akun pengguna AWS Service Catalog akhir. Peran di akun pengguna akhir harus memiliki nama yang sama dan menyertakan kebijakan yang sama dengan peran di akun administrator.

Untuk membuat peran peluncuran di akun pengguna AWS Service Catalog akhir

1. Masuk sebagai administrator ke akun pengguna akhir, lalu ikuti petunjuk untuk Membuat kebijakan baru di tab JSON di panduan Pengguna IAM.

2. Ulangi langkah 2-10 dari Untuk membuat peran peluncuran di akun AWS Service Catalog administrator di atas.

catatan

Saat membuat peran peluncuran di akun pengguna AWS Service Catalog akhir, pastikan Anda menggunakan administrator yang sama AccountId dalam kebijakan kepercayaan khusus.

Sekarang setelah Anda membuat peran peluncuran di akun administrator dan pengguna akhir, Anda dapat menambahkan batasan peluncuran ke produk.