Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Paso 6: agregar una restricción de lanzamiento para asignar un rol de IAM. Una restricción de lanzamiento designa una función de IAM que AWS Service Catalog asume cuando un usuario final lanza un producto. Para este paso, debe añadir una restricción de lanzamiento al producto de escritorio Linux para poder AWS Service Catalog utilizar los recursos de IAM que componen la plantilla del producto. AWS CloudFormation El rol de IAM que se asigna a un producto como restricción de lanzamiento debe tener permisos para utilizar lo siguiente: 1. AWS CloudFormation 1. Servicios incluidos en la AWS CloudFormation plantilla del producto 1. Acceso de lectura a la AWS CloudFormation plantilla en un bucket de Amazon S3 propiedad del servicio. Esta restricción de lanzamiento permitirá que el usuario final lance el producto y, después de lanzarlo, lo administre como producto aprovisionado. Para obtener más información, consulte [Restricciones de lanzamiento de AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html). Sin una restricción de lanzamiento, es preciso conceder permisos de IAM adicionales a los usuarios finales para que puedan utilizar el producto Linux Desktop. Por ejemplo, la `ServiceCatalogEndUserAccess` política concede los permisos de IAM mínimos necesarios para acceder a la vista de la consola del usuario AWS Service Catalog final. El uso de una restricción de lanzamiento le permite seguir la práctica recomendada de IAM de reducir al mínimo los permisos de IAM de los usuarios finales. Para obtener más información, consulte [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) en la *Guía del usuario de IAM*. **Para agregar una restricción de lanzamiento** 1. Siga las instrucciones para [crear nuevas políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) de la *Guía del usuario de IAM*. 1. Pegue el siguiente documento de políticas JSON: + `cloudformation`— Permite AWS Service Catalog todos los permisos para crear, leer, actualizar, eliminar, enumerar y etiquetar CloudFormation pilas. + `ec2`— Permite permisos AWS Service Catalog completos para enumerar, leer, escribir, aprovisionar y etiquetar los recursos de Amazon Elastic Compute Cloud (Amazon EC2) que forman parte del producto. AWS Service Catalog En función del AWS recurso que desee implementar, este permiso puede cambiar. + `ec2`— Crea una nueva política administrada para su AWS cuenta y adjunta la política administrada especificada a la función de IAM especificada. + `s3`— Permite el acceso a los buckets de Amazon S3 propiedad AWS Service Catalog de. Para implementar el producto, es AWS Service Catalog necesario acceder a los artefactos de aprovisionamiento. + `servicecatalog`— Permite AWS Service Catalog permisos para enumerar, leer, escribir, etiquetar y lanzar recursos en nombre del usuario final. + `sns`— Permite AWS Service Catalog permisos para enumerar, leer, escribir y etiquetar temas de Amazon SNS para la restricción de lanzamiento. **nota** En función de los recursos subyacentes que desee implementar, es posible que deba modificar la política de JSON de ejemplo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "servicecatalog:*", "sns:*" ], "Resource": "*" }, { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":"*", "Condition":{ "StringEquals":{ "s3:ExistingObjectTag/servicecatalog:provisioning":"true" } } } ] } ``` ------ 1. Elija **Siguiente**, **Etiquetas**. 1. Elija **Siguiente**, **Revisar**. 1. En **Revisar política**, ingrese **linuxDesktopPolicy** como **Nombre**. 1. Elija **Crear política**. 1. Seleccione **Roles** en el panel de navegación. Elija **Crear rol** y haga lo siguiente: 1. En **Seleccione una entidad de confianza**, elija **AWS servicio** y, a continuación, en **Caso de uso para otros AWS servicios**, elija **Service Catalog**. Seleccione el caso de uso Service Catalog y, a continuación, elija **Siguiente**. 1. Busque la **linuxDesktopPolicy**política y, a continuación, active la casilla de verificación. 1. Elija **Siguiente**. 1. En **Role name**, escriba **linuxDesktopLaunchRole**. 1. Elija **Crear rol**. 1. Abra la AWS Service Catalog consola en [https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog.). 1. Elija la cartera **Engineering Tools**. 1. En la página **Detalles de la cartera**, elija la pestaña **Restricciones** y, a continuación, elija **Crear restricción**. 1. En **Producto**, elija **Linux Desktop** y en **Tipo de restricción** elija **Lanzar**. 1. Seleccione **Seleccionar el rol de IAM**. **A continuación, elija **linuxDesktopLaunchRol** y, a continuación, elija Crear.**