Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Fase 5: Creare ruoli di lancio In questo passaggio, creerai un ruolo IAM (ruolo di lancio) che specifica le autorizzazioni che il motore di provisioning Terraform e il motore di provisioning Terraform AWS Service Catalog possono assumere quando un utente finale lancia un prodotto Terraform. HashiCorp Il ruolo IAM (ruolo di lancio) che successivamente assegnerai al tuo semplice prodotto Terraform con bucket Amazon S3 come vincolo di lancio deve avere le seguenti autorizzazioni: + Accesso alle risorse di base per il tuo prodotto Terraform. AWS In questo tutorial, è incluso l'accesso alle `s3:DeleteBucket*` operazioni `s3:CreateBucket*``s3:Get*`,`s3:List*`, e `s3:PutBucketTagging` Amazon S3. + Accesso in lettura al modello Amazon S3 in un bucket Amazon AWS Service Catalog S3 di proprietà + Accesso alle operazioni del gruppo di `CreateGroup` risorse`ListGroupResources`,`DeleteGroup`, e`Tag`. Queste operazioni consentono AWS Service Catalog di gestire gruppi di risorse e tag **Per creare un ruolo di lancio nell'account AWS Service Catalog amministratore** 1. Dopo aver effettuato l'accesso all'account AWS Service Catalog amministratore, segui le istruzioni per [creare nuove politiche nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella guida per l'*utente IAM*. 1. Crea una **policy** per il tuo semplice prodotto Terraform con bucket Amazon S3. Questa politica deve essere creata prima di creare il ruolo di lancio e comprende le seguenti autorizzazioni: + `s3`— Consente le autorizzazioni AWS Service Catalog complete per elencare, leggere, scrivere, fornire ed etichettare il prodotto Amazon S3. + `s3`— Consente l'accesso ai bucket Amazon S3 di proprietà di. AWS Service Catalog Per distribuire il prodotto, è AWS Service Catalog necessario accedere agli artefatti di provisioning. + `resourcegroups`— Consente di creare, AWS Service Catalog elencare, eliminare e contrassegnare. AWS Resource Groups + `tag`— Consente le autorizzazioni di AWS Service Catalog etichettatura. **Nota** A seconda delle risorse sottostanti che si desidera distribuire, potrebbe essere necessario modificare la policy JSON di esempio. Incolla il seguente documento di policy JSON: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ 1. 1. Scegli **Avanti**, **Tags**. 1. Scegli **Avanti,** **Rivedi**. 1. Nella pagina della **politica di revisione**, per il **nome**, inserisci**S3ResourceCreationAndArtifactAccessPolicy**. 1. Scegli **Crea policy**. 1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**. 1. Per **Seleziona entità attendibile**, scegli **Politica di fiducia personalizzata**, quindi inserisci la seguente politica JSON: 1. Scegli **Next (Successivo)**. 1. Nell'elenco **Politiche**, seleziona quella `S3ResourceCreationAndArtifactAccessPolicy` che hai appena creato. 1. Scegli **Next (Successivo)**. 1. Per **Nome ruolo**, inserisci **SCLaunch-S3product**. **Importante** I nomi dei ruoli di avvio **devono** iniziare con SCLaunch "" seguito dal nome del ruolo desiderato. 1. Scegli **Crea ruolo**. **Importante** Dopo aver creato il ruolo di avvio nell'account AWS Service Catalog amministratore, è necessario creare anche un ruolo di avvio identico nell'account dell'utente AWS Service Catalog finale. Il ruolo nell'account dell'utente finale deve avere lo stesso nome e includere la stessa politica del ruolo nell'account amministratore. **Per creare un ruolo di lancio nell'account dell'utente AWS Service Catalog finale** 1. Accedi come amministratore all'account dell'utente finale, quindi segui le istruzioni per [creare nuove politiche nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *guida per l'utente IAM*. 1. Ripeti i passaggi da 2 a 10 da *Per creare un ruolo di avvio nell'account AWS Service Catalog amministratore riportato sopra*. **Nota** Quando crei un ruolo di avvio nell'account dell'utente AWS Service Catalog finale, assicurati di utilizzare lo stesso amministratore **AccountId** nella politica di fiducia personalizzata. Ora che hai creato un ruolo di lancio sia nell'account amministratore che in quello dell'utente finale, puoi aggiungere un vincolo di avvio al prodotto.