As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Etapa 6: Adicionar uma restrição de lançamento para atribuir um perfil do IAM Uma restrição de lançamento designa uma função do IAM que AWS Service Catalog assume quando um usuário final lança um produto. Nesta etapa, você adiciona uma restrição de lançamento ao produto Linux Desktop, para AWS Service Catalog poder usar os recursos do IAM que compõem o AWS CloudFormation modelo do produto. O perfil do IAM que você atribui a um produto como restrição de lançamento deve ter as seguintes permissões: 1. AWS CloudFormation 1. Serviços no AWS CloudFormation modelo do produto 1. Leia o acesso ao AWS CloudFormation modelo em um bucket Amazon S3 de propriedade do serviço. Esta restrição de lançamento permitirá que o usuário final lance o produto e, depois, gerencie-o como um produto provisionado. Para ver mais informações, consulte [Restrições de lançamento do AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html). Sem uma restrição de lançamento, seria necessário conceder permissões adicionais do IAM aos usuários finais para que pudessem usar o produto Linux Desktop. Por exemplo, a `ServiceCatalogEndUserAccess` política concede as permissões mínimas do IAM necessárias para acessar a visualização do console do usuário AWS Service Catalog final. Usar uma restrição de lançamento permite que você siga as melhores práticas do IAM de manter as permissões do IAM do usuário final no mínimo. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*. **Para adicionar uma restrição de lançamento** 1. Siga as instruções para [Criar novas políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do Usuário do IAM*. 1. Cole o seguinte documento da política JSON: + `cloudformation`— Permite permissões AWS Service Catalog completas para criar, ler, atualizar, excluir, listar e marcar CloudFormation pilhas. + `ec2`— Permite permissões AWS Service Catalog completas para listar, ler, gravar, provisionar e marcar recursos do Amazon Elastic Compute Cloud (Amazon EC2) que fazem parte do produto. AWS Service Catalog Dependendo do AWS recurso que você deseja implantar, essa permissão pode mudar. + `ec2`— Cria uma nova política gerenciada para AWS sua conta e anexa a política gerenciada especificada à função do IAM especificada. + `s3`— Permite acesso aos buckets do Amazon S3 de propriedade da. AWS Service Catalog Para implantar o produto, é AWS Service Catalog necessário acesso aos artefatos de provisionamento. + `servicecatalog`— AWS Service Catalog Permite permissões para listar, ler, gravar, marcar e iniciar recursos em nome do usuário final. + `sns`— AWS Service Catalog Permite permissões para listar, ler, escrever e marcar tópicos do Amazon SNS para a restrição de lançamento. **nota** Dependendo dos recursos subjacentes que você deseja implantar, talvez seja necessário modificar o exemplo de política JSON. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "servicecatalog:*", "sns:*" ], "Resource": "*" }, { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":"*", "Condition":{ "StringEquals":{ "s3:ExistingObjectTag/servicecatalog:provisioning":"true" } } } ] } ``` ------ 1. Escolha **Próximo**, **Tags**. 1. Escolha **Próximo**, **Revisar**. 1. Na página **Revisar política**, para o Nome **, insira**linuxDesktopPolicy** **. 1. Escolha **Criar política**. 1. No painel de navegação, escolha **Perfis**. Então escolha **Criar perfil** e faça o seguinte: 1. Em **Selecionar entidade confiável**, escolha **AWS serviço** e, em **Caso de uso para outros AWS serviços**, escolha **Service Catalog**. Selecione o caso de uso Service Catalog e depois escolha **Próximo**. 1. Pesquise a **linuxDesktopPolicy**política e marque a caixa de seleção. 1. Escolha **Próximo**. 1. Em **Role name**, insira **linuxDesktopLaunchRole**. 1. Selecione **Criar perfil**. 1. Abra o AWS Service Catalog console em [https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog.). 1. Escolha o portfólio **Engineering Tools**. 1. Na página **Detalhes do portfólio**, escolha a guia **Restrições** e escolha **Criar restrição**. 1. Em **Produto**, escolha **Linux Desktop**, e escolha **Lançamento** como **Tipo de restrição**. 1. Escolha **Selecionar perfil do IAM**. Em seguida, escolha **linuxDesktopLaunchFunção** e, em seguida, escolha **Criar**.