Etapa 5: Criar funções de lançamento - AWS Service Catalog

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 5: Criar funções de lançamento

Nesta etapa, você criará uma função do IAM (função de lançamento) especificando as permissões que o mecanismo de provisionamento do Terraform AWS Service Catalog pode assumir quando um usuário final lança um produto Terraform. HashiCorp

O perfil do IAM (função de inicialização) que você atribui posteriormente ao seu produto Terraform de bucket simples do Amazon S3 como uma restrição de inicialização deve ter as seguintes permissões:

  • Acesso aos AWS recursos subjacentes do seu produto Terraform. Neste tutorial, isso inclui acesso às operações s3:CreateBucket*, s3:DeleteBucket*, s3:Get*, s3:List* e do Amazon S3 s3:PutBucketTagging.

  • Acesso de leitura ao modelo do Amazon S3 em um bucket próprio do Amazon AWS Service Catalog S3

  • Acesso às operações CreateGroup, ListGroupResources, DeleteGroup e Tag do grupo de recursos. Essas operações permitem AWS Service Catalog gerenciar grupos de recursos e tags.

Para criar uma função de lançamento na conta AWS Service Catalog do administrador

  1. Enquanto estiver conectado à conta do AWS Service Catalog administrador, siga as instruções para criar novas políticas na guia JSON no Guia do usuário do IAM.

  2. Crie uma política para seu produto simples do Amazon S3 bucket Terraform. Essa política deve ser criada antes de você criar o perfil de lançamento e consiste nas seguintes permissões:

    • s3— Permite permissões AWS Service Catalog completas para listar, ler, gravar, provisionar e marcar o produto Amazon S3.

    • s3— Permite acesso aos buckets do Amazon S3 de propriedade da. AWS Service Catalog Para implantar o produto, AWS Service Catalog é necessário acesso aos artefatos de provisionamento.

    • resourcegroups— Permite AWS Service Catalog criar, listar, excluir e marcar AWS Resource Groups.

    • tag— Permite permissões AWS Service Catalog de marcação.

    nota

    Dependendo dos recursos subjacentes que você deseja implantar, talvez seja necessário modificar o exemplo de política JSON.

    Cole o seguinte documento da política JSON:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                }
            }
        },
        {
            "Action": [
                "s3:CreateBucket*",
                "s3:DeleteBucket*",
                "s3:Get*",
                "s3:List*",
                "s3:PutBucketTagging"
            ],
            "Resource": "arn:aws:s3:::*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "resource-groups:CreateGroup",
                "resource-groups:ListGroupResources",
                "resource-groups:DeleteGroup",
                "resource-groups:Tag"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "tag:GetResources",
                "tag:GetTagKeys",
                "tag:GetTagValues",
                "tag:TagResources",
                "tag:UntagResources"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    1. Escolha Próximo, Tags.

    2. Escolha Próximo, Revisar.

    3. Na página Revisar política, para o Nome , insiraS3ResourceCreationAndArtifactAccessPolicy .

    4. Escolha Criar política.

  4. No painel de navegação, escolha Perfis e Criar perfil.

  5. Em Selecionar entidade confiável, escolha Política de confiança personalizada e, em seguida, insira a seguinte política JSON:

  6. Escolha Próximo.

  7. Na lista Políticas, selecione a S3ResourceCreationAndArtifactAccessPolicy que você criou.

  8. Escolha Próximo.

  9. Em Nome do perfil, insira SCLaunch-S3product.

    Importante

    Os nomes da função de lançamento devem começar com SCLaunch "" seguido pelo nome da função desejada.

  10. Selecione Criar perfil.

    Importante

    Depois de criar a função de lançamento na sua conta de AWS Service Catalog administrador, você também deve criar uma função de lançamento idêntica na conta do usuário AWS Service Catalog final. O perfil na conta do usuário final deve ter o mesmo nome e incluir a mesma política do perfil na conta do administrador.

Para criar uma função de lançamento na conta do usuário AWS Service Catalog final

  1. Faça login como administrador na conta do usuário final e siga as instruções para Criar novas políticas na guia JSON no Guia do Usuário do IAM.

  2. Repita as etapas 2 a 10 de Para criar uma função de lançamento na conta de AWS Service Catalog administrador acima.

nota

Ao criar uma função de lançamento na conta do usuário AWS Service Catalog final, certifique-se de usar o mesmo administrador AccountId na política de confiança personalizada.

Agora que você criou uma função de lançamento nas contas de administrador e usuário final, pode adicionar uma restrição de lançamento ao produto.