本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 5：建立啟動角色
<a name="getstarted-launchrole-Terraform"></a>

在此步驟中，您將建立 IAM 角色 （啟動角色），指定 Terraform 佈建引擎在最終使用者啟動 HashiCorp Terraform 產品時 AWS Service Catalog 可擔任的許可。

 您稍後做為啟動限制條件指派給簡單 Amazon S3 儲存貯體 Terraform 產品的 IAM 角色 （啟動角色） 必須具有下列許可：
+ 存取 Terraform 產品的基礎 AWS 資源。在本教學課程中，這包括對 `s3:CreateBucket*`、`s3:DeleteBucket*`、`s3:List*`、 `s3:Get*`和 `s3:PutBucketTagging` Amazon S3 操作的存取。
+ 在 AWS Service Catalog擁有的 Amazon S3 儲存貯體中讀取對 Amazon S3 範本的存取權 
+ 存取 `CreateGroup`、`DeleteGroup`、 `ListGroupResources`和資源`Tag`群組操作。這些操作 AWS Service Catalog 可讓 管理資源群組和標籤

**在 AWS Service Catalog 管理員帳戶中建立啟動角色**

1. 登入 AWS Service Catalog 管理員帳戶時，請遵循 *IAM 使用者指南*[中 JSON 標籤上建立新政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)的指示。

1. 為您的簡單 Amazon S3 儲存貯體 Terraform 產品建立**政策**。此政策必須在您建立啟動角色之前建立，並包含下列許可：
   +  `s3`— 允許列出、讀取、寫入、佈建和標記 Amazon S3 產品 AWS Service Catalog 的完整許可。
   +  `s3`— 允許存取 擁有的 Amazon S3 儲存貯體 AWS Service Catalog。若要部署產品， AWS Service Catalog 需要存取佈建成品。
   +  `resourcegroups`— 允許 AWS Service Catalog 建立、列出、刪除和標記 AWS Resource Groups。
   +  `tag`— 允許 AWS Service Catalog 標記許可。
**注意**  
 根據您要部署的基礎資源，您可能需要修改範例 JSON 政策。

   貼上下列 JSON 政策文件：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                   }
               }
           },
           {
               "Action": [
                   "s3:CreateBucket*",
                   "s3:DeleteBucket*",
                   "s3:Get*",
                   "s3:List*",
                   "s3:PutBucketTagging"
               ],
               "Resource": "arn:aws:s3:::*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "resource-groups:CreateGroup",
                   "resource-groups:ListGroupResources",
                   "resource-groups:DeleteGroup",
                   "resource-groups:Tag"
               ],
               "Resource": "*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "tag:GetResources",
                   "tag:GetTagKeys",
                   "tag:GetTagValues",
                   "tag:TagResources",
                   "tag:UntagResources"
               ],
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
   }
   ```

------

1. 

   1. 選擇**下一步**、**標籤**。

   1. 選擇**下一步，****檢閱**。

   1. 在**檢閱政策**頁面中，針對**名稱**輸入 **S3ResourceCreationAndArtifactAccessPolicy**。

   1. 選擇**建立政策**。

1. 在導覽窗格中，選擇**角色**，然後選擇**建立角色**。

1. 針對**選取信任的實體**，選擇**自訂信任政策**，然後輸入下列 JSON 政策：

1. 選擇**下一步**。

1. 在**政策**清單中，選取`S3ResourceCreationAndArtifactAccessPolicy`您剛建立的 。

1. 選擇**下一步**。

1. 在**角色名稱**中，輸入 **SCLaunch-S3product**。
**重要**  
啟動角色名稱**必須以**「SCLaunch」開頭，後面接著所需的角色名稱。

1. 選擇建**立角色**。
**重要**  
在 AWS Service Catalog 管理員帳戶中建立啟動角色之後，您還必須在 AWS Service Catalog 最終使用者帳戶中建立相同的啟動角色。最終使用者帳戶中的角色必須具有與管理員帳戶中的角色相同的名稱，並包含相同的政策。

**在 AWS Service Catalog 最終使用者帳戶中建立啟動角色**

1. 以管理員身分登入最終使用者帳戶，然後遵循 *IAM 使用者指南*[中 JSON 標籤上建立新政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)的指示。

1. 重複上述* AWS Service Catalog 管理員帳戶中建立啟動角色的步驟 *2-10。

**注意**  
在 AWS Service Catalog 最終使用者帳戶中建立啟動角色時，請確定您在自訂信任政策**AccountId**中使用相同的管理員。

現在您已在管理員和最終使用者帳戶中建立啟動角色，您可以將啟動限制新增至產品。