Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 5: Erstellen von Startrollen
In diesem Schritt erstellen Sie eine IAM-Rolle (Startrolle), die die Berechtigungen angibt, die die Terraform-Bereitstellungs-Engine übernehmen AWS Service Catalog kann, wenn ein Endbenutzer ein HashiCorp Terraform-Produkt startet.
Die IAM-Rolle (Startrolle), die Sie später Ihrem einfachen Amazon S3-Bucket-Terraform-Produkt als Starteinschränkung zuweisen, muss über die folgenden Berechtigungen verfügen:
-
Zugriff auf die zugrunde liegenden AWS Ressourcen für Ihr Terraform-Produkt. In diesem
s3:CreateBucket*Tutorial umfasst dies den Zugriff auf dies3:PutBucketTaggingAmazon-SAmazon S3-Operationens3:DeleteBucket*,s3:Get*,s3:List*, und . -
Lesezugriff auf die Amazon S3-Vorlage in einem AWS Service Catalog-eigenen Amazon S3-Bucket
-
Zugriff auf die
TagRessourcengruppenoperationenCreateGroup,ListGroupResourcesDeleteGroup, und . Diese Operationen ermöglichen AWS Service Catalog die Verwaltung von Ressourcengruppen und Tags
So erstellen Sie eine Startrolle im AWS Service Catalog Administratorkonto
-
Folgen Sie während der Anmeldung beim AWS Service Catalog Administratorkonto den Anweisungen unter Erstellen neuer Richtlinien auf der Registerkarte JSON im IAM-Benutzerhandbuch.
-
Erstellen Sie eine Richtlinie für Ihr Amazon S3-Bucket-Terraform-Produkt. Diese Richtlinie muss erstellt werden, bevor Sie die Startrolle erstellen, und besteht aus den folgenden Berechtigungen:
-
s3– Ermöglicht AWS Service Catalog vollständige Berechtigungen zum Auflisten, Lesen, Schreiben, Bereitstellen und Markieren des Amazon S3-Produkts. -
s3– Ermöglicht den Zugriff auf Amazon S3-Buckets, die gehörenAWS Service Catalog. Um das Produkt bereitzustellen, AWS Service Catalog benötigt Zugriff auf Bereitstellungsartefakte. -
resourcegroups– Ermöglicht AWS Service Catalog das Erstellen, Auflisten, Löschen und Markieren von AWS Resource Groups. -
tag– Ermöglicht AWS Service Catalog Tagging-Berechtigungen.
Anmerkung
Abhängig von den zugrunde liegenden Ressourcen, die Sie bereitstellen möchten, müssen Sie möglicherweise die Beispiel-JSON-Richtlinie ändern.
Fügen Sie das folgende JSON-Richtliniendokument ein:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] } -
-
-
Wählen Sie Weiter, Tags aus.
-
Wählen Sie Weiter, Überprüfen aus.
-
Geben Sie auf der Seite Richtlinie überprüfen für den Namen ein
S3ResourceCreationAndArtifactAccessPolicy. -
Wählen Sie Richtlinie erstellen aus.
-
-
Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).
-
Wählen Sie für Vertrauenswürdige Entität auswählen die Option Benutzerdefinierte Vertrauensrichtlinie aus und geben Sie dann die folgende JSON-Richtlinie ein:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GivePermissionsToServiceCatalog", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account_id:root" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*", "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*", "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*" ] } } } ] } -
Wählen Sie Weiter aus.
-
Wählen Sie in der Liste Richtlinien die aus, die
S3ResourceCreationAndArtifactAccessPolicySie gerade erstellt haben. -
Wählen Sie Weiter aus.
-
Geben Sie für Rollenname den Namen
SCLaunch-S3productein.Wichtig
Die Namen der Startrolle müssen mit „SCLaunch“ beginnen, gefolgt vom gewünschten Rollennamen.
-
Wählen Sie Rolle erstellen aus.
Wichtig
Nachdem Sie die Startrolle in Ihrem AWS Service Catalog Administratorkonto erstellt haben, müssen Sie auch eine identische Startrolle im AWS Service Catalog Endbenutzerkonto erstellen. Die Rolle im Endbenutzerkonto muss denselben Namen haben und dieselbe Richtlinie wie die Rolle im Administratorkonto enthalten.
So erstellen Sie eine Startrolle im AWS Service Catalog Endbenutzerkonto
-
Melden Sie sich als Administrator beim Endbenutzerkonto an und folgen Sie dann den Anweisungen unter Erstellen neuer Richtlinien auf der Registerkarte JSON im IAM-Benutzerhandbuch.
-
Wiederholen Sie die Schritte 2-10 unter So erstellen Sie eine Startrolle im oben genannten AWS Service Catalog Administratorkonto.
Anmerkung
Stellen Sie beim Erstellen einer Startrolle im AWS Service Catalog Endbenutzerkonto sicher, dass Sie denselben Administrator AccountId in der benutzerdefinierten Vertrauensrichtlinie verwenden.
Nachdem Sie nun eine Startrolle sowohl im Administrator- als auch im Endbenutzerkonto erstellt haben, können Sie dem Produkt eine Starteinschränkung hinzufügen.
