Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Langkah 5: Buat peran peluncuran
Pada langkah ini, Anda akan membuat peran IAM (peran peluncuran) yang menentukan izin yang AWS Service Catalog dapat diasumsikan oleh mesin penyediaan Terraform saat pengguna akhir meluncurkan produk Terraform. HashiCorp
Peran IAM (peran peluncuran) yang kemudian Anda tetapkan ke produk Terraform bucket Amazon S3 sederhana Anda sebagai batasan peluncuran harus memiliki izin berikut:
-
Akses ke AWS sumber daya yang mendasari produk Terraform Anda. Dalam tutorial ini, ini termasuk akses ke operasi
s3:CreateBucket*
,s3:DeleteBucket*
,s3:Get*
,s3:List*
, dans3:PutBucketTagging
Amazon S3. -
Baca akses ke template Amazon S3 dalam bucket Amazon AWS Service Catalog S3 milik
-
Akses ke
CreateGroup
,,ListGroupResources
DeleteGroup
, dan operasi kelompokTag
sumber daya. Operasi ini memungkinkan AWS Service Catalog untuk mengelola kelompok sumber daya dan tag
Untuk membuat peran peluncuran di akun AWS Service Catalog administrator
-
Saat masuk ke akun AWS Service Catalog administrator, ikuti petunjuk untuk Membuat kebijakan baru di tab JSON di Panduan Pengguna IAM.
-
Buat kebijakan untuk produk Terraform bucket Amazon S3 sederhana Anda. Kebijakan ini harus dibuat sebelum Anda membuat peran peluncuran, dan terdiri dari izin berikut:
-
s3
— Memungkinkan izin AWS Service Catalog penuh untuk mendaftar, membaca, menulis, menyediakan, dan menandai produk Amazon S3. -
s3
— Memungkinkan akses ke ember Amazon S3 yang dimiliki oleh. AWS Service Catalog Untuk menyebarkan produk, AWS Service Catalog memerlukan akses ke artefak penyediaan. -
resourcegroups
— Memungkinkan AWS Service Catalog untuk membuat, daftar, menghapus, dan menandaiAWS Resource Groups. -
tag
— Memungkinkan izin AWS Service Catalog penandaan.
catatan
Bergantung pada sumber daya dasar yang ingin Anda terapkan, Anda mungkin perlu mengubah contoh kebijakan JSON.
Rekatkan dokumen kebijakan JSON berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] }
-
-
-
Pilih Berikutnya, Tag.
-
Pilih Berikutnya, Tinjau.
-
Di halaman Kebijakan ulasan, untuk Nama, masukkan
S3ResourceCreationAndArtifactAccessPolicy
. -
Pilih Buat kebijakan.
-
-
Di panel navigasi, pilih Peran, lalu pilih Buat peran.
-
Untuk Pilih entitas tepercaya, pilih Kebijakan kepercayaan khusus, lalu masukkan kebijakan JSON berikut:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GivePermissionsToServiceCatalog", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account_id:root" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*", "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*", "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*" ] } } } ] }
-
Pilih Berikutnya.
-
Dalam daftar Kebijakan, pilih yang baru saja
S3ResourceCreationAndArtifactAccessPolicy
Anda buat. -
Pilih Berikutnya.
-
Untuk Nama peran, masukkan
SCLaunch-S3product
.penting
Nama peran peluncuran harus dimulai dengan “SCLaunch” diikuti dengan nama peran yang diinginkan.
-
Pilih Buat peran.
penting
Setelah membuat peran peluncuran di akun AWS Service Catalog administrator Anda, Anda juga harus membuat peran peluncuran yang identik di akun pengguna AWS Service Catalog akhir. Peran di akun pengguna akhir harus memiliki nama yang sama dan menyertakan kebijakan yang sama dengan peran di akun administrator.
Untuk membuat peran peluncuran di akun pengguna AWS Service Catalog akhir
-
Masuk sebagai administrator ke akun pengguna akhir, lalu ikuti petunjuk untuk Membuat kebijakan baru di tab JSON di panduan Pengguna IAM.
-
Ulangi langkah 2-10 dari Untuk membuat peran peluncuran di akun AWS Service Catalog administrator di atas.
catatan
Saat membuat peran peluncuran di akun pengguna AWS Service Catalog akhir, pastikan Anda menggunakan administrator yang sama AccountId
dalam kebijakan kepercayaan khusus.
Sekarang setelah Anda membuat peran peluncuran di akun administrator dan pengguna akhir, Anda dapat menambahkan batasan peluncuran ke produk.