Fase 5: Creare ruoli di lancio - AWS Service Catalog

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 5: Creare ruoli di lancio

In questo passaggio, creerai un ruolo IAM (ruolo di lancio) che specifica le autorizzazioni che il motore di provisioning Terraform e il motore di provisioning Terraform AWS Service Catalog possono assumere quando un utente finale lancia un prodotto Terraform. HashiCorp

Il ruolo IAM (ruolo di lancio) che successivamente assegnerai al tuo semplice prodotto Terraform con bucket Amazon S3 come vincolo di lancio deve avere le seguenti autorizzazioni:

  • Accesso alle risorse di base per il tuo prodotto Terraform. AWS In questo tutorial, è incluso l'accesso alle s3:DeleteBucket* operazioni s3:CreateBucket*s3:Get*,s3:List*, e s3:PutBucketTagging Amazon S3.

  • Accesso in lettura al modello Amazon S3 in un bucket Amazon AWS Service Catalog S3 di proprietà

  • Accesso alle operazioni del gruppo di CreateGroup risorseListGroupResources,DeleteGroup, eTag. Queste operazioni consentono AWS Service Catalog di gestire gruppi di risorse e tag

Per creare un ruolo di lancio nell'account AWS Service Catalog amministratore
  1. Dopo aver effettuato l'accesso all'account AWS Service Catalog amministratore, segui le istruzioni per creare nuove politiche nella scheda JSON nella guida per l'utente IAM.

  2. Crea una policy per il tuo semplice prodotto Terraform con bucket Amazon S3. Questa politica deve essere creata prima di creare il ruolo di lancio e comprende le seguenti autorizzazioni:

    • s3— Consente le autorizzazioni AWS Service Catalog complete per elencare, leggere, scrivere, fornire ed etichettare il prodotto Amazon S3.

    • s3— Consente l'accesso ai bucket Amazon S3 di proprietà di. AWS Service Catalog Per distribuire il prodotto, è AWS Service Catalog necessario accedere agli artefatti di provisioning.

    • resourcegroups— Consente di creare, AWS Service Catalog elencare, eliminare e contrassegnare. AWS Resource Groups

    • tag— Consente le autorizzazioni di AWS Service Catalog etichettatura.

    Nota

    A seconda delle risorse sottostanti che si desidera distribuire, potrebbe essere necessario modificare la policy JSON di esempio.

    Incolla il seguente documento di policy JSON:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] }
    1. Scegli Avanti, Tags.

    2. Scegli Avanti, Rivedi.

    3. Nella pagina della politica di revisione, per il nome, inserisciS3ResourceCreationAndArtifactAccessPolicy.

    4. Scegli Crea policy.

  3. Nel pannello di navigazione, scegliere Roles (Ruoli) e quindi Create role (Crea ruolo).

  4. Per Seleziona entità attendibile, scegli Politica di fiducia personalizzata, quindi inserisci la seguente politica JSON:

    { "Version": "2012-10-17", "Statement": [ { "Sid": "GivePermissionsToServiceCatalog", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account_id:root" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::accounti_id:role/TerraformEngine/TerraformExecutionRole*", "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogExternalParameterParserRole*", "arn:aws:iam::accounti_id:role/TerraformEngine/ServiceCatalogTerraformOSParameterParserRole*" ] } } } ] }
  5. Seleziona Avanti.

  6. Nell'elenco Politiche, seleziona quella S3ResourceCreationAndArtifactAccessPolicy che hai appena creato.

  7. Seleziona Avanti.

  8. Per Nome ruolo, inserisci SCLaunch-S3product.

    Importante

    I nomi dei ruoli di avvio devono iniziare con «SCLaunch» seguito dal nome del ruolo desiderato.

  9. Scegli Crea ruolo.

    Importante

    Dopo aver creato il ruolo di avvio nell'account AWS Service Catalog amministratore, è necessario creare anche un ruolo di lancio identico nell'account dell'AWS Service Catalogutente finale. Il ruolo nell'account dell'utente finale deve avere lo stesso nome e includere la stessa politica del ruolo nell'account amministratore.

Per creare un ruolo di lancio nell'account dell'utente AWS Service Catalog finale
  1. Accedi come amministratore all'account dell'utente finale, quindi segui le istruzioni per creare nuove politiche nella scheda JSON nella guida per l'utente IAM.

  2. Ripeti i passaggi da 2 a 10 da Per creare un ruolo di avvio nell'account AWS Service Catalog amministratore riportato sopra.

Nota

Quando crei un ruolo di avvio nell'account dell'utente AWS Service Catalog finale, assicurati di utilizzare lo stesso amministratore AccountId nella politica di fiducia personalizzata.

Ora che hai creato un ruolo di lancio sia nell'account amministratore che in quello dell'utente finale, puoi aggiungere un vincolo di avvio al prodotto.