Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Schritt 5: Startrollen erstellen In diesem Schritt erstellen Sie eine IAM-Rolle (Startrolle), die die Berechtigungen angibt, die die Terraform-Provisioning-Engine annehmen AWS Service Catalog kann, wenn ein Endbenutzer ein Terraform-Produkt startet. HashiCorp Die IAM-Rolle (Startrolle), die Sie später Ihrem einfachen Amazon S3 S3-Bucket-Terraform-Produkt als Startbeschränkung zuweisen, muss über die folgenden Berechtigungen verfügen: + Zugriff auf die zugrunde liegenden AWS Ressourcen für Ihr Terraform-Produkt. In diesem Tutorial beinhaltet dies den Zugriff auf die Operationen `s3:CreateBucket*` `s3:DeleteBucket*``s3:Get*`,`s3:List*`,, und `s3:PutBucketTagging` Amazon S3. + Lesezugriff auf die Amazon S3 S3-Vorlage in einem AWS Service Catalog eigenen Amazon S3 S3-Bucket + Zugriff auf die Operationen `CreateGroup``ListGroupResources`,`DeleteGroup`, und `Tag` Ressourcengruppen. Diese Operationen ermöglichen AWS Service Catalog die Verwaltung von Ressourcengruppen und Tags **Um eine Startrolle im AWS Service Catalog Administratorkonto zu erstellen** 1. Während Sie mit dem AWS Service Catalog Administratorkonto angemeldet sind, folgen Sie den Anweisungen zum [Erstellen neuer Richtlinien auf der Registerkarte JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*. 1. Erstellen Sie eine **Richtlinie** für Ihr einfaches Amazon S3 S3-Bucket Terraform-Produkt. Diese Richtlinie muss erstellt werden, bevor Sie die Startrolle erstellen. Sie besteht aus den folgenden Berechtigungen: + `s3`— Erlaubt AWS Service Catalog volle Rechte zum Auflisten, Lesen, Schreiben, Bereitstellen und Markieren des Amazon S3 S3-Produkts. + `s3`— Ermöglicht den Zugriff auf Amazon S3 S3-Buckets im Besitz von AWS Service Catalog. Um das Produkt bereitzustellen, ist Zugriff auf Bereitstellungsartefakte AWS Service Catalog erforderlich. + `resourcegroups`— Ermöglicht AWS Service Catalog das Erstellen, Auflisten, Löschen und Markieren AWS -Ressourcengruppen. + `tag`— Erlaubt AWS Service Catalog Tagging-Berechtigungen. **Anmerkung** Abhängig von den zugrunde liegenden Ressourcen, die Sie bereitstellen möchten, müssen Sie möglicherweise die Beispiel-JSON-Richtlinie ändern. Fügen Sie das folgende JSON-Richtliniendokument ein: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ 1. 1. Wählen Sie **Weiter**, **Tags**. 1. Wählen Sie „**Weiter“,** **„Überprüfen**“. 1. Geben Sie auf der Seite „**Richtlinie überprüfen**“ als **Namen** den Text ein**S3ResourceCreationAndArtifactAccessPolicy**. 1. Wählen Sie **Richtlinie erstellen** aus. 1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**. 1. **Wählen Sie für Vertrauenswürdige Entität** auswählen die Option **Benutzerdefinierte Vertrauensrichtlinie** und geben Sie dann die folgende JSON-Richtlinie ein: 1. Wählen Sie **Weiter** aus. 1. Wählen Sie in der Liste **Richtlinien** die, die `S3ResourceCreationAndArtifactAccessPolicy` Sie gerade erstellt haben. 1. Wählen Sie **Weiter** aus. 1. Geben Sie für **Rollenname** den Namen **SCLaunch-S3product** ein. **Wichtig** Die Namen der Startrollen **müssen** mit "SCLaunch" beginnen, gefolgt vom gewünschten Rollennamen. 1. Wählen Sie **Rolle erstellen** aus. **Wichtig** Nachdem Sie die Startrolle in Ihrem AWS Service Catalog Administratorkonto erstellt haben, müssen Sie auch eine identische Startrolle im AWS Service Catalog Endbenutzerkonto erstellen. Die Rolle im Endbenutzerkonto muss denselben Namen haben und dieselbe Richtlinie enthalten wie die Rolle im Administratorkonto. **Um eine Startrolle im AWS Service Catalog Endbenutzerkonto zu erstellen** 1. Melden Sie sich als Administrator für das Endbenutzerkonto an und folgen Sie dann den Anweisungen zum [Erstellen neuer Richtlinien auf der Registerkarte JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*. 1. Wiederholen Sie die Schritte 2-10 unter *So erstellen Sie eine Startrolle im AWS Service Catalog Administratorkonto oben*. **Anmerkung** Achten Sie beim Erstellen einer Startrolle im AWS Service Catalog Endbenutzerkonto darauf, dass Sie **AccountId** in der benutzerdefinierten Vertrauensrichtlinie denselben Administrator verwenden. Nachdem Sie nun sowohl für das Administrator- als auch für das Endbenutzerkonto eine Startrolle erstellt haben, können Sie dem Produkt eine Startbeschränkung hinzufügen.