Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Paso 5: crear roles de lanzamiento En este paso, creará un rol de IAM (rol de lanzamiento) que especificará los permisos que el motor de aprovisionamiento de Terraform AWS Service Catalog puede asumir cuando un usuario final lanza un HashiCorp producto de Terraform. El rol de IAM (rol de lanzamiento) que asigne más adelante a su bucket simple de Amazon S3, producto de Terraform, como restricción de lanzamiento debe tener los siguientes permisos: + Acceda a los AWS recursos subyacentes de su producto Terraform. En este tutorial, esto incluye el acceso a las operaciones `s3:CreateBucket*`, `s3:DeleteBucket*`, `s3:Get*`, `s3:List*` y `s3:PutBucketTagging` de Amazon S3. + Acceso de lectura a la plantilla de Amazon S3 en un bucket AWS Service Catalog de Amazon S3 propio + Acceso a las operaciones del grupo de recursos `CreateGroup`, `ListGroupResources`, `DeleteGroup` y `Tag` Estas operaciones permiten AWS Service Catalog administrar grupos de recursos y etiquetas **Para crear un rol de lanzamiento en la cuenta AWS Service Catalog de administrador** 1. Mientras esté conectado a la cuenta de AWS Service Catalog administrador, siga las instrucciones para [crear nuevas políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) de la *guía del usuario de IAM*. 1. Cree una **política** para su producto de Terraform simple de bucket de Amazon S3. Esta política debe crearse antes de crear el rol de lanzamiento y consta de los siguientes permisos: + `s3`— Permite permisos AWS Service Catalog completos para enumerar, leer, escribir, aprovisionar y etiquetar el producto Amazon S3. + `s3`— Permite el acceso a los buckets de Amazon S3 propiedad AWS Service Catalog de. Para implementar el producto, AWS Service Catalog requiere acceso a los artefactos de aprovisionamiento. + `resourcegroups`— Permite AWS Service Catalog crear, enumerar, eliminar y etiquetar Grupos de recursos de AWS. + `tag`— Permite permisos AWS Service Catalog de etiquetado. **nota** En función de los recursos subyacentes que desee implementar, es posible que deba modificar la política de JSON de ejemplo. Pegue el siguiente documento de políticas JSON: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ 1. 1. Elija **Siguiente**, **Etiquetas**. 1. Elija **Siguiente**, **Revisar**. 1. En **Revisar política**, ingrese **S3ResourceCreationAndArtifactAccessPolicy** como **Nombre**. 1. Elija **Crear política**. 1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**. 1. En **Seleccionar una entidad de confianza**, seleccione **Política de confianza personalizada** y, a continuación, introduzca la siguiente política de JSON: 1. Elija **Siguiente**. 1. En la lista de **Políticas**, seleccione la `S3ResourceCreationAndArtifactAccessPolicy` que ha creado. 1. Elija **Siguiente**. 1. En **Nombre del rol**, ingrese **SCLaunch-S3product**. **importante** Los nombres de las funciones de lanzamiento **deben** empezar por SCLaunch «» seguido del nombre de función deseado. 1. Elija **Crear rol**. **importante** Tras crear el rol de inicio en la cuenta de AWS Service Catalog administrador, también debe crear un rol de inicio idéntico en la cuenta del usuario AWS Service Catalog final. El rol de la cuenta de usuario final debe tener el mismo nombre e incluir la misma política que el rol de la cuenta de administrador. **Para crear un rol de lanzamiento en la cuenta de usuario AWS Service Catalog final** 1. Inicie sesión como administrador en la cuenta de usuario final y, a continuación, siga las instrucciones para [Crear nuevas políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*. 1. Repita los pasos 2 y 10 descritos anteriormente en *Para crear un rol de lanzamiento en la cuenta de AWS Service Catalog administrador*. **nota** Al crear un rol de inicio en la cuenta del usuario AWS Service Catalog final, asegúrese de utilizar el mismo administrador **AccountId** en la política de confianza personalizada. Ahora que ha creado un rol de lanzamiento tanto en la cuenta de administrador como en la de usuario final, puede añadir una restricción de lanzamiento al producto.