Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Langkah 6: Tambahkan batasan peluncuran untuk menetapkan peran IAM Langkah 6: Tambahkan kendala peluncuran Kendala peluncuran menunjuk peran IAM yang AWS Service Catalog mengasumsikan ketika pengguna akhir meluncurkan produk. Untuk langkah ini, Anda menambahkan batasan peluncuran ke produk Desktop Linux, sehingga AWS Service Catalog dapat menggunakan sumber daya IAM yang membentuk template produk. AWS CloudFormation Peran IAM yang Anda tetapkan ke produk sebagai kendala peluncuran harus memiliki izin berikut 1. AWS CloudFormation 1. Layanan dalam AWS CloudFormation template untuk produk 1. Baca akses ke AWS CloudFormation template dalam bucket Amazon S3 milik layanan. Batasan peluncuran ini memungkinkan pengguna akhir untuk meluncurkan produk dan, setelah peluncuran, mengelolanya sebagai produk yang tersedia. Untuk informasi selengkapnya, lihat [Batasan peluncuran AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html). Tanpa kendala peluncuran, Anda perlu memberikan izin IAM tambahan kepada pengguna akhir Anda sebelum mereka dapat menggunakan produk Desktop Linux. Misalnya, `ServiceCatalogEndUserAccess` kebijakan memberikan izin IAM minimum yang diperlukan untuk mengakses tampilan konsol pengguna AWS Service Catalog akhir. Menggunakan batasan peluncuran memungkinkan Anda mengikuti praktik terbaik IAM untuk menjaga izin IAM pengguna akhir seminimal mungkin. Untuk informasi selengkapnya, lihat [Pemberian hak istimewa terendah](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dalam *Panduan Pengguna IAM*. **Untuk menambahkan batasan peluncuran** 1. Ikuti petunjuk untuk [Membuat kebijakan baru di tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) di *Panduan Pengguna IAM*. 1. Rekatkan dokumen kebijakan JSON berikut: + `cloudformation`— Memungkinkan izin AWS Service Catalog penuh untuk membuat, membaca, memperbarui, menghapus, daftar, dan CloudFormation tumpukan tag. + `ec2`— Memungkinkan izin AWS Service Catalog lengkap untuk mencantumkan, membaca, menulis, menyediakan, dan menandai sumber daya Amazon Elastic Compute Cloud (Amazon EC2) yang merupakan bagian dari produk. AWS Service Catalog Bergantung pada AWS sumber daya yang ingin Anda terapkan, izin ini mungkin berubah. + `ec2`— Membuat kebijakan terkelola baru untuk AWS akun Anda dan melampirkan kebijakan terkelola yang ditentukan ke peran IAM yang ditentukan. + `s3`— Memungkinkan akses ke ember Amazon S3 yang dimiliki oleh. AWS Service Catalog Untuk menyebarkan produk, AWS Service Catalog memerlukan akses ke artefak penyediaan. + `servicecatalog`— Memungkinkan AWS Service Catalog izin untuk membuat daftar, membaca, menulis, menandai, dan meluncurkan sumber daya atas nama pengguna akhir. + `sns`— Memungkinkan AWS Service Catalog izin untuk membuat daftar, membaca, menulis, dan menandai topik Amazon SNS untuk kendala peluncuran. **catatan** Bergantung pada sumber daya dasar yang ingin Anda terapkan, Anda mungkin perlu memodifikasi contoh kebijakan JSON. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "servicecatalog:*", "sns:*" ], "Resource": "*" }, { "Effect":"Allow", "Action":[ "s3:GetObject" ], "Resource":"*", "Condition":{ "StringEquals":{ "s3:ExistingObjectTag/servicecatalog:provisioning":"true" } } } ] } ``` ------ 1. Pilih **Berikutnya**, **Tag**. 1. Pilih **Berikutnya,** **Tinjau**. 1. Di halaman **Kebijakan tinjau**, untuk **Nama**, masukkan**linuxDesktopPolicy**. 1. Pilih **Buat kebijakan**. 1. Di panel navigasi, pilih **Peran**. Lalu pilih **Buat peran** dan lakukan hal berikut: 1. Untuk **Pilih entitas tepercaya**, pilih **AWS layanan** dan kemudian di bawah **Kasus penggunaan untuk AWS layanan lain** pilih **Service Catalog**. Pilih kasus penggunaan Service Catalog dan kemudian pilih **Berikutnya**. 1. Cari **linuxDesktopPolicy**kebijakan, lalu pilih kotak centang. 1. Pilih **Berikutnya**. 1. Untuk **Nama Peran**, ketik **linuxDesktopLaunchRole**. 1. Pilih **Buat peran**. 1. Buka AWS Service Catalog konsol di [https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog.). 1. Pilih portofolio **Peralatan Teknik**. 1. **Pada halaman **Detail portofolio**, pilih tab **Constraints**, lalu pilih Create constraint.** 1. Untuk **Produk**, Pilih **Desktop Linux**, dan untuk **Tipe Batasan**, pilih **Luncurkan**. 1. Pilih **Pilih IAM role**. Selanjutnya pilih **linuxDesktopLaunchPeran**, lalu pilih **Buat**.