Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 5: Buat peran peluncuran
<a name="getstarted-launchrole-Terraform"></a>

Pada langkah ini, Anda akan membuat peran IAM (peran peluncuran) yang menentukan izin yang AWS Service Catalog dapat diasumsikan oleh mesin penyediaan Terraform saat pengguna akhir meluncurkan produk Terraform. HashiCorp 

 Peran IAM (peran peluncuran) yang kemudian Anda tetapkan ke produk Terraform bucket Amazon S3 sederhana Anda sebagai batasan peluncuran harus memiliki izin berikut: 
+ Akses ke AWS sumber daya yang mendasari produk Terraform Anda. Dalam tutorial ini, ini termasuk akses ke operasi`s3:CreateBucket*`,`s3:DeleteBucket*`,`s3:Get*`,`s3:List*`, dan `s3:PutBucketTagging` Amazon S3. 
+ Baca akses ke template Amazon S3 dalam bucket Amazon AWS Service Catalog S3 milik 
+ Akses ke`CreateGroup`,, `ListGroupResources``DeleteGroup`, dan operasi kelompok `Tag` sumber daya. Operasi ini memungkinkan AWS Service Catalog untuk mengelola kelompok sumber daya dan tag

**Untuk membuat peran peluncuran di akun AWS Service Catalog administrator**

1. Saat masuk ke akun AWS Service Catalog administrator, ikuti petunjuk untuk [Membuat kebijakan baru di tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) di *Panduan Pengguna IAM*. 

1. Buat **kebijakan untuk produk** Terraform bucket Amazon S3 sederhana Anda. Kebijakan ini harus dibuat sebelum Anda membuat peran peluncuran, dan terdiri dari izin berikut:
   +  `s3`— Memungkinkan izin AWS Service Catalog penuh untuk mendaftar, membaca, menulis, menyediakan, dan menandai produk Amazon S3. 
   +  `s3`— Memungkinkan akses ke ember Amazon S3 yang dimiliki oleh. AWS Service Catalog Untuk menyebarkan produk, AWS Service Catalog memerlukan akses ke artefak penyediaan. 
   +  `resourcegroups`— Memungkinkan AWS Service Catalog untuk membuat, daftar, menghapus, dan menandai AWS Resource Groups. 
   +  `tag`— Memungkinkan izin AWS Service Catalog penandaan. 
**catatan**  
 Bergantung pada sumber daya dasar yang ingin Anda terapkan, Anda mungkin perlu mengubah contoh kebijakan JSON. 

   Rekatkan dokumen kebijakan JSON berikut: 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                   }
               }
           },
           {
               "Action": [
                   "s3:CreateBucket*",
                   "s3:DeleteBucket*",
                   "s3:Get*",
                   "s3:List*",
                   "s3:PutBucketTagging"
               ],
               "Resource": "arn:aws:s3:::*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "resource-groups:CreateGroup",
                   "resource-groups:ListGroupResources",
                   "resource-groups:DeleteGroup",
                   "resource-groups:Tag"
               ],
               "Resource": "*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "tag:GetResources",
                   "tag:GetTagKeys",
                   "tag:GetTagValues",
                   "tag:TagResources",
                   "tag:UntagResources"
               ],
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
   }
   ```

------

1. 

   1. Pilih **Berikutnya**, **Tag**.

   1. Pilih **Berikutnya,** **Tinjau**.

   1. Di halaman **Kebijakan ulasan**, untuk **Nama**, masukkan**S3ResourceCreationAndArtifactAccessPolicy**.

   1. Pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**. 

1. Untuk **Pilih entitas tepercaya**, pilih **Kebijakan kepercayaan khusus**, lalu masukkan kebijakan JSON berikut:

1. Pilih **Berikutnya**. 

1. Dalam daftar **Kebijakan**, pilih yang baru saja `S3ResourceCreationAndArtifactAccessPolicy` Anda buat. 

1. Pilih **Berikutnya**. 

1. Untuk **Nama peran**, masukkan **SCLaunch-S3product**.
**penting**  
Nama peran peluncuran **harus** dimulai dengan "SCLaunch" diikuti dengan nama peran yang diinginkan. 

1. Pilih **Buat peran**.
**penting**  
Setelah membuat peran peluncuran di akun AWS Service Catalog administrator Anda, Anda juga harus membuat peran peluncuran yang identik di akun pengguna AWS Service Catalog akhir. Peran di akun pengguna akhir harus memiliki nama yang sama dan menyertakan kebijakan yang sama dengan peran di akun administrator.

**Untuk membuat peran peluncuran di akun pengguna AWS Service Catalog akhir**

1. Masuk sebagai administrator ke akun pengguna akhir, lalu ikuti petunjuk untuk [Membuat kebijakan baru di tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) di panduan *Pengguna IAM*. 

1. Ulangi langkah 2-10 dari *Untuk membuat peran peluncuran di akun AWS Service Catalog administrator di* atas. 

**catatan**  
Saat membuat peran peluncuran di akun pengguna AWS Service Catalog akhir, pastikan Anda menggunakan administrator yang sama **AccountId** dalam kebijakan kepercayaan khusus. 

Sekarang setelah Anda membuat peran peluncuran di akun administrator dan pengguna akhir, Anda dapat menambahkan batasan peluncuran ke produk.