翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ステップ 5: 起動ロールを作成する このステップでは、エンドユーザーが HashiCorp Terraform 製品を起動するときに Terraform プロビジョニングエンジンと が引き受け AWS Service Catalog ることができるアクセス許可を指定する IAM ロール (起動ロール) を作成します。 起動制約としてシンプルな Amazon S3 バケット Terraform 製品に後で割り当てる IAM ロール (起動ロール) には、以下のアクセス許可が必要です。 + Terraform 製品の基盤となる AWS リソースへのアクセス。このチュートリアルでは、`s3:CreateBucket*`、`s3:DeleteBucket*`、`s3:Get*`、`s3:List*`、および `s3:PutBucketTagging` Amazon S3 オペレーションへのアクセスが含まれます。 + AWS Service Catalog所有の Amazon S3 バケット内の Amazon S3 テンプレートへの読み取りアクセス + `CreateGroup`、`ListGroupResources`、`DeleteGroup`、および `Tag` リソースグループオペレーションへのアクセス。これらのオペレーションにより、 AWS Service Catalog はリソースグループとタグを管理できます。 **AWS Service Catalog 管理者アカウントで起動ロールを作成するには** 1. AWS Service Catalog 管理者アカウントにログインしている間、*「IAM ユーザーガイド*」の[「JSON タブで新しいポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」の手順に従います。 1. シンプルな Amazon S3 バケット Terraform 製品用の**ポリシー**を作成します。このポリシーは、起動ロールを作成する前に作成する必要があり、以下の権限で構成されます。 + `s3`— Amazon S3 製品を一覧表示、読み取り、書き込み、プロビジョニング、タグ付けする AWS Service Catalog 完全なアクセス許可を付与します。 + `s3`— が所有する Amazon S3 バケットへのアクセスを許可します AWS Service Catalog。製品をデプロイするには、 AWS Service Catalog はプロビジョニングアーティファクトへのアクセスが必要です。 + `resourcegroups`— AWS Service Catalog が作成、一覧表示、削除、タグ付けできるようにします AWS Resource Groups。 + `tag`— AWS Service Catalog タグ付けのアクセス許可を許可します。 **注記** デプロイする基盤となるリソースによっては、サンプル JSON ポリシーを変更する必要がある場合があります。 以下の JSON ポリシードキュメントを貼り付けます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ 1. 1. **[次へ]**、**[タグ]** を選択します。 1. **[次へ]**、**[レビュー]** を選択します。 1. **[ポリシーの確認]** ページで、**[名前]** に「**S3ResourceCreationAndArtifactAccessPolicy**」と入力します。 1. [**Create policy**] を選択します。 1. ナビゲーションペインで [**Roles**] を選択し、続いて [**Create role**] を選択します。 1. **[信頼できるエンティティを選択]** で **[カスタム信頼ポリシー]** を選択し、次の JSON ポリシーを入力します。 1. **[次へ]** を選択します。 1. **[ポリシー]** リストで、作成したばかりの「`S3ResourceCreationAndArtifactAccessPolicy`」を選択します。 1. **[次へ]** を選択します。 1. **[ロール名]** には、「**SCLaunch-S3product**」と入力します。 **重要** 起動ロール名は「SCLaunch」で始まり、その後に目的のロール名が続く**必要**があります。 1. [**ロールの作成**] を選択してください。 **重要** AWS Service Catalog 管理者アカウントで起動ロールを作成したら、 AWS Service Catalog エンドユーザーアカウントでも同じ起動ロールを作成する必要があります。エンドユーザーアカウントのロールは、管理者アカウントのロールと同じ名前で、同じポリシーが含まれている必要があります。 **AWS Service Catalog エンドユーザーアカウントに起動ロールを作成するには** 1. エンドユーザーアカウントに管理者としてログインし、IAM ユーザーガイドの [JSON タブにある新しいポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)の指示に従います。 1. 上記の* AWS Service Catalog 管理者アカウントに起動ロールを作成するには、*「」の手順 2~10 を繰り返します。 **注記** AWS Service Catalog エンドユーザーアカウントで起動ロールを作成するときは、カスタム信頼ポリシー**AccountId**で同じ管理者を使用してください。 管理者アカウントとエンドユーザーアカウントの両方で起動ロールを作成したので、製品に起動制約を追加できます。