기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 5단계: 시작 역할 생성 이 단계에서는 Terraform 프로비저닝 엔진과 최종 사용자가 HashiCorp Terraform 제품을 시작할 때 수임할 AWS Service Catalog 수 있는 권한을 지정하는 IAM 역할(시작 역할)을 생성합니다. 나중에 심플 Amazon S3 버킷 Terraform 제품에 시작 제약으로 할당하는 IAM 역할(시작 역할)에는 다음과 같은 권한이 있어야 합니다. + Terraform 제품의 기본 AWS 리소스에 대한 액세스. 이 자습서에는 `s3:CreateBucket*`, `s3:DeleteBucket*`, `s3:Get*`, `s3:List*` 및 `s3:PutBucketTagging` Amazon S3 작업에 대한 액세스가 포함됩니다. + AWS Service Catalog소유 Amazon S3 버킷의 Amazon S3 템플릿에 대한 읽기 액세스 + `CreateGroup`, `ListGroupResources`, `DeleteGroup` 및 `Tag` 리소스 그룹 작업에 대한 액세스 이러한 작업을 통해 AWS Service Catalog 는 리소스 그룹 및 태그를 관리할 수 있습니다. **AWS Service Catalog 관리자 계정에서 시작 역할을 생성하려면** 1. AWS Service Catalog 관리자 계정에 로그인한 상태에서 *IAM 사용 설명서*의 [ JSON 탭에서 새 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) 지침을 따릅니다. 1. 심플 Amazon S3 버킷 Terraform 제품에 대한 **정책**을 생성합니다. 이 정책은 시작 역할을 생성하기 전에 생성해야 하며, 다음과 같은 권한으로 구성됩니다. + `s3`- Amazon S3 제품을 나열, 읽기, 쓰기, 프로비저닝 및 태그 지정할 수 있는 AWS Service Catalog 모든 권한을 허용합니다. + `s3`- 소유 Amazon S3 버킷에 대한 액세스를 허용합니다 AWS Service Catalog. 제품을 배포하려면 AWS Service Catalog 는 프로비저닝 아티팩트에 대한 액세스 권한이 필요합니다. + `resourcegroups`- AWS Service Catalog 가 생성, 나열, 삭제 및 태그를 지정할 수 있습니다 AWS Resource Groups. + `tag`- AWS Service Catalog 태그 지정 권한을 허용합니다. **참고** 배포하려는 기본 리소스에 따라 예제 JSON 정책을 수정해야 할 수 있습니다. 다음 JSON 정책 문서를 붙여 넣습니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Action": [ "s3:CreateBucket*", "s3:DeleteBucket*", "s3:Get*", "s3:List*", "s3:PutBucketTagging" ], "Resource": "arn:aws:s3:::*", "Effect": "Allow" }, { "Action": [ "resource-groups:CreateGroup", "resource-groups:ListGroupResources", "resource-groups:DeleteGroup", "resource-groups:Tag" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "tag:TagResources", "tag:UntagResources" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ 1. 1. **다음**, **태그**를 선택합니다. 1. **다음**, **검토**를 선택합니다. 1. **정책 검토** 페이지에서 **이름** **S3ResourceCreationAndArtifactAccessPolicy**을 입력합니다. 1. **정책 생성**을 선택합니다. 1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택합니다. 1. **신뢰할 수 있는 엔터티 선택**에서 **사용자 지정 신뢰 정책**을 선택한 후 다음 JSON 정책을 입력합니다. 1. **다음**을 선택합니다. 1. **정책** 목록에서 만든 `S3ResourceCreationAndArtifactAccessPolicy`을 선택합니다. 1. **다음**을 선택합니다. 1. **역할 이름**에 **SCLaunch-S3product**을 입력합니다. **중요** **반드시** 시작 역할 이름이 “SCLaunch”로 시작해야 하고 그 뒤에 원하는 역할 이름이 와야 합니다. 1. **역할 생성**을 선택합니다. **중요** AWS Service Catalog 관리자 계정에서 시작 역할을 생성한 후 AWS Service Catalog 최종 사용자 계정에서도 동일한 시작 역할을 생성해야 합니다. 최종 사용자 계정의 역할은 이름이 같아야 하며 관리자 계정의 역할과 동일한 정책을 포함해야 합니다. **AWS Service Catalog 최종 사용자 계정에서 시작 역할을 생성하려면** 1. 최종 사용자 계정에 관리자로 로그인한 다음 *IAM 사용 설명서*의 [JSON 탭에서 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)에 대한 지침을 따르십시오. 1. 위의 * AWS Service Catalog 관리자 계정에서 시작 역할을 생성하려면에서* 2\$110단계를 반복합니다. **참고** AWS Service Catalog 최종 사용자 계정에서 시작 역할을 생성할 때는 사용자 지정 신뢰 정책**AccountId**에서 동일한 관리자를 사용해야 합니다. 이제 관리자와 최종 사용자 계정 모두에서 시작 역할을 만들었으므로 제품에 시작 제약을 추가할 수 있습니다.