As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Etapa 5: Criar funções de lançamento
<a name="getstarted-launchrole-Terraform"></a>

Nesta etapa, você criará uma função do IAM (função de lançamento) especificando as permissões que o mecanismo de provisionamento do Terraform AWS Service Catalog pode assumir quando um usuário final lança um produto Terraform. HashiCorp 

 O perfil do IAM (função de inicialização) que você atribui posteriormente ao seu produto Terraform de bucket simples do Amazon S3 como uma restrição de inicialização deve ter as seguintes permissões: 
+ Acesso aos AWS recursos subjacentes do seu produto Terraform. Neste tutorial, isso inclui acesso às operações `s3:CreateBucket*`, `s3:DeleteBucket*`, `s3:Get*`, `s3:List*` e do Amazon S3 `s3:PutBucketTagging`. 
+ Acesso de leitura ao modelo do Amazon S3 em um bucket próprio do Amazon AWS Service Catalog S3 
+ Acesso às operações `CreateGroup`, `ListGroupResources`, `DeleteGroup` e `Tag` do grupo de recursos. Essas operações permitem AWS Service Catalog gerenciar grupos de recursos e tags.

**Para criar uma função de lançamento na conta AWS Service Catalog do administrador**

1. Enquanto estiver conectado à conta do AWS Service Catalog administrador, siga as instruções para [criar novas políticas na guia JSON no](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) Guia do *usuário do IAM*. 

1. Crie uma **política** para seu produto simples do Amazon S3 bucket Terraform. Essa política deve ser criada antes de você criar o perfil de lançamento e consiste nas seguintes permissões:
   +  `s3`— Permite permissões AWS Service Catalog completas para listar, ler, gravar, provisionar e marcar o produto Amazon S3. 
   +  `s3`— Permite acesso aos buckets do Amazon S3 de propriedade da. AWS Service Catalog Para implantar o produto, AWS Service Catalog é necessário acesso aos artefatos de provisionamento. 
   +  `resourcegroups`— Permite AWS Service Catalog criar, listar, excluir e marcar AWS Resource Groups. 
   +  `tag`— Permite permissões AWS Service Catalog de marcação. 
**nota**  
 Dependendo dos recursos subjacentes que você deseja implantar, talvez seja necessário modificar o exemplo de política JSON. 

   Cole o seguinte documento da política JSON: 

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": "*",
               "Condition": {
                   "StringEquals": {
                       "s3:ExistingObjectTag/servicecatalog:provisioning": "true"
                   }
               }
           },
           {
               "Action": [
                   "s3:CreateBucket*",
                   "s3:DeleteBucket*",
                   "s3:Get*",
                   "s3:List*",
                   "s3:PutBucketTagging"
               ],
               "Resource": "arn:aws:s3:::*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "resource-groups:CreateGroup",
                   "resource-groups:ListGroupResources",
                   "resource-groups:DeleteGroup",
                   "resource-groups:Tag"
               ],
               "Resource": "*",
               "Effect": "Allow"
           },
           {
               "Action": [
                   "tag:GetResources",
                   "tag:GetTagKeys",
                   "tag:GetTagValues",
                   "tag:TagResources",
                   "tag:UntagResources"
               ],
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
   }
   ```

------

1. 

   1. Escolha **Próximo**, **Tags**.

   1. Escolha **Próximo**, **Revisar**.

   1. Na página **Revisar política**, para o Nome **, insira**S3ResourceCreationAndArtifactAccessPolicy** **.

   1. Escolha **Criar política**.

1. No painel de navegação, escolha **Perfis** e **Criar perfil**. 

1. Em **Selecionar entidade confiável**, escolha **Política de confiança personalizada** e, em seguida, insira a seguinte política JSON:

1. Escolha **Próximo**. 

1. Na lista **Políticas**, selecione a `S3ResourceCreationAndArtifactAccessPolicy` que você criou. 

1. Escolha **Próximo**. 

1. Em **Nome do perfil**, insira **SCLaunch-S3product**.
**Importante**  
Os nomes da função de lançamento **devem** começar com SCLaunch "" seguido pelo nome da função desejada. 

1. Selecione **Criar perfil**.
**Importante**  
Depois de criar a função de lançamento na sua conta de AWS Service Catalog administrador, você também deve criar uma função de lançamento idêntica na conta do usuário AWS Service Catalog final. O perfil na conta do usuário final deve ter o mesmo nome e incluir a mesma política do perfil na conta do administrador.

**Para criar uma função de lançamento na conta do usuário AWS Service Catalog final**

1. Faça login como administrador na conta do usuário final e siga as instruções para [Criar novas políticas na guia JSON no](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) *Guia do Usuário do IAM*. 

1. Repita as etapas 2 a 10 de *Para criar uma função de lançamento na conta de AWS Service Catalog administrador* acima. 

**nota**  
Ao criar uma função de lançamento na conta do usuário AWS Service Catalog final, certifique-se de usar o mesmo administrador **AccountId** na política de confiança personalizada. 

Agora que você criou uma função de lançamento nas contas de administrador e usuário final, pode adicionar uma restrição de lançamento ao produto.