Verwenden Sie benutzerbasierte License Manager Manager-Abonnements für unterstützte Softwareprodukte - AWS License Manager
ÜberlegungenVoraussetzungen für benutzerbasierte AbonnementsUnterstützte SoftwareabonnementsZusätzliche Software

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie benutzerbasierte License Manager Manager-Abonnements für unterstützte Softwareprodukte

Wenn benutzerbasierte Abonnements aktiviert sind AWS License Manager, können Sie lizenzierte Softwareabonnements erwerben, die vollständig den Anforderungen entsprechen. Lizenzen werden von Amazon bereitgestellt und haben eine Abonnementgebühr pro Benutzer. Amazon EC2 bietet vorkonfigurierte Amazon Machine Images (AMIs) mit der unterstützten Software sowie Windows Server-Lizenzen, die in der Lizenz enthalten sind. Diese Lizenzen können ohne langfristige Lizenzverpflichtungen verwendet werden.

Um benutzerbasierte Abonnements zu verwenden, ordnen Sie Benutzer aus AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) oder aus Ihrer selbst verwalteten (lokalen) Domäne den EC2 Instanzen zu, die die Software bereitstellen. Um Ihre lizenzierte Software verfügbar zu machen, müssen Sie benutzerbasierte Abonnements erstellen und diese mit Instanzen verknüpfen, die über vorkonfigurierte Versionen gestartet wurden. AMIs AWS Systems Managerkonfiguriert und stabilisiert die Instances, die in der Lizenz enthalten sind, die Sie starten. Benutzer müssen eine Verbindung mit der Remote Desktop-Software herstellen, um auf die Instanzen zugreifen zu können, die die Software bereitstellen.

Für jeden zugehörigen Benutzer und jede vCPU für die in der Lizenz enthaltenen Instances fallen Gebühren an. Preismodelle für Amazon EC2 Reserved Instances und Savings Plan können Ihnen helfen, Ihre EC2 Amazon-Kosten zu optimieren. Weitere Informationen finden Sie unter Reserved Instances im Amazon Elastic Compute Cloud-Benutzerhandbuch. Benutzerbasierte Abonnements werden von der ersten Monatshälfte bis zum Monatsende abgerechnet.

Themen

Überlegungen zur Verwendung benutzerbasierter Abonnements in License Manager

Bei der Verwendung von benutzerbasierten Abonnements mit License Manager gelten die folgenden Überlegungen:

  • Für das AWS Marketplace Abonnement für Microsoft Remote Desktop Services (Win Remote Desktop Services SAL), die in der Lizenz enthalten sind, fällt eine Gebühr pro Benutzer und Monat an, ohne anteilige Gebühren.

  • Instanzen, die benutzerbasierte Abonnements anbieten, unterstützen standardmäßig bis zu zwei aktive Benutzersitzungen gleichzeitig. Um mehr als zwei aktive Benutzersitzungen zu aktivieren, können Sie ein Active Directory-Gruppenrichtlinienobjekt (GPO) konfigurieren und den Microsoft RDS-Lizenzierungsmodus auf Per User festlegen. Weitere Informationen finden Sie in den Voraussetzungen fürKonfigurieren Sie Active Directory-GPO für aktivere Remotebenutzersitzungen.

  • Wenn Sie lokale Benutzer mit Administratorrechten für Instanzen erstellen, die benutzerbasierte Abonnements anbieten, ändert sich der Integritätsstatus der Instanz möglicherweise auf fehlerhaft. License Manager kann fehlerhafte Instanzen aufgrund von Compliance-Verstößen beenden. Weitere Informationen finden Sie unter Fehlerbehebung bei der Einhaltung von Instanzbestimmungen.

  • Wenn Sie Ihr Active Directory mit Microsoft Office-Produkten konfigurieren, müssen für Ihre VPC VPC-Endpunkte in mindestens einem Subnetz bereitgestellt werden. Wenn Sie alle mit License Manager erstellten VPC-Endpunktressourcen entfernen möchten, müssen Sie alle Active Directory-Dateien entfernen, die in den License Manager Manager-Einstellungen konfiguriert wurden. Weitere Informationen finden Sie unter Ein Active Directory aus den License Manager Manager-Einstellungen abmelden.

  • Der Tag-Schlüssel von AWSLicenseManager mit dem Wert von, der Ihren Instances von License Manager UserSubscriptions zugewiesen wurde, darf nicht geändert oder gelöscht werden.

  • Damit der Dienst wie erwartet funktioniert, dürfen die beiden für License Manager erstellten Netzwerkschnittstellen nicht verändert oder gelöscht werden.

  • Die Objekte, die License Manager in der AWS reservierten Organisationseinheit (OU) des AWS Managed Microsoft AD Verzeichnisses erstellt, dürfen nicht geändert oder gelöscht werden.

  • Bei den Instanzen, die für benutzerbasierte Abonnements bereitgestellt werden, muss es sich um verwaltete Knoten handeln, die derselben Domäne angehören AWS Systems Manager und zu ihr gehören. Informationen dazu, wie Sie Ihre Instanzen weiterhin von Systems Manager verwalten können, finden Sie im Problembehandlung bei benutzerbasierten Abonnements im License Manager Abschnitt dieses Handbuchs.

  • Um zu verhindern, dass für einen Benutzer Abonnementgebühren anfallen, müssen Sie den Benutzer von allen Instanzen trennen, mit denen er verknüpft ist. Weitere Informationen finden Sie unter Trennen Sie Benutzer von einer Instanz, die benutzerbasierte Abonnements anbietet.

Voraussetzungen für die Erstellung benutzerbasierter Abonnements im License Manager

Die folgenden Voraussetzungen müssen in Ihrer Umgebung implementiert werden, bevor Sie benutzerbasierte Abonnements erstellen können.

IAM-Rollen und -Berechtigungen

Sie müssen License Manager erlauben, eine dienstbezogene Rolle zu erstellen, um Ihre nutzerbasierten AWS-Konto Abonnements zu integrieren. In der License Manager Manager-Konsole wird unter Benutzerbasierte Abonnements eine Aufforderung angezeigt, falls die Rolle noch nicht erstellt wurde. Nachdem Sie auf die Aufforderung geantwortet und zugestimmt haben, dass License Manager die Rolle erstellen darf, wählen Sie Create, um fortzufahren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für License Manager.

Um benutzerbasierte Abonnements zu erstellen, muss Ihr Benutzer oder Ihre Rolle über die folgenden Berechtigungen verfügen:

  • Amazon EC2 — Arbeiten Sie mit Netzwerkschnittstellen und Subnetzen.

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

  • AWS Directory Service— Active Directorys verwalten.

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • Route 53 — Routing konfigurieren.

    • route53:DeleteHealthCheck

    • route53:ChangeResourceRecordSets

    • route53:GetHostedZone

    • route53:ListHostedZonesByName

    • route53:ListHostedZones

    • route53:ListHostedZonesByVPC

    • route53:CreateHostedZone

    • route53:DeleteHostedZone

    • route53:ListResourceRecordSets

    • route53:GetHealthCheckCount

    • route53:AssociateVPCWithHostedZone

Um benutzerbasierte Abonnements für Microsoft Office-Produkte zu erstellen, muss Ihr Benutzer oder Ihre Rolle außerdem über die folgenden zusätzlichen Berechtigungen verfügen:

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeSecurityGroups

AWS KMS Wichtige Richtlinie für Anmeldeinformationen für den Lizenzserver

Um Ihren eigenen KMS-Schlüssel zum Verschlüsseln und Entschlüsseln der geheimen Administratoranmeldeinformationen für den Microsoft RDS-Lizenzserver zu verwenden, müssen Sie der Rolle, die Sie für den Zugriff auf License Manager Manager-Operationen verwenden, eine Richtlinie zuordnen. Das folgende Beispiel zeigt eine Richtlinie, die Secrets Manager die Erlaubnis erteilt, auf den KMS-Schlüssel zuzugreifen, um das Credential Secret des Microsoft RDS-Lizenzservers zu verschlüsseln und zu entschlüsseln.

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/RoleName"
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
        },
        "Action": "kms:Decrypt", 
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    }
]
}

Active Directory

Um benutzerbasierte License Manager Manager-Abonnements verwenden zu können, müssen Sie ein Active Directory (AD) erstellen, das Benutzerinformationen für die Benutzer der Abonnementprodukte enthält. Abhängig von Ihrer Konfiguration können Sie ein oder ein AWS Managed Microsoft AD selbstverwaltetes AD verwenden.

Wenn Sie sowohl AWS verwaltete als auch selbstverwaltete Active Directorys verwenden, müssen Sie eine bidirektionale Gesamtvertrauensstellung zwischen den Verzeichnissen einrichten. Weitere Informationen finden Sie im Administratorhandbuch unter Tutorial: Erstellen einer Vertrauensstellung zwischen Ihrer AWS Managed Microsoft AD und Ihrer selbstverwalteten Active Directory-Domäne.AWS Directory Service

Anmerkung

Subnetze, die für Ihr Verzeichnis konfiguriert sind, müssen alle von derselben VPC für Ihr Verzeichnis stammen. AWS-Konto Gemeinsam genutzte Subnetze werden nicht unterstützt.

AWS Für verwaltete Active Directorys gelten die folgenden Einschränkungen.

  • Verzeichnisse, die mit Ihnen gemeinsam genutzt werden, werden nicht unterstützt.

  • Die Multi-Faktor-Authentifizierung wird nicht unterstützt

Weitere Informationen zum Erstellen eines AWS Managed Microsoft AD Verzeichnisses finden Sie unter AWS Managed Microsoft AD Voraussetzungen und AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Benutzerhandbuch.

Um Benutzer zuzuordnen AWS Managed Microsoft AD, müssen Sie Benutzer in Ihrem AWS Managed Microsoft AD Verzeichnis bereitstellen. Weitere Informationen finden Sie AWS Managed Microsoft AD im AWS Directory Service Administratorhandbuch unter Benutzer und Gruppen verwalten.

Sicherheitsgruppen

Sicherheitsgruppen kontrollieren den Netzwerkverkehr, der zu und aus den Ressourcen in Ihrem Netzwerk gelangen darf. Um sicherzustellen, dass Ressourcen in Ihrer benutzerbasierten Abonnementumgebung kommunizieren können, müssen Ihre Sicherheitsgruppen die folgenden Kriterien erfüllen.

Sicherheitsgruppe für VPC-Endpunkte

Identifizieren oder erstellen Sie eine Sicherheitsgruppe, die eingehende TCP-Port-Konnektivität zulässt. 1688 Wenn Sie Ihre VPC-Einstellungen konfigurieren, geben Sie diese Sicherheitsgruppe an. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen.

License Manager ordnet diese Sicherheitsgruppe den VPC-Endpunkten zu, die er bei der Konfiguration der VPC in Ihrem Namen erstellt. Weitere Informationen zu VPC-Endpunkten finden Sie im Handbuch unter Zugreifen auf einen AWS Dienst mithilfe eines Schnittstellen-VPC-Endpunkts.AWS PrivateLink

Sicherheitsgruppe für Active Directory-Domänencontroller

Stellen Sie sicher, dass die Sicherheitsgruppe, die Sie für Ihre AD-Domänencontroller verwenden, ausgehenden Datenverkehr zu den IPv4 Netzwerkschnittstellenadressen der einzelnen Domänencontroller zulässt.

Sicherheitsgruppe für benutzerbasierte Abonnementinstanzen

Identifizieren oder erstellen Sie eine Sicherheitsgruppe, die den folgenden Zugriff auf und von Ihrer Instance aus ermöglicht. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen.

  • Eingehende 3389 TCP-Port-Konnektivität von Ihren zugelassenen Verbindungsquellen.

  • Ausgehende 1688 TCP-Port-Konnektivität, um die VPC-Endpunkte zu erreichen und mit ihnen zu kommunizieren. AWS Systems Manager

Netzwerkkonfiguration

License Manager erstellt zwei Netzwerkschnittstellen, die die Standardsicherheitsgruppe der VPC verwenden, auf der Ihre bereitgestellt AWS Managed Microsoft AD wird. Diese Schnittstellen werden für die Interaktion des Dienstes mit Ihrem Verzeichnis verwendet. Weitere Informationen finden Sie unter Schritt 2: Registrieren Sie Ihr Active Directory im License Manager und Was wird erstellt im AWS Directory Service Administratorhandbuch.

Nach Abschluss des Bereitstellungsvorgangs können Sie den von License Manager erstellten Schnittstellen eine andere Sicherheitsgruppe zuordnen.

DNS-Auflösung

Das Active Directory, das Sie für benutzerbasierte Abonnements registriert haben, muss von allen VPCs Subnetzen aus zugänglich sein, die Sie in den License Manager Manager-Einstellungen konfiguriert haben. Um sicherzustellen, dass auf Active Directory-Knoten zugegriffen werden kann, konfigurieren Sie die DNS-Auflösung wie folgt:

Instances, die benutzerbasierte Abonnementprodukte anbieten

Damit Ihre benutzerbasierten Abonnementinstanzen wie erwartet funktionieren, müssen Sie die folgenden Voraussetzungen erfüllen:

  • Richten Sie eine Sicherheitsgruppe für Ihre Instances ein, wie unter beschriebenSicherheitsgruppen.

  • Stellen Sie sicher, dass die Instanzen, die für die Bereitstellung benutzerbasierter Abonnements mit Microsoft Office gestartet wurden, eine Route zu dem Subnetz haben, in dem die VPC-Endpoints bereitgestellt werden.

  • Instanzen, die benutzerbasierte Abonnements anbieten, müssen von verwaltet werden, um einen fehlerfreien Status zu AWS Systems Manager erhalten. Darüber hinaus müssen Ihre Instances in der Lage sein, ihre nutzerbasierte Abonnementlizenzierung zu aktivieren, um auch nach der Lizenzaktivierung die Vorschriften einzuhalten.

    Anmerkung

    License Manager versucht, fehlerhafte Instanzen wiederherzustellen, aber Instanzen, die nicht in einen fehlerfreien Status zurückversetzt werden können, werden beendet. Informationen zur Fehlerbehebung, wie Sie Ihre Instances weiterhin von Systems Manager verwalten können, und zur Instanz-Compliance finden Sie im Problembehandlung bei benutzerbasierten Abonnements im License Manager Abschnitt dieses Handbuchs.

  • Den Instanzen, die die nutzerbasierten Abonnementprodukte bereitstellen, muss eine Instanzprofilrolle zugewiesen sein, mit der die Ressource verwaltet AWS Systems Manager werden kann. Weitere Informationen finden Sie unter Erstellen eines IAM-Instance-Profils für Systems Manager im AWS Systems Manager -Benutzerhandbuch.

  • Das müssen Sie Trennen Sie Benutzer von einer Instanz tun, bevor Sie die Instanz beenden.

Microsoft-Remotedesktopdienste

Der Microsoft Remote Desktop Services-Lizenzserver erfordert einen Administratorbenutzer, der im zugehörigen Active Directory definiert ist. Dieser Benutzer muss in der Lage sein, die folgenden Aufgaben auszuführen:

  • Erstellen Sie eine Organisationseinheit unter der Active Directory-Domäne

  • Domänenbeitrittsinstanzen (Computer erstellen) innerhalb der erstellten Organisationseinheit

  • Fügen Sie einer Terminalservergruppe innerhalb der Active Directory-Domäne ein Computerobjekt hinzu

  • Delegieren Sie die Kontrolle über Benutzerobjekte in der Active Directory-Domäne, um den Terminalserver-Lizenzserver zu lesen und zu schreiben, um Lizenzserverberichte zu generieren.

Weitere Informationen zur Delegierung finden Sie unter Delegierung der Kontrolle in den Active Directory-Domänendiensten.

Geheime Administratoranmeldeinformationen

License Manager verwaltet AWS Secrets Manager die Anmeldeinformationen, die für Benutzerverwaltungsaufgaben auf dem Microsoft Remote Desktop Services-Lizenzserver benötigt werden. Bevor Sie den Lizenzserver einrichten können, müssen Sie in Secrets Manager ein Geheimnis erstellen, das die Anmeldeinformationen für den Benutzer enthält, der Benutzerverwaltungsaufgaben auf dem Lizenzserver ausführt. Wenn Sie die Lizenzservereinstellungen konfigurieren, müssen Sie die ID des von Ihnen erstellten Geheimnisses angeben.

Anmerkung

Dies muss derselbe Benutzer sein, den Sie für die Erstellung von RDS-Lizenzserverberichten definiert haben.

Um einen Secret zu erstellen, folgen Sie den detaillierten Anweisungen auf der Seite Create an AWS Secrets Manager Secret im Secrets Manager Manager-Benutzerhandbuch mit den folgenden Einstellungen, die für License Manager spezifisch sind.

Wichtig

Um das Geheimnis verwenden zu können, hängt License Manager von den genauen Schlüsselnamen, dem Wert des Benutzernamens und dem Verschlüsselungsschlüssel ab, die in der folgenden Liste angegeben sind. Der geheime Name muss mit dem folgenden Präfix beginnen:license-manager-user-.

Auf der Seite Geheimtyp auswählen:

  • Geheimtyp — Wählen Sie Andere Art von Geheimnis aus.

  • Schlüssel/Wert-Paare — Geben Sie die folgenden Schlüsselpaare an, die im Secret gespeichert werden sollen.

    Username

    • Schlüssel: username

    • Wert: Administrator

    Passwort

    • Schlüssel: password

    • Wert: The password

  • Verschlüsselungsschlüssel — Um einen anderen KMS-Schlüssel als den aws/secretsmanager Schlüssel anzugeben, müssen Sie der Rolle, die Sie für den Zugriff auf License Manager Manager-Operationen verwenden, eine Richtlinie zuordnen. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen.

Gehen Sie auf der Seite Secret konfigurieren wie folgt vor:

  • Geheimer Name — Geben Sie einen Namen für Ihr Geheimnis an, der mit dem Präfix beginnt, das License Manager verwendet, um geheime Lizenzserver-Anmeldeinformationen zu identifizieren. Zum Beispiel:

    license-manager-user-admin-credentials

Bei diesen Anweisungen wird davon ausgegangen, dass Sie den verwenden AWS Management Console , um Ihr Geheimnis zu erstellen. Das Secrets Manager Manager-Benutzerhandbuch enthält auch detaillierte Anweisungen für andere Methoden. Weitere Informationen zu Secrets Manager finden Sie unter Was ist Secrets Manager. Informationen speziell zu den Kosten finden Sie unter Preise für AWS Secrets Manager im Secrets Manager Manager-Benutzerhandbuch.

Unterstützte Softwareprodukte für benutzerbasierte Abonnements im License Manager

AWS License Manager unterstützt benutzerbasierte Abonnements für Microsoft Visual Studio und Microsoft Office. Die unterstützte Softwarenutzung wird vom License Manager nachverfolgt. Für jeden Benutzer ist ein einzelnes Abonnement der Windows Server Remote Desktop Services Subscriber Access License (RDS SAL) erforderlich, um auf eine Instanz zugreifen zu können, die in der Lizenz enthalten ist und ein benutzerbasiertes Abonnementprodukt bereitstellt. Weitere Informationen finden Sie unter Erste Schritte mit benutzerbasierten Abonnements im License Manager.

Unterstützte Windows-Betriebssystemplattformen

Sie können Windows finden AMIs , das Produkte enthält, die unter die RDS-SAL-Lizenz für die folgenden Windows-Betriebssystemplattformen fallen:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Unterstützte Software für benutzerbasierte Abonnements

License Manager unterstützt die benutzerbasierte Lizenzierung mit der folgenden Software.

Microsoft Visual Studio

Microsoft Visual Studio ist eine integrierte Entwicklungsumgebung (IDE), mit der Entwickler Anwendungen erstellen, bearbeiten, debuggen und veröffentlichen können. Das mitgelieferte Microsoft Visual Studio AMIs umfasst das AWS Toolkit für.NET Refactoring und das. AWS Toolkit for Visual Studio

Unterstützte Editionen

  • Visual Studio Professional 2022

  • Visual Studio für Unternehmen 2022

In der folgenden Tabelle sind die Namen der Softwareabonnements und der zugehörige Produktwert aufgeführt, die für benutzerbasierte Abonnement-API-Operationen von License Manager verwendet werden.

Name des Softwareabonnements Wert des Produkts

Visual Studio Enterprise 2022

VISUAL_STUDIO_ENTERPRISE

Visual Studio Professional 2022

VISUAL_STUDIO_PROFESSIONAL

Microsoft Office

Microsoft Office ist eine Softwaresammlung, die von Microsoft für verschiedene Produktivitätsanwendungen entwickelt wurde, darunter die Arbeit mit Dokumenten, Tabellenkalkulationen und Diashow-Präsentationen.

Unterstützte Editionen

  • Office LTSC Professional Plus 2021

In der folgenden Tabelle sind die Namen der Softwareabonnements und der zugehörige Produktwert aufgeführt, die für benutzerbasierte Abonnement-API-Operationen von License Manager verwendet werden.

Name des Softwareabonnements Wert des Produkts

Office LTSC Professional Plus 2021

OFFICE_PROFESSIONAL_PLUS

Zusätzliche Software

Sie können zusätzliche Software auf Ihren Instances installieren, die nicht als benutzerbasierte Abonnements verfügbar sind. Zusätzliche Softwareinstallationen werden vom License Manager nicht nachverfolgt. Diese Installationen müssen mit dem Administratorkonto für Ihr Active Directory durchgeführt werden. Wenn Sie ein verwenden AWS Managed Microsoft AD, wird das Administratorkonto (Admin) standardmäßig in Ihrem Verzeichnis erstellt. Weitere Informationen finden Sie unter Administratorkonto im AWS Directory Service Administratorhandbuch.

Um zusätzliche Software mit dem Active Directory-Administratorkonto zu installieren, müssen Sie:

  • Abonnieren Sie das von der Instanz bereitgestellte Produkt mit dem Administratorkonto.

  • Ordnen Sie das Administratorkonto der Instanz zu.

  • Stellen Sie mithilfe des Administratorkontos eine Connect mit der Instanz her, um die Installation durchzuführen.

Weitere Informationen finden Sie unter Erste Schritte mit benutzerbasierten Abonnements im License Manager.