Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para AWS License Manager
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.
AWS política gestionada: AWSLicenseManagerServiceRolePolicy
Esta política se asocia al rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerRole para permitir a License Manager llamar a las acciones de API con el objetivo de administrar las licencias en su nombre. Para obtener más información sobre el rol vinculado a servicios, consulte Permisos del rol principal.
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Acción | ARN de recurso |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
Para ver los permisos de esta política en AWS Management Console, consulte AWSLicenseManagerServiceRolePolicy
AWS política gestionada: AWSLicenseManagerMasterAccountRolePolicy
Esta política se adjunta a la función vinculada al servicio denominada AWSServiceRoleForAWSLicenseManagerMasterAccountRole para permitir que License Manager llame a las acciones de la API que realizan la administración de licencias para una cuenta de administración central en su nombre. Para obtener más información sobre el rol vinculado a servicios, consulte License Manager: rol de cuenta de administración.
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Acción | ARN de recurso |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
Véase la nota ¹ a pie de página |
glue:UpdateTable |
Véase la nota ¹ a pie de página |
glue:DeleteTable |
Véase la nota ¹ a pie de página |
glue:UpdateJob |
Véase la nota ¹ a pie de página |
glue:UpdateCrawler |
Véase la nota ¹ a pie de página |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ Los siguientes son los recursos definidos para las AWS Glue acciones:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
Para ver los permisos de esta política en AWS Management Console, consulte AWSLicenseManagerMasterAccountRolePolicy
AWS política gestionada: AWSLicenseManagerMemberAccountRolePolicy
Esta política se asocia al rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerMemberAccountRole para permitir a License Manager llamar a las acciones de API con el objetivo de administrar las licencias en su nombre desde una cuenta de administración configurada. Para obtener más información, consulte License Manager: rol de cuenta miembro.
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Acción | ARN de recurso |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
Para ver los permisos de esta política en AWS Management Console, consulte AWSLicenseManagerMemberAccountRolePolicy
AWS política gestionada: AWSLicenseManagerConsumptionPolicy
Puede asociar la política AWSLicenseManagerConsumptionPolicy a las identidades de IAM. Esta política concede permisos que permiten el acceso a las acciones de la API de License Manager necesarias para consumir licencias. Para obtener más información, consulte Uso de licencias.
Para ver los permisos de esta política, consulte AWSLicenseManagerConsumptionPolicy
AWS política gestionada: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Esta política se asocia a la política del rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService para permitir a License Manager llamar a las acciones de API con el objetivo de administrar recursos de suscripciones basadas en usuarios. Para obtener más información, consulte License Manager: rol de suscripciones basadas en usuarios.
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Acción | ARN de recurso |
|---|---|
ds:DescribeDirectories |
* |
ds:GetAuthorizedApplicationDetails |
* |
ec2:CreateTags |
arn:aws:ec2:*:*:instance/* ¹ |
ec2:DescribeInstances |
* |
ec2:DescribeVpcPeeringConnections |
* |
ec2:TerminateInstances |
arn:aws:ec2:*:*:instance/* ¹ |
ssm:DescribeInstanceInformation |
* |
ssm:GetCommandInvocation |
* |
ssm:GetInventory |
* |
ssm:ListCommandInvocations |
* |
ssm:SendCommand |
arn:aws:ssm: *::document/AWS- ² RunPowerShellScript arn:aws:ec2:*:*:instance/* ² |
¹ License Manager solo puede crear etiquetas y terminar instancias que tengan los códigos de producto bz0vcy31ooqlzk5tsash4r1ik
² License Manager solo puede ejecutar un comando SSM Run Command con el documento AWS-RunPowerShellScript en instancias con el nombre de etiqueta AWSLicenseManager y un valor UserSubscriptions.
Para ver los permisos de esta política en, consulte. AWS Management ConsoleAWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS política gestionada: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Esta política se asocia a la política del rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService para permitir a License Manager llamar a las acciones de API con el objetivo de administrar recursos de suscripciones de Linux. Para obtener más información, consulte License Manager: rol de suscripciones de Linux.
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Acción | Condiciones | Recurso |
|---|---|---|
ec2:DescribeInstances |
N/A | * |
ec2:DescribeRegions |
N/A | * |
organizations:DescribeOrganization |
N/A | * |
organizations:ListAccounts |
N/A | * |
organizations:DescribeAccount |
N/A | * |
organizations:ListChildren |
N/A | * |
organizations:ListParents |
N/A | * |
organizations:ListAccountsForParent |
N/A | * |
organizations:ListRoots |
N/A | * |
organizations:ListAWSServiceAccessForOrganization |
N/A | * |
organizations:ListDelegatedAdministrators |
N/A | * |
| administrador de secretos: GetSecretValue |
StringEquals: «aws:ResourceTag/LicenseManagerLinuxSubscriptions«: «habilitado» «aws: ResourceAccount «: «$ {aws:PrincipalAccount}» |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: «aws:ResourceTag/LicenseManagerLinuxSubscriptions«: «habilitado», «aws: ResourceAccount «: «$ {aws:PrincipalAccount}»
StringLike: «kms: «: [ViaService«secretsmanager.*.amazonaws.com»] |
arn:aws:kms:*:*:key/* |
Para ver los permisos de esta política en, consulte. AWS Management ConsoleAWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager actualiza las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de License Manager desde que este servicio comenzó a rastrear estos cambios.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy: actualización de una política actual | License Manager agregó permisos para almacenar y recuperar secretos y usar AWS KMS claves para descifrar los secretos de AWS Secrets Manager los tokens de acceso para las suscripciones de Bring Your Own License (BYOL). | 22 de mayo de 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy: política nueva | License Manager agregó un permiso para crear el rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService. Esta función proporciona permiso al License Manager para publicar AWS Organizations recursos de Amazon EC2. |
21 de diciembre de 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy: actualización de una política actual | License Manager agregó el permiso ec2:DescribeVpcPeeringConnections. |
28 de noviembre de 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy: política nueva | License Manager agregó un permiso para crear el rol vinculado a servicios denominado AWSLicenseManagerUserSubscriptionsServiceRolePolicy. Esta función proporciona permiso al License Manager para enumerar AWS Directory Service los recursos, utilizar las funciones de Systems Manager y gestionar los recursos de Amazon EC2 creados para las suscripciones basadas en usuarios. |
18 de julio de 2022 |
| AWSLicenseManagerMasterAccountRolePolicy: actualización de una política actual | License Manager agregó el resource-groups:PutGroupPolicy permiso para los grupos de recursos administrados por AWS Resource Access Manager. |
27 de junio de 2022 |
| AWSLicenseManagerMasterAccountRolePolicy: actualización de una política actual | License Manager cambió la clave de AWSLicenseManagerMasterAccountRolePolicy condición de la política AWS administrada AWS Resource Access Manager de usar ram:ResourceTag aaws:ResourceTag. |
16 de noviembre de 2021 |
| AWSLicenseManagerConsumptionPolicy: política nueva | License Manager agregó una nueva política que concede permisos para consumir licencias. | 11 de agosto de 2021 |
| AWSLicenseManagerServiceRolePolicy: actualización de una política actual | License Manager agregó un permiso para enumerar los administradores delegados y un permiso para crear el rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerMemberAccountRole. |
16 de junio de 2021 |
| AWSLicenseManagerServiceRolePolicy: actualización de una política actual | License Manager agregó un permiso para enumerar todos los recursos de License Manager, como configuraciones de licencias, licencias y concesiones. | 15 de junio de 2021 |
| AWSLicenseManagerServiceRolePolicy: actualización de una política actual | License Manager agregó un permiso para crear el rol vinculado a servicios denominado AWSServiceRoleForMarketplaceLicenseManagement. Esta función AWS Marketplace proporciona permisos para crear y administrar licencias en License Manager. Para obtener más información, consulte Uso de roles vinculados a servicios en AWS Marketplace en la Guía para comprador de AWS Marketplace . |
9 de marzo de 2021 |
| Inicio del seguimiento de los cambios por parte de License Manager | License Manager comenzó a rastrear los cambios en sus políticas AWS administradas. | 9 de marzo de 2021 |
