Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour AWS License Manager
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.
AWS politique gérée : AWSLicenseManagerServiceRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerRole pour permettre au License Manager d'appeler des actions d'API pour gérer les licences en votre nom. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Autorisations pour le rôle principal.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
| Action | ARN des ressources |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerServiceRolePolicy
AWS politique gérée : AWSLicenseManagerMasterAccountRolePolicy
Cette politique est attachée au rôle lié au service nommé pour permettre AWSServiceRoleForAWSLicenseManagerMasterAccountRole au License Manager d'appeler des actions d'API qui exécutent la gestion des licences pour un compte de gestion central en votre nom. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter License Manager — Rôle du compte de gestion.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
| Action | ARN des ressources |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
Voir note de bas de page ¹ |
glue:UpdateTable |
Voir note de bas de page ¹ |
glue:DeleteTable |
Voir note de bas de page ¹ |
glue:UpdateJob |
Voir note de bas de page ¹ |
glue:UpdateCrawler |
Voir note de bas de page ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ Les ressources définies pour les AWS Glue actions sont les suivantes :
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerMasterAccountRolePolicy
AWS politique gérée : AWSLicenseManagerMemberAccountRolePolicy
Cette politique est attachée au rôle lié au service nommé pour permettre AWSServiceRoleForAWSLicenseManagerMemberAccountRole au License Manager d'appeler des actions d'API pour la gestion des licences à partir d'un compte de gestion configuré en votre nom. Pour plus d’informations, consultez License Manager — Rôle du compte membre.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
| Action | ARN des ressources |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerMemberAccountRolePolicy
AWS politique gérée : AWSLicenseManagerConsumptionPolicy
Vous pouvez associer la politique AWSLicenseManagerConsumptionPolicy à vos identités IAM. Cette politique accorde des autorisations permettant d'accéder aux actions de l'API License Manager requises pour consommer des licences. Pour plus d’informations, consultez Utilisation des licences.
Pour consulter les autorisations relatives à cette politique, consultez AWSLicenseManagerConsumptionPolicy
AWS politique gérée : AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService policy pour permettre au License Manager d'appeler des actions d'API pour gérer les ressources d'abonnement basées sur les utilisateurs. Pour plus d’informations, consultez License Manager — Rôle d'abonnement basé sur l'utilisateur.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
| Action | ARN des ressources |
|---|---|
ds:DescribeDirectories |
* |
ds:GetAuthorizedApplicationDetails |
* |
ec2:CreateTags |
arn:aws:ec2 : *:*:instance/* ¹ |
ec2:DescribeInstances |
* |
ec2:DescribeVpcPeeringConnections |
* |
ec2:TerminateInstances |
arn:aws:ec2 : *:*:instance/* ¹ |
ssm:DescribeInstanceInformation |
* |
ssm:GetCommandInvocation |
* |
ssm:GetInventory |
* |
ssm:ListCommandInvocations |
* |
ssm:SendCommand |
arn:aws:ssm :*::document/aws-² RunPowerShellScript arn:aws:ec2 : *:*:instance/* ² |
¹ License Manager peut uniquement créer des balises et résilier des instances portant les codes produit bz0vcy31ooqlzk5tsash4r1ik, 77yzkpa7kvee1y1y1tt7wnsdwoc ou d44g89hc0gp9jdzm99rznthpw
² License Manager ne peut exécuter une commande SSM Run avec le AWS-RunPowerShellScript document que sur des instances portant le nom de balise AWSLicenseManager et la valeur deUserSubscriptions.
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS politique gérée : AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService policy pour permettre au License Manager d'appeler des actions d'API pour gérer les ressources des abonnements Linux. Pour plus d’informations, consultez License Manager — Rôle des abonnements Linux.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
| Action | Conditions | Ressource |
|---|---|---|
ec2:DescribeInstances |
N/A | * |
ec2:DescribeRegions |
N/A | * |
organizations:DescribeOrganization |
N/A | * |
organizations:ListAccounts |
N/A | * |
organizations:DescribeAccount |
N/A | * |
organizations:ListChildren |
N/A | * |
organizations:ListParents |
N/A | * |
organizations:ListAccountsForParent |
N/A | * |
organizations:ListRoots |
N/A | * |
organizations:ListAWSServiceAccessForOrganization |
N/A | * |
organizations:ListDelegatedAdministrators |
N/A | * |
| responsable des secrets : GetSecretValue |
StringEquals: « aws :ResourceTag/LicenseManagerLinuxSubscriptions« : « activé » « aws : ResourceAccount « : « $ {aws :PrincipalAccount} » |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: « aws :ResourceTag/LicenseManagerLinuxSubscriptions« : « activé », « aws : ResourceAccount « : « $ {aws :PrincipalAccount} »
StringLike: « kms : « : [ViaService« secretsmanager.*.amazonaws.com »] |
arn:aws:kms:*:*:key/* |
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager met à jour les politiques AWS gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour License Manager depuis que ce service a commencé à suivre ces modifications.
| Modification | Description | Date |
|---|---|---|
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – Mise à jour d’une stratégie existante | License Manager a ajouté des autorisations permettant de stocker et de récupérer des secrets AWS Secrets Manager, ainsi que d'utiliser des AWS KMS clés pour déchiffrer les secrets des jetons d'accès pour les abonnements Bring Your Own License (BYOL). | 22 mai 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy : nouvelle politique | License Manager a ajouté l'autorisation de créer le rôle lié au service nommé. AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService Ce rôle autorise le License Manager à répertorier AWS Organizations les ressources Amazon EC2. |
21 décembre 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté l'ec2:DescribeVpcPeeringConnectionsautorisation. |
28 novembre 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy : nouvelle politique | License Manager a ajouté l'autorisation de créer le rôle lié au service nommé. AWSLicenseManagerUserSubscriptionsServiceRolePolicy Ce rôle autorise le License Manager à répertorier les AWS Directory Service ressources, à utiliser les fonctionnalités de Systems Manager et à gérer les ressources Amazon EC2 créées pour les abonnements basés sur les utilisateurs. |
18 juillet 2022 |
| AWSLicenseManagerMasterAccountRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté l'resource-groups:PutGroupPolicyautorisation pour les groupes de ressources gérés par AWS Resource Access Manager. |
27 juin 2022 |
| AWSLicenseManagerMasterAccountRolePolicy – Mise à jour d’une politique existante | License Manager a modifié la clé de AWSLicenseManagerMasterAccountRolePolicy condition de politique AWS gérée, AWS Resource Access Manager passant de l'utilisation ram:ResourceTag àaws:ResourceTag. |
16 novembre 2021 |
| AWSLicenseManagerConsumptionPolicy : nouvelle politique | License Manager a ajouté une nouvelle politique qui accorde des autorisations pour consommer des licences. | 11 août 2021 |
| AWSLicenseManagerServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté une autorisation pour répertorier les administrateurs délégués et une autorisation pour créer le rôle lié au service nommé. AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
16 juin 2021 |
| AWSLicenseManagerServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté une autorisation permettant de répertorier toutes les ressources du License Manager, telles que les configurations de licence, les licences et les subventions. | 15 juin 2021 |
| AWSLicenseManagerServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté l'autorisation de créer le rôle lié au service nommé. AWSServiceRoleForMarketplaceLicenseManagement Ce rôle fournit AWS Marketplace des autorisations pour créer et gérer des licences dans License Manager. Pour de plus amples informations, consultez Rôles liés à un service pour AWS Marketplace dans le Guide de l'acheteur AWS Marketplace . |
9 mars 2021 |
| License Manager a commencé à suivre les modifications | License Manager a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 9 mars 2021 |
