Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour License Manager
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent occasionnellement des autorisations à une politique gérée par AWS pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont très susceptibles de mettre à jour une politique gérée par AWS quand une nouvelle fonctionnalité est lancée ou quand de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess
AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le Guide de IAM l'utilisateur.
AWS politique gérée : AWSLicenseManagerServiceRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerRole
pour permettre au License Manager de lancer des API actions pour gérer les licences en votre nom. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Autorisations pour le rôle principal.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
Action | Ressource ARN |
---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerServiceRolePolicy
AWS politique gérée : AWSLicenseManagerMasterAccountRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerMasterAccountRole
pour permettre au License Manager de lancer des API actions qui exécutent la gestion des licences pour un compte de gestion central en votre nom. Pour de plus amples informations sur le rôle lié à un service, veuillez consulter License Manager — Rôle du compte de gestion.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
Action | Ressource ARN |
---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
Voir note de bas de page ¹ |
glue:UpdateTable |
Voir note de bas de page ¹ |
glue:DeleteTable |
Voir note de bas de page ¹ |
glue:UpdateJob |
Voir note de bas de page ¹ |
glue:UpdateCrawler |
Voir note de bas de page ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ Les ressources définies pour les AWS Glue actions sont les suivantes :
-
arn:aws:glue:*:*:catalog
-
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler
-
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob
-
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*
-
arn:aws:glue:*:*:table/license_manager_resource_sync/*
-
arn:aws:glue:*:*:database/license_manager_resource_inventory_db
-
arn:aws:glue:*:*:database/license_manager_resource_sync
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerMasterAccountRolePolicy
AWS politique gérée : AWSLicenseManagerMemberAccountRolePolicy
Cette politique est attachée au rôle lié au service nommé pour permettre AWSServiceRoleForAWSLicenseManagerMemberAccountRole
au License Manager d'appeler des API actions pour la gestion des licences à partir d'un compte de gestion configuré en votre nom. Pour de plus amples informations, veuillez consulter License Manager — Rôle du compte membre.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
Action | Ressource ARN |
---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerMemberAccountRolePolicy
AWS politique gérée : AWSLicenseManagerConsumptionPolicy
Vous pouvez associer la AWSLicenseManagerConsumptionPolicy
politique à votre IAM identité. Cette politique accorde des autorisations qui permettent d'accéder aux API actions du License Manager requises pour consommer des licences. Pour de plus amples informations, veuillez consulter Utilisation des licences émises par le vendeur dans License Manager.
Pour consulter les autorisations associées à cette politique, voir AWSLicenseManagerConsumptionPolicy
AWS politique gérée : AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService
policy pour permettre au License Manager d'appeler des API actions pour gérer les ressources d'abonnement basées sur les utilisateurs. Pour de plus amples informations, veuillez consulter License Manager — Rôle d'abonnement basé sur l'utilisateur.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
Action | Ressource ARN |
---|---|
annonces : DescribeDirectories | * |
annonces : GetAuthorizedApplicationDetails | * |
EC2 : CreateTags | arn:aws:ec2 : *:*:instance/* ¹ |
EC2 : DescribeInstances | * |
EC2 : DescribeNetworkInterfaces | * |
EC2 : DescribeSecurityGroupRules | * |
EC2 : DescribeSubnets | * |
EC2 : DescribeVpcPeeringConnections | * |
EC2 : TerminateInstances | arn:aws:ec2 : *:*:instance/* ¹ |
route 53 : GetHostedZone | * |
route 53 : ListResourceRecordSets | * |
responsable des secrets : GetSecretValue | arn:aws:secretsmanager :*:*:secret : -* license-manager-user |
SMS : DescribeInstanceInformation | * |
SMS : GetCommandInvocation | * |
SMS : GetInventory | * |
SMS : ListCommandInvocations | * |
SMS : SendCommand | arn:aws:ssm : *:document/ - ² AWS RunPowerShellScript arn:aws:ec2 : *:*:instance/* ² |
¹ License Manager peut uniquement créer des balises et mettre fin à des instances portant les codes produit bz0vcy31ooqlzk5tsash4r1ik, 77yzkpa7kvee1y1y1tt7wnsdwoc ou d44g89hc0gp9jdzm99rznthpw
² License Manager ne peut SSM exécuter une commande Run avec le AWS-RunPowerShellScript
document que sur des instances portant le nom de balise AWSLicenseManager
et la valeur deUserSubscriptions
.
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS politique gérée : AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Cette politique est attachée au rôle lié au service nommé AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService
policy pour permettre au License Manager d'appeler des API actions pour gérer les ressources des abonnements Linux. Pour de plus amples informations, veuillez consulter License Manager — Rôle des abonnements Linux.
La politique d'autorisation des rôles permet au License Manager d'effectuer les actions suivantes sur les ressources spécifiées.
Action | Conditions | Ressource |
---|---|---|
ec2:DescribeInstances |
N/A | * |
ec2:DescribeRegions |
N/A | * |
organizations:DescribeOrganization |
N/A | * |
organizations:ListAccounts |
N/A | * |
organizations:DescribeAccount |
N/A | * |
organizations:ListChildren |
N/A | * |
organizations:ListParents |
N/A | * |
organizations:ListAccountsForParent |
N/A | * |
organizations:ListRoots |
N/A | * |
organizations:ListAWSServiceAccessForOrganization |
N/A | * |
organizations:ListDelegatedAdministrators |
N/A | * |
responsable des secrets : GetSecretValue |
StringEquals: « aws :ResourceTag/LicenseManagerLinuxSubscriptions« : « activé » « aws : ResourceAccount « : « $ {aws :PrincipalAccount} » |
arn:aws:secretsmanager:*:*:secret:* |
kms:Decrypt |
StringEquals: « aws :ResourceTag/LicenseManagerLinuxSubscriptions« : « activé », « aws : ResourceAccount « : « $ {aws :PrincipalAccount} »
StringLike: « kms : « : [ViaService« secretsmanager.*.amazonaws.com »] |
arn:aws:kms:*:*:key/* |
Pour consulter les autorisations associées à cette politique dans le AWS Management Console, voir AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager met à jour les politiques AWS gérées
Consultez les informations relatives aux mises à jour apportées aux politiques AWS gérées pour License Manager depuis que ce service a commencé à suivre ces modifications.
Modification | Description | Date |
---|---|---|
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Mise à jour d’une stratégie existante | License Manager a ajouté les autorisations suivantes pour gérer les licences et les données Active Directory : obtenir des informations d'itinéraire depuis Route 53, obtenir des informations réseau et des règles de groupe de sécurité auprès d'AmazonEC2, et obtenir des secrets auprès de Secrets Manager. | 7 novembre 2024 |
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté des autorisations permettant de stocker et de récupérer des secrets AWS Secrets Manager, ainsi que d'utiliser des AWS KMS clés pour déchiffrer les secrets des jetons d'accès pour les abonnements Bring Your Own License (BYOL). | 22 mai 2024 |
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy : nouvelle politique | License Manager a ajouté l'autorisation de créer le rôle lié au service nommé. AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService Ce rôle autorise le License Manager à répertorier AWS Organizations les EC2 ressources Amazon. |
21 décembre 2022 |
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté l'ec2:DescribeVpcPeeringConnections autorisation. |
28 novembre 2022 |
AWSLicenseManagerUserSubscriptionsServiceRolePolicy : nouvelle politique | License Manager a ajouté l'autorisation de créer le rôle lié au service nommé. AWSLicenseManagerUserSubscriptionsServiceRolePolicy Ce rôle autorise le License Manager à répertorier les AWS Directory Service ressources, à utiliser les fonctionnalités de Systems Manager et à gérer les EC2 ressources Amazon créées pour les abonnements basés sur les utilisateurs. |
18 juillet 2022 |
AWSLicenseManagerMasterAccountRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté l'resource-groups:PutGroupPolicy autorisation pour les groupes de ressources gérés par AWS Resource Access Manager. |
27 juin 2022 |
AWSLicenseManagerMasterAccountRolePolicy – Mise à jour d’une politique existante | License Manager a modifié la clé de AWSLicenseManagerMasterAccountRolePolicy condition de politique AWS gérée, AWS Resource Access Manager passant de l'utilisation ram:ResourceTag àaws:ResourceTag . |
16 novembre 2021 |
AWSLicenseManagerConsumptionPolicy : nouvelle politique | License Manager a ajouté une nouvelle politique qui accorde des autorisations pour consommer des licences. | 11 août 2021 |
AWSLicenseManagerServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté une autorisation pour répertorier les administrateurs délégués et une autorisation pour créer le rôle lié au service nommé. AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
16 juin 2021 |
AWSLicenseManagerServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté une autorisation permettant de répertorier toutes les ressources du License Manager, telles que les configurations de licence, les licences et les subventions. | 15 juin 2021 |
AWSLicenseManagerServiceRolePolicy – Mise à jour d’une politique existante | License Manager a ajouté l'autorisation de créer le rôle lié au service nommé. AWSServiceRoleForMarketplaceLicenseManagement Ce rôle fournit AWS Marketplace des autorisations pour créer et gérer des licences dans License Manager. Pour de plus amples informations, consultez Rôles liés à un service pour AWS Marketplace dans le Guide de l'acheteur AWS Marketplace . |
9 mars 2021 |
License Manager a commencé à suivre les modifications | License Manager a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 9 mars 2021 |