Utiliser les abonnements basés sur les utilisateurs de License Manager pour les produits logiciels pris en charge - AWS License Manager
ConsidérationsConditions préalables d'abonnement basées sur l'utilisateurAbonnements logiciels pris en chargeLogiciels supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser les abonnements basés sur les utilisateurs de License Manager pour les produits logiciels pris en charge

Avec les abonnements basés sur les utilisateurs AWS License Manager, vous pouvez acheter des abonnements logiciels sous licence entièrement conformes. Les licences sont fournies par Amazon et sont soumises à des frais d'abonnement par utilisateur. Amazon EC2 fournit des Amazon Machine Images (AMIs) préconfigurées avec les logiciels pris en charge, ainsi que des licences Windows Server incluses dans les licences. Ces licences peuvent être utilisées sans engagement de licence à long terme.

Pour utiliser des abonnements basés sur les utilisateurs, vous associez des utilisateurs provenant de AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) ou de votre domaine autogéré (sur site) aux EC2 instances fournissant le logiciel. Pour que votre logiciel sous licence soit disponible, vous devez créer des abonnements basés sur les utilisateurs et les associer à des instances lancées à partir d'une configuration AMIs préconfigurée. AWS Systems Managerconfigurera et renforcera les instances incluses dans la licence que vous lancez. Les utilisateurs doivent se connecter au logiciel Remote Desktop pour accéder aux instances fournissant le logiciel.

Chaque utilisateur et chaque vCPU associés aux instances incluses dans la licence sont soumis à des frais. Les modèles de tarification Amazon EC2 Reserved Instances et Savings Plan peuvent vous aider à optimiser vos EC2 coûts Amazon. Pour plus d'informations, consultez la section Instances réservées dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud. Les abonnements basés sur les utilisateurs sont facturés du premier semestre à la fin du mois.

Rubriques

Considérations relatives à l'utilisation d'abonnements basés sur les utilisateurs dans License Manager

Les considérations suivantes s'appliquent lors de l'utilisation d'abonnements basés sur les utilisateurs avec License Manager :

  • L' AWS Marketplace abonnement aux services Microsoft Remote Desktop Services (Win Remote Desktop Services SAL) inclus sous licence est facturé par utilisateur et par mois, sans calcul au prorata.

  • Les instances qui fournissent des abonnements basés sur les utilisateurs prennent en charge jusqu'à deux sessions utilisateur actives à la fois par défaut. Pour activer plus de deux sessions utilisateur actives, vous pouvez configurer un objet de stratégie de groupe (GPO) Active Directory et définir le mode de licence Microsoft RDS sur. Per User Pour plus d'informations, consultez les prérequis pourConfigurer Active Directory GPO pour des sessions utilisateur distantes plus actives.

  • Lorsque vous créez des utilisateurs locaux dotés de privilèges d'administrateur sur des instances qui fournissent des abonnements basés sur les utilisateurs, l'état de santé de l'instance peut devenir incorrect. License Manager peut mettre fin à des instances qui ne fonctionnent pas correctement pour cause de non-conformité. Pour plus d'informations, consultez la section Résolution des problèmes de conformité des instances.

  • Lorsque vous configurez votre Active Directory avec des produits Microsoft Office, votre VPC doit disposer de points de terminaison VPC provisionnés dans au moins un sous-réseau. Si vous souhaitez supprimer toutes les ressources de point de terminaison VPC créées par License Manager, vous devez supprimer tout Active Directory configuré dans les paramètres du License Manager. Pour de plus amples informations, veuillez consulter Désenregistrer un Active Directory dans les paramètres de License Manager.

  • La clé de balise AWSLicenseManager avec la valeur de UserSubscriptions attribuée par License Manager à vos instances ne doit pas être modifiée ou supprimée.

  • Pour que le service fonctionne comme prévu, les deux interfaces réseau créées pour License Manager ne doivent pas être modifiées ou supprimées.

  • Les objets créés par License Manager dans l'unité organisationnelle AWS réservée (UO) de l' AWS Managed Microsoft AD annuaire ne doivent pas être modifiés ou supprimés.

  • Les instances déployées pour les abonnements basés sur les utilisateurs doivent être des nœuds gérés AWS Systems Manager et joints au même domaine. Pour plus d'informations sur la gestion de vos instances par Systems Manager, consultez la Résoudre les problèmes liés aux abonnements basés sur les utilisateurs dans License Manager section de ce guide.

  • Pour arrêter de payer des frais d'abonnement à un utilisateur, vous devez dissocier l'utilisateur de toutes les instances auxquelles il est associé. Pour de plus amples informations, veuillez consulter Dissocier les utilisateurs d'une instance qui fournit des abonnements basés sur les utilisateurs.

Conditions requises pour créer des abonnements basés sur les utilisateurs dans License Manager

Les conditions préalables suivantes doivent être mises en œuvre dans votre environnement avant de pouvoir créer des abonnements basés sur les utilisateurs.

Rôles et autorisations IAM

Vous devez autoriser License Manager à créer un rôle lié à un service afin d'intégrer vos abonnements basés sur Compte AWS les utilisateurs. Dans la console License Manager, une invite apparaît dans les abonnements basés sur les utilisateurs si le rôle n'a pas encore été créé. Après avoir répondu à l'invite et accepté d'autoriser License Manager à créer le rôle, choisissez Create pour continuer. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour License Manager.

Pour créer des abonnements basés sur les utilisateurs, votre utilisateur ou votre rôle doit disposer des autorisations suivantes :

  • Amazon EC2 — Travaillez avec des interfaces réseau et des sous-réseaux.

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

  • AWS Directory Service— Administrer Active Directories.

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • Route 53 — Configurez le routage.

    • route53:DeleteHealthCheck

    • route53:ChangeResourceRecordSets

    • route53:GetHostedZone

    • route53:ListHostedZonesByName

    • route53:ListHostedZones

    • route53:ListHostedZonesByVPC

    • route53:CreateHostedZone

    • route53:DeleteHostedZone

    • route53:ListResourceRecordSets

    • route53:GetHealthCheckCount

    • route53:AssociateVPCWithHostedZone

Pour créer des abonnements basés sur les utilisateurs pour les produits Microsoft Office, votre utilisateur ou votre rôle doit également disposer des autorisations supplémentaires suivantes :

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeSecurityGroups

AWS KMS Politique clé pour les informations d'identification du serveur de licences

Pour utiliser votre propre clé KMS afin de chiffrer et de déchiffrer le secret des informations d'identification administratives du serveur de licences Microsoft RDS, vous devez associer une politique au rôle que vous utilisez pour accéder aux opérations du License Manager. L'exemple suivant montre une politique qui autorise Secrets Manager à accéder à la clé KMS pour chiffrer et déchiffrer le secret d'identification du serveur de licences Microsoft RDS.

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/RoleName"
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
        },
        "Action": "kms:Decrypt", 
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    }
]
}

Active Directory

Pour utiliser les abonnements basés sur les utilisateurs de License Manager, vous devez créer un Active Directory (AD) contenant les informations utilisateur des produits d'abonnement. En fonction de votre configuration, vous pouvez utiliser un AWS Managed Microsoft AD AD ou un AD autogéré.

Si vous utilisez à la fois des annuaires actifs AWS gérés et autogérés, vous devez établir une confiance forestière bidirectionnelle entre les annuaires. Pour plus d'informations, voir Tutoriel : Création d'une relation de confiance entre votre domaine Active Directory autogéré AWS Managed Microsoft AD et votre domaine Active Directory dans le Guide d'AWS Directory Service administration.

Note

Les sous-réseaux configurés pour votre répertoire doivent tous provenir du même VPC que votre. Compte AWS Les sous-réseaux partagés ne sont pas pris en charge.

AWS les Active Directory gérés sont soumis aux restrictions suivantes.

  • Les annuaires partagés avec vous ne sont pas pris en charge.

  • L'authentification multifactorielle n'est pas prise en charge

Pour plus d'informations sur la création d'un AWS Managed Microsoft AD répertoire, consultez AWS Managed Microsoft AD les sections Conditions préalables et Créez votre AWS Managed Microsoft AD répertoire dans le Guide de l'AWS Directory Service utilisateur.

Pour associer des utilisateurs à AWS Managed Microsoft AD, vous devez configurer des utilisateurs dans votre AWS Managed Microsoft AD annuaire. Pour plus d'informations, voir Gérer les utilisateurs et les groupes AWS Managed Microsoft AD dans le Guide AWS Directory Service d'administration.

Groupes de sécurité

Les groupes de sécurité contrôlent le trafic réseau autorisé à entrer et à sortir des ressources de votre réseau. Pour garantir que les ressources de votre environnement d'abonnement basé sur les utilisateurs peuvent communiquer, vos groupes de sécurité doivent répondre aux critères suivants.

Groupe de sécurité pour points de terminaison VPC

Identifiez ou créez un groupe de sécurité qui autorise la connectivité des ports 1688 TCP entrants. Lorsque vous configurez les paramètres de votre VPC, vous spécifiez ce groupe de sécurité. Pour plus d'informations, consultez la section Utilisation des groupes de sécurité.

License Manager associe ce groupe de sécurité aux points de terminaison du VPC qu'il crée en votre nom lors de la configuration du VPC. Pour plus d'informations sur les points de terminaison VPC, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface dans le Guide.AWS PrivateLink

Groupe de sécurité pour les contrôleurs de domaine Active Directory

Assurez-vous que le groupe de sécurité que vous utilisez pour vos contrôleurs de domaine AD autorise le trafic sortant vers l' IPv4 adresse d'interface réseau de chaque contrôleur de domaine.

Groupe de sécurité pour les instances d'abonnement basées sur l'utilisateur

Identifiez ou créez un groupe de sécurité qui autorise les accès suivants vers et depuis votre instance. Pour plus d'informations, consultez la section Utilisation des groupes de sécurité.

  • 3389Connectivité du port TCP entrant depuis vos sources de connexion approuvées.

  • 1688Connectivité du port TCP sortant pour atteindre les points de terminaison du VPC et communiquer avec. AWS Systems Manager

Configuration réseau

License Manager crée deux interfaces réseau qui utilisent le groupe de sécurité par défaut du VPC sur lequel vous êtes AWS Managed Microsoft AD approvisionné. Ces interfaces sont utilisées pour que le service interagisse avec votre annuaire. Pour plus d'informations, reportez-vous Étape 2 : enregistrer votre Active Directory dans le License Manager à la section « Ce qui est créé » dans le Guide d'AWS Directory Service administration.

Une fois le processus de provisionnement terminé, vous pouvez associer un autre groupe de sécurité aux interfaces créées par License Manager.

Résolution DNS

L'Active Directory que vous avez enregistré pour les abonnements basés sur les utilisateurs doit être accessible depuis tous VPCs les sous-réseaux que vous avez configurés dans les paramètres de License Manager. Pour garantir l'accessibilité des nœuds Active Directory, configurez la résolution DNS comme suit :

Instances fournissant des produits d'abonnement basés sur l'utilisateur

Pour que vos instances d'abonnement basées sur l'utilisateur fonctionnent comme prévu, vous devez remplir les conditions préalables suivantes :

  • Configurez un groupe de sécurité pour vos instances comme décrit dansGroupes de sécurité.

  • Assurez-vous que les instances lancées pour fournir des abonnements basés sur les utilisateurs auprès de Microsoft Office disposent d'un itinéraire vers le sous-réseau où les points de terminaison VPC sont provisionnés.

  • Les instances qui fournissent des abonnements basés sur les utilisateurs doivent être gérées par AWS Systems Manager afin de garantir leur bon état. En outre, vos instances doivent être en mesure d'activer leur licence d'abonnement basée sur l'utilisateur pour rester conformes après l'activation de la licence.

    Note

    License Manager tentera de récupérer les instances défectueuses, mais celles qui ne peuvent pas revenir à un état sain seront résiliées. Pour obtenir des informations sur la résolution des problèmes liés au maintien de la gestion de vos instances par Systems Manager et à la conformité des instances, consultez la Résoudre les problèmes liés aux abonnements basés sur les utilisateurs dans License Manager section de ce guide.

  • Vous devez avoir un rôle de profil d'instance attaché aux instances fournissant les produits d'abonnement basés sur les utilisateurs qui permettent de gérer la ressource par AWS Systems Manager. Pour plus d'informations, voir Création d'un profil d'instance IAM pour Systems Manager dans le Guide de l'utilisateur AWS Systems Manager .

  • Vous devez le faire Dissocier les utilisateurs d'une instance avant de mettre fin à l'instance.

Services de bureau à distance Microsoft

Le serveur de licences Microsoft Remote Desktop Services nécessite un utilisateur administratif défini dans l'Active Directory associé. Cet utilisateur doit être en mesure d'effectuer les tâches suivantes :

  • Création d'une unité d'organisation sous le domaine Active Directory

  • Instances de jointure de domaine (créer un ordinateur) à l'intérieur de l'unité d'organisation créée

  • Ajouter un objet informatique à un groupe de serveurs Terminal Server au sein du domaine Active Directory

  • Disposer d'un contrôle délégué sur les objets utilisateur du domaine Active Directory pour lire et écrire sur le serveur de licences Terminal Server, afin de générer des rapports sur le serveur de licences.

Pour en savoir plus sur la délégation, voir Délégation de contrôle dans les services de domaine Active Directory.

Informations d'identification administratives secrètes

License Manager permet AWS Secrets Manager de gérer les informations d'identification nécessaires aux tâches d'administration des utilisateurs sur le serveur de licences Microsoft Remote Desktop Services. Avant de configurer le serveur de licences, vous devez créer un secret dans Secrets Manager contenant les informations d'identification de l'utilisateur qui exécute les tâches d'administration des utilisateurs sur le serveur de licences. Lorsque vous configurez les paramètres du serveur de licences, vous devez fournir l'ID du secret que vous avez créé.

Note

Il doit s'agir du même utilisateur que celui que vous avez défini pour la génération des rapports du serveur de licences RDS.

Pour créer un secret, suivez les instructions détaillées de la page Créer un AWS Secrets Manager secret du Guide de l'utilisateur de Secrets Manager, avec les paramètres suivants spécifiques à License Manager.

Important

Pour utiliser le secret, License Manager dépend des noms de clés exacts, de la valeur du nom d'utilisateur et de la clé de chiffrement spécifiés dans la liste suivante. Le nom du secret doit commencer par le préfixe suivant : license-manager-user-

Sur la page Choisir le type de secret :

  • Type de secret — Choisissez Autre type de secret.

  • Paires clé/valeur : spécifiez les paires de clés suivantes à stocker dans le secret.

    Nom d’utilisateur

    • Clé : username

    • Valeur : Administrator

    Mot de passe

    • Clé : password

    • Valeur : The password

  • Clé de chiffrement : pour spécifier une clé KMS autre que la aws/secretsmanager clé, vous devez associer une politique au rôle que vous utilisez pour accéder aux opérations de License Manager. Pour de plus amples informations, veuillez consulter Rôles et autorisations IAM.

Sur la page de configuration secrète :

  • Nom du secret — Spécifiez un nom pour votre secret qui commence par le préfixe que License Manager utilise pour identifier les secrets d'identification du serveur de licences. Par exemple :

    license-manager-user-admin-credentials

Ces instructions supposent que vous utilisez le AWS Management Console pour créer votre secret. Le guide de l'utilisateur de Secrets Manager inclut également des instructions détaillées pour les autres méthodes. Pour plus d'informations sur Secrets Manager, voir Qu'est-ce que Secrets Manager ? Pour des informations spécifiquement liées aux coûts, consultez la section Tarification AWS Secrets Manager dans le guide de l'utilisateur de Secrets Manager.

Produits logiciels pris en charge pour les abonnements basés sur les utilisateurs dans License Manager

AWS License Manager prend en charge les abonnements basés sur les utilisateurs pour Microsoft Visual Studio et Microsoft Office. L'utilisation des logiciels pris en charge est suivie par License Manager. Un seul abonnement à la licence d'accès aux abonnés de Windows Server Remote Desktop Services (RDS SAL) est requis pour que chaque utilisateur puisse accéder à une instance avec licence qui fournit un produit d'abonnement basé sur l'utilisateur. Pour de plus amples informations, veuillez consulter Commencez avec les abonnements basés sur les utilisateurs dans License Manager.

Plateformes de système d'exploitation (OS) Windows prises en charge

Vous pouvez trouver des Windows AMIs qui incluent des produits couverts par la licence RDS SAL pour les plateformes de système d'exploitation Windows suivantes :

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Logiciels pris en charge pour les abonnements basés sur les utilisateurs

License Manager prend en charge les licences basées sur l'utilisateur avec les logiciels suivants.

Microsoft Visual Studio

Microsoft Visual Studio est un environnement de développement intégré (IDE) qui permet aux développeurs de créer, de modifier, de déboguer et de publier des applications. Le Microsoft Visual Studio fourni AMIs inclut le AWS kit d'outils pour .NET Refactoring et le. AWS Toolkit for Visual Studio

Éditions prises en charge

  • Visual Studio Professionnel 2022

  • Visual Studio Entreprise 2022

Le tableau suivant détaille les noms des abonnements logiciels et leur valeur de produit associée utilisés pour les opérations d'API d'abonnement basées sur les utilisateurs de License Manager.

Nom de l'abonnement au logiciel Valeur du produit

Visual Studio Entreprise 2022

VISUAL_STUDIO_ENTERPRISE

Visual Studio Professionnel 2022

VISUAL_STUDIO_PROFESSIONAL

Microsoft Office

Microsoft Office est un ensemble de logiciels développés par Microsoft pour divers cas d'utilisation liés à la productivité, notamment l'utilisation de documents, de feuilles de calcul et de diaporamas.

Éditions prises en charge

  • Office LTSC Professional Plus 2021

Le tableau suivant détaille les noms des abonnements logiciels et leur valeur de produit associée utilisés pour les opérations d'API d'abonnement basées sur les utilisateurs de License Manager.

Nom de l'abonnement au logiciel Valeur du produit

Office LTSC Professional Plus 2021

OFFICE_PROFESSIONAL_PLUS

Logiciels supplémentaires

Vous pouvez installer sur vos instances des logiciels supplémentaires qui ne sont pas disponibles sous forme d'abonnements basés sur les utilisateurs. Les installations logicielles supplémentaires ne sont pas suivies par License Manager. Ces installations doivent être effectuées à l'aide du compte administratif de votre Active Directory. Si vous utilisez un AWS Managed Microsoft AD, le compte administratif (Admin) est créé par défaut dans votre répertoire. Pour plus d'informations, consultez la section Compte administrateur dans le Guide AWS Directory Service d'administration.

Pour installer des logiciels supplémentaires avec le compte administratif Active Directory, vous devez :

  • Abonnez le compte administratif au produit fourni par l'instance.

  • Associez le compte administratif à l'instance.

  • Connectez-vous à l'instance à l'aide du compte administratif pour effectuer l'installation.

Pour de plus amples informations, veuillez consulter Commencez avec les abonnements basés sur les utilisateurs dans License Manager.