Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk License Manager
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.
AWS kebijakan terkelola: AWSLicenseManagerServiceRolePolicy
Kebijakan ini dilampirkan ke peran terkait layanan yang diberi nama AWSServiceRoleForAWSLicenseManagerRole untuk mengizinkan License Manager memanggil tindakan API untuk mengelola lisensi atas nama Anda. Untuk informasi selengkapnya tentang peran tertaut layanan, lihat Izin untuk peran inti.
Kebijakan izin peran mengizinkan License Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
| Tindakan | Sumber daya ARN |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
Untuk melihat izin kebijakan ini di bagian AWS Management Console, lihat AWSLicenseManagerServiceRolePolicy
AWS kebijakan terkelola: AWSLicenseManagerMasterAccountRolePolicy
Kebijakan ini dilampirkan ke peran terkait layanan yang diberi nama AWSServiceRoleForAWSLicenseManagerMasterAccountRole untuk mengizinkan License Manager memanggil tindakan API yang melakukan pengelolaan lisensi untuk akun manajemen pusat atas nama Anda. Untuk informasi selengkapnya tentang peran tertaut layanan, lihat License Manager - Peran akun manajemen.
Kebijakan izin peran mengizinkan License Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
| Tindakan | Sumber daya ARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
Lihat catatan kaki ¹ |
glue:UpdateTable |
Lihat catatan kaki ¹ |
glue:DeleteTable |
Lihat catatan kaki ¹ |
glue:UpdateJob |
Lihat catatan kaki ¹ |
glue:UpdateCrawler |
Lihat catatan kaki ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ Berikut ini adalah sumber daya yang ditentukan untuk AWS Glue tindakan:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
Untuk melihat izin kebijakan ini di bagian AWS Management Console, lihat AWSLicenseManagerMasterAccountRolePolicy
AWS kebijakan terkelola: AWSLicenseManagerMemberAccountRolePolicy
Kebijakan ini dilampirkan ke peran terkait layanan yang diberi nama AWSServiceRoleForAWSLicenseManagerMemberAccountRole untuk mengizinkan License Manager memanggil tindakan API untuk pengelolaan lisensi dari akun manajemen yang dikonfigurasi atas nama Anda. Untuk informasi selengkapnya, lihat License Manager - Peran akun anggota.
Kebijakan izin peran mengizinkan License Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
| Tindakan | Sumber daya ARN |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
Untuk melihat izin kebijakan ini di bagian AWS Management Console, lihat AWSLicenseManagerMemberAccountRolePolicy
AWS kebijakan terkelola: AWSLicenseManagerConsumptionPolicy
Anda dapat melampirkan kebijakan AWSLicenseManagerConsumptionPolicy ke identitas IAM Anda. Kebijakan ini memberikan izin yang memungkinkan akses ke tindakan License Manager API yang diperlukan untuk menggunakan lisensi. Untuk informasi selengkapnya, lihat Penjual mengeluarkan penggunaan lisensi di License Manager.
Untuk melihat izin kebijakan ini, lihat AWSLicenseManagerConsumptionPolicy
AWS kebijakan terkelola: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Kebijakan ini dilampirkan ke AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService kebijakan bernama peran terkait layanan untuk mengizinkan License Manager memanggil tindakan API untuk mengelola sumber daya langganan berbasis pengguna. Untuk informasi selengkapnya, lihat License Manager - Peran berlangganan berbasis pengguna.
Kebijakan izin peran mengizinkan License Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
| Tindakan | Sumber daya ARN |
|---|---|
| ds: DescribeDirectories | * |
| ds: GetAuthorizedApplicationDetails | * |
| EC2: CreateTags | arn:aws:ec2: *:*:instance/* ¹ |
| EC2: DescribeInstances | * |
| EC2: DescribeNetworkInterfaces | * |
| EC2: DescribeSecurityGroupRules | * |
| EC2: DescribeSubnets | * |
| EC2: DescribeVpcPeeringConnections | * |
| EC2: TerminateInstances | arn:aws:ec2: *:*:instance/* ¹ |
| route53: GetHostedZone | * |
| route53: ListResourceRecordSets | * |
| manajer rahasia: GetSecretValue | arn:aws:secretsmanager: *:*:secret: -* license-manager-user |
| ssm: DescribeInstanceInformation | * |
| ssm: GetCommandInvocation | * |
| ssm: GetInventory | * |
| ssm: ListCommandInvocations | * |
| ssm: SendCommand | arn:aws:ssm: *::Dokumen/AWS- ² RunPowerShellScript arn:aws:ec2: *:*:instance/* ² |
¹ License Manager hanya dapat membuat tag pada dan mengakhiri instance yang memiliki kode produk bz0vcy31ooqlzk5tsash4r1ik, 77yzkpa7kvee1y1tt7wnsdwoc, atau d44g89hc0gp9jdzm99rznthpw
² License Manager hanya dapat menjalankan SSM Run Command dengan AWS-RunPowerShellScript dokumen pada instance dengan nama tag AWSLicenseManager dan nilai. UserSubscriptions
Untuk melihat izin kebijakan ini di bagian AWS Management Console, lihat AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS kebijakan terkelola: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Kebijakan ini dilampirkan ke AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService kebijakan bernama peran terkait layanan untuk mengizinkan License Manager memanggil tindakan API untuk mengelola sumber daya langganan Linux. Untuk informasi selengkapnya, lihat License Manager - Peran langganan Linux.
Kebijakan izin peran mengizinkan License Manager untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
| Tindakan | Ketentuan | Sumber Daya |
|---|---|---|
ec2:DescribeInstances |
N/A | * |
ec2:DescribeRegions |
N/A | * |
organizations:DescribeOrganization |
N/A | * |
organizations:ListAccounts |
N/A | * |
organizations:DescribeAccount |
N/A | * |
organizations:ListChildren |
N/A | * |
organizations:ListParents |
N/A | * |
organizations:ListAccountsForParent |
N/A | * |
organizations:ListRoots |
N/A | * |
organizations:ListAWSServiceAccessForOrganization |
N/A | * |
organizations:ListDelegatedAdministrators |
N/A | * |
| manajer rahasia: GetSecretValue |
StringEquals: “aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “diaktifkan” “aws: ResourceAccount “: “$ {aws:PrincipalAccount}” |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: “aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “diaktifkan”, “aws: ResourceAccount “: “$ {aws:PrincipalAccount}”
StringLike: “kms: “: [ViaService“secretsmanager.*.amazonaws.com”] |
arn:aws:kms:*:*:key/* |
Untuk melihat izin kebijakan ini di bagian AWS Management Console, lihat AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk License Manager sejak layanan ini mulai melacak perubahan ini.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy — Permbaruan ke kebijakan yang sudah ada | License Manager menambahkan izin berikut untuk mengelola lisensi dan data Active Directory: dapatkan informasi rute dari Route 53, dapatkan informasi jaringan dan aturan grup keamanan dari Amazon EC2, dan dapatkan rahasia dari Secrets Manager. | November 7, 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – Pembaruan ke kebijakan yang ada | License Manager menambahkan izin untuk menyimpan dan mengambil rahasia dari AWS Secrets Manager, dan menggunakan AWS KMS kunci untuk mendekripsi rahasia token akses untuk langganan Bring Your Own License (BYOL). | 22 Mei 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – Kebijakan baru | License Manager menambahkan izin untuk membuat peran terkait layanan bernama. AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService Peran ini memberikan izin License Manager untuk membuat daftar AWS Organizations dan EC2 sumber daya Amazon. |
21 Desember 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Pembaruan ke kebijakan yang ada | License Manager menambahkan ec2:DescribeVpcPeeringConnections izin. |
28 November 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Kebijakan baru | License Manager menambahkan izin untuk membuat peran terkait layanan bernama. AWSLicenseManagerUserSubscriptionsServiceRolePolicy Peran ini memberikan izin License Manager untuk mencantumkan AWS Directory Service sumber daya, memanfaatkan fitur Systems Manager, dan mengelola EC2 sumber daya Amazon yang dibuat untuk langganan berbasis pengguna. |
18 Juli 2022 |
| AWSLicenseManagerMasterAccountRolePolicy – Pembaruan ke kebijakan yang ada | License Manager menambahkan resource-groups:PutGroupPolicy izin untuk grup sumber daya yang dikelola oleh AWS Resource Access Manager. |
Juni 27, 2022 |
| AWSLicenseManagerMasterAccountRolePolicy – Pembaruan ke kebijakan yang ada | License Manager mengubah kunci AWSLicenseManagerMasterAccountRolePolicy kondisi kebijakan AWS terkelola untuk AWS Resource Access Manager dari using ram:ResourceTag menjadiaws:ResourceTag. |
November 16, 2021 |
| AWSLicenseManagerConsumptionPolicy – Kebijakan baru | License Manager menambahkan kebijakan baru yang memberikan izin untuk menggunakan lisensi. | Agustus 11, 2021 |
| AWSLicenseManagerServiceRolePolicy – Pembaruan ke kebijakan yang ada | License Manager menambahkan izin untuk mencantumkan administrator yang didelegasikan dan izin untuk membuat nama peran terkait layanan. AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
16 Juni 2021 |
| AWSLicenseManagerServiceRolePolicy – Pembaruan ke kebijakan yang ada | Lisensi Manager menambahkan izin untuk mencantumkan semua sumber daya License Manager, seperti konfigurasi lisensi, lisensi, dan hibah. | 15 Juni 2021 |
| AWSLicenseManagerServiceRolePolicy – Pembaruan ke kebijakan yang ada | License Manager menambahkan izin untuk membuat peran terkait layanan bernama. AWSServiceRoleForMarketplaceLicenseManagement Peran ini AWS Marketplace menyediakan izin untuk membuat dan mengelola lisensi di License Manager. Untuk informasi selengkapnya, lihat Peran tertaut layanan untuk AWS Marketplace dalam Panduan Pembeli AWS Marketplace . |
9 Maret, 2021 |
| License Manager mulai melacak perubahan | License Manager mulai melacak perubahan pada kebijakan AWS terkelolanya. | 9 Maret, 2021 |
