Utilizza gli abbonamenti basati sull'utente di License Manager per i prodotti software supportati - AWS License Manager
ConsiderazioniPrerequisiti di abbonamento basati sull'utenteAbbonamenti software supportatiSoftware aggiuntivo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza gli abbonamenti basati sull'utente di License Manager per i prodotti software supportati

Con gli abbonamenti basati sugli utenti AWS License Manager, è possibile acquistare abbonamenti software con licenza completamente conformi. Le licenze sono fornite da Amazon e prevedono una tariffa di abbonamento per utente. Amazon EC2 fornisce Amazon Machine Images (AMIs) preconfigurato con il software supportato, oltre a licenze Windows Server incluse nella licenza. Queste licenze possono essere utilizzate senza impegni di licenza a lungo termine.

Per utilizzare abbonamenti basati sugli utenti, associ gli utenti di AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) o del tuo dominio autogestito (locale) alle istanze che forniscono il software. EC2 Per rendere disponibile il software concesso in licenza, è necessario creare abbonamenti basati sugli utenti e associarli a istanze avviate da sistemi preconfigurati. AMIs AWS Systems Managerconfigurerà e rafforzerà le istanze incluse nella licenza che avvii. Gli utenti devono connettersi al software Remote Desktop per accedere alle istanze che forniscono il software.

Ogni utente e vCPU associati per le istanze incluse nella licenza sono soggetti a costi. I modelli di prezzo Amazon EC2 Reserved Instances e Savings Plan possono aiutarti a ottimizzare i EC2 costi di Amazon. Per ulteriori informazioni, consulta le istanze riservate nella Guida per l'utente di Amazon Elastic Compute Cloud. Gli abbonamenti basati sugli utenti vengono fatturati dalla prima metà del mese alla fine del mese.

Argomenti

Considerazioni sull'utilizzo degli abbonamenti basati sull'utente in License Manager

Le seguenti considerazioni si applicano quando si utilizzano abbonamenti basati sull'utente con License Manager:

  • L' Marketplace AWS abbonamento per Microsoft Remote Desktop Services Win Remote Desktop Services SAL (), incluso nella licenza, prevede una tariffa mensile per utente, senza ripartizione proporzionale.

  • Per impostazione predefinita, le istanze che forniscono abbonamenti basati sull'utente supportano fino a due sessioni utente attive alla volta. Per abilitare più di due sessioni utente attive, è possibile configurare un Active Directory Group Policy Object (GPO) e impostare la modalità di licenza Microsoft RDS su. Per User Per ulteriori informazioni, consulta i prerequisiti per. Configura Active Directory GPO per sessioni utente remote più attive

  • Quando si creano utenti locali con privilegi di amministratore su istanze che forniscono abbonamenti basati sugli utenti, lo stato di integrità dell'istanza potrebbe diventare non integro. License Manager può terminare le istanze non integre a causa della non conformità. Per ulteriori informazioni, consulta Risoluzione dei problemi di conformità delle istanze.

  • Quando configuri Active Directory con i prodotti Microsoft Office, gli endpoint VPC devono essere forniti in almeno una sottorete. Se desideri rimuovere tutte le risorse degli endpoint VPC create da License Manager, devi rimuovere qualsiasi Active Directory configurata dalle impostazioni di License Manager. Per ulteriori informazioni, consulta Annullare la registrazione di un Active Directory dalle impostazioni di License Manager.

  • La chiave del tag AWSLicenseManager con il valore UserSubscriptions assegnato da License Manager alle istanze non deve essere alterata o eliminata.

  • Affinché il servizio funzioni come previsto, le due interfacce di rete create per License Manager non devono essere alterate o eliminate.

  • Gli oggetti creati da License Manager nell'unità organizzativa (OU) AWS riservata della AWS Managed Microsoft AD directory non devono essere modificati o eliminati.

  • Le istanze distribuite per gli abbonamenti basati sugli utenti devono essere nodi gestiti AWS Systems Manager e uniti allo stesso dominio. Per informazioni su come mantenere le istanze gestite da Systems Manager, consulta la Risoluzione dei problemi relativi agli abbonamenti basati sugli utenti in License Manager sezione di questa guida.

  • Per evitare di incorrere in costi di abbonamento per un utente, è necessario dissociare l'utente da tutte le istanze a cui è associato. Per ulteriori informazioni, consulta Dissocia gli utenti da un'istanza che fornisce abbonamenti basati sugli utenti.

Prerequisiti per creare abbonamenti basati sull'utente in License Manager

I seguenti prerequisiti devono essere implementati nell'ambiente prima di poter creare sottoscrizioni basate sull'utente.

Ruoli e autorizzazioni IAM

È necessario consentire al License Manager di creare un ruolo collegato ai servizi per effettuare l'onboarding degli abbonamenti Account AWS per utenti. Nella console License Manager, viene visualizzato un messaggio nelle sottoscrizioni basate sull'utente se il ruolo non è stato ancora creato. Dopo aver risposto alla richiesta e aver accettato di consentire al License Manager di creare il ruolo, scegli Crea per continuare. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per License Manager.

Per creare abbonamenti basati sugli utenti, l'utente o il ruolo deve disporre delle seguenti autorizzazioni:

  • Amazon EC2: lavora con interfacce di rete e sottoreti.

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

  • AWS Directory Service— Amministra Active Directory.

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • Route 53 — Configura il routing.

    • route53:DeleteHealthCheck

    • route53:ChangeResourceRecordSets

    • route53:GetHostedZone

    • route53:ListHostedZonesByName

    • route53:ListHostedZones

    • route53:ListHostedZonesByVPC

    • route53:CreateHostedZone

    • route53:DeleteHostedZone

    • route53:ListResourceRecordSets

    • route53:GetHealthCheckCount

    • route53:AssociateVPCWithHostedZone

Per creare abbonamenti basati sull'utente per i prodotti Microsoft Office, l'utente o il ruolo deve disporre anche delle seguenti autorizzazioni aggiuntive:

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeSecurityGroups

AWS KMS Politica chiave per le credenziali del License Server

Per utilizzare la propria chiave KMS per crittografare e decrittografare le credenziali amministrative segrete per Microsoft RDS License Server, è necessario allegare una policy al ruolo utilizzato per accedere alle operazioni di License Manager. L'esempio seguente mostra una politica che concede l'autorizzazione a Secrets Manager di accedere alla chiave KMS per crittografare e decrittografare il segreto delle credenziali del Microsoft RDS License Server.

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/RoleName"
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
        },
        "Action": "kms:Decrypt", 
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    }
]
}

Active Directory

Per utilizzare gli abbonamenti basati sugli utenti di License Manager, è necessario creare un Active Directory (AD) che contenga le informazioni utente per gli utenti del prodotto in abbonamento. A seconda della configurazione, è possibile utilizzare un AD o un AWS Managed Microsoft AD AD autogestito.

Se si utilizzano directory attive AWS gestite e autogestite, è necessario stabilire un trust di foresta bidirezionale tra le directory. Per ulteriori informazioni, vedi Tutorial: Creare una relazione di trust tra il tuo dominio Active Directory AWS Managed Microsoft AD e il tuo dominio Active Directory autogestito nella Guida all'amministrazione.AWS Directory Service

Nota

Le sottoreti configurate per la tua directory devono provenire tutte dallo stesso VPC del tuo. Account AWS Le sottoreti condivise non sono supportate.

AWS Le Active Directory gestite presentano le seguenti restrizioni.

  • Le directory condivise con te non sono supportate.

  • L'autenticazione a più fattori non è supportata

Per ulteriori informazioni sulla creazione di una AWS Managed Microsoft AD directory, consulta AWS Managed Microsoft AD Prerequisiti e Crea la tua AWS Managed Microsoft AD directory nella Guida per l'AWS Directory Service utente.

Per associare gli utenti a AWS Managed Microsoft AD, è necessario assegnare i ruoli agli utenti presenti nella AWS Managed Microsoft AD directory. Per ulteriori informazioni, consulta Gestire utenti e gruppi AWS Managed Microsoft AD nella Guida all'AWS Directory Service amministrazione.

Gruppi di sicurezza

I gruppi di sicurezza controllano il traffico di rete consentito in entrata e in uscita dalle risorse della rete. Per garantire che le risorse dell'ambiente di abbonamento basato sull'utente possano comunicare, i gruppi di sicurezza devono soddisfare i seguenti criteri.

Gruppo di sicurezza per endpoint VPC

Identifica o crea un gruppo di sicurezza che consenta la connettività delle porte TCP in entrata. 1688 Quando configuri le impostazioni del VPC, devi specificare questo gruppo di sicurezza. Per ulteriori informazioni, consulta Lavorare con i gruppi di sicurezza.

License Manager associa questo gruppo di sicurezza agli endpoint VPC che crea per tuo conto durante la configurazione del VPC. Per ulteriori informazioni sugli endpoint VPC, consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida.AWS PrivateLink

Gruppo di sicurezza per i controller di dominio Active Directory

Assicurati che il gruppo di sicurezza utilizzato per i controller di dominio AD consenta il traffico in uscita verso l'indirizzo di interfaccia di rete di ogni controller di dominio. IPv4

Gruppo di sicurezza per istanze di abbonamento basate sull'utente

Identifica o crea un gruppo di sicurezza che consenta i seguenti accessi da e verso la tua istanza. Per ulteriori informazioni, consulta Lavorare con i gruppi di sicurezza.

  • 3389Connettività tramite porta TCP in entrata dalle sorgenti di connessione approvate.

  • 1688Connettività tramite porta TCP in uscita per raggiungere gli endpoint VPC e con cui comunicare. AWS Systems Manager

Configurazione della rete

License Manager crea due interfacce di rete che utilizzano il gruppo di sicurezza predefinito del VPC su cui viene eseguito AWS Managed Microsoft AD il provisioning. Queste interfacce vengono utilizzate per consentire al servizio di interagire con la directory dell'utente. Per ulteriori informazioni, vedere Fase 2: Registrare Active Directory in License Manager Cosa viene creato nella Guida all'AWS Directory Service amministrazione.

Una volta completato il processo di provisioning, è possibile associare un gruppo di sicurezza diverso alle interfacce create da License Manager.

Risoluzione DNS

L'Active Directory che hai registrato per gli abbonamenti basati sugli utenti deve essere accessibile da tutte VPCs le sottoreti configurate nelle impostazioni di License Manager. Per garantire l'accessibilità dei nodi di Active Directory, configura la risoluzione DNS come segue:

Istanze che forniscono prodotti in abbonamento basati sull'utente

Affinché le istanze di abbonamento basate sull'utente funzionino come previsto, è necessario soddisfare i seguenti prerequisiti:

  • Configura un gruppo di sicurezza per le tue istanze come descritto in. Gruppi di sicurezza

  • Assicurati che le istanze avviate per fornire abbonamenti basati sugli utenti con Microsoft Office abbiano un percorso verso la sottorete in cui vengono forniti gli endpoint VPC.

  • Le istanze che forniscono abbonamenti basati sugli utenti devono essere gestite da per avere uno stato integro. AWS Systems Manager Inoltre, le istanze devono essere in grado di attivare le licenze in abbonamento basate sull'utente per rimanere conformi dopo l'attivazione della licenza.

    Nota

    License Manager tenterà di ripristinare le istanze non integre, ma le istanze che non possono tornare a uno stato integro verranno interrotte. Per informazioni sulla risoluzione dei problemi relativi alla gestione delle istanze da parte di Systems Manager e alla conformità delle istanze, consulta la Risoluzione dei problemi relativi agli abbonamenti basati sugli utenti in License Manager sezione di questa guida.

  • È necessario assegnare un ruolo di profilo di istanza alle istanze che forniscono i prodotti in abbonamento basati sull'utente che consentono la gestione della risorsa da. AWS Systems Manager Per ulteriori informazioni, consulta la sezione Creazione di un profilo dell'istanza IAM per Systems Manager nella Guida per l'utente di AWS Systems Manager .

  • È necessario Dissocia gli utenti da un'istanza prima di terminare l'istanza.

Servizi Microsoft Remote Desktop

Il server di licenza di Microsoft Remote Desktop Services richiede un utente amministrativo definito nell'Active Directory associata. Tale utente deve essere in grado di eseguire le seguenti attività:

  • Creare un'unità organizzativa nel dominio Active Directory

  • Istanze di aggiunta al dominio (creazione di un computer) all'interno dell'unità organizzativa creata

  • Aggiungere un oggetto computer a un gruppo di server Terminal all'interno del dominio Active Directory

  • Avere il controllo delegato degli oggetti utente nel dominio Active Directory per la lettura e la scrittura del server di licenza Terminal Server, al fine di generare report sul server di licenza.

Per ulteriori informazioni sulla delega, vedere Delega del controllo nei servizi di dominio Active Directory.

Credenziali amministrative segrete

License Manager consente AWS Secrets Manager di gestire le credenziali necessarie per le attività di amministrazione degli utenti sul server di licenza Microsoft Remote Desktop Services. Prima di poter configurare il server delle licenze, è necessario creare un segreto in Secrets Manager che contenga le credenziali per l'utente che esegue le attività di amministrazione degli utenti sul server delle licenze. Quando si configurano le impostazioni del server di licenza, è necessario fornire l'ID del segreto creato.

Nota

Deve essere lo stesso utente che hai definito per la generazione dei report del server di licenza RDS.

Per creare un segreto, segui le istruzioni dettagliate nella pagina Crea un AWS Secrets Manager segreto nella Guida per l'utente di Secrets Manager, con le seguenti impostazioni specifiche di License Manager.

Importante

Per utilizzare il segreto, License Manager dipende dai nomi esatti delle chiavi, dal valore del nome utente e dalla chiave di crittografia specificati nell'elenco seguente. Il nome segreto deve iniziare con il seguente prefisso:license-manager-user-.

Nella pagina Scegli il tipo segreto:

  • Tipo di segreto: scegli Altro tipo di segreto.

  • Coppie chiave/valore: specificate le seguenti coppie di chiavi da memorizzare nel segreto.

    Username

    • Chiave: username

    • Valore: Administrator

    Password

    • Chiave: password

    • Valore: The password

  • Chiave di crittografia: per specificare una chiave KMS diversa dalla aws/secretsmanager chiave, è necessario allegare una policy al ruolo utilizzato per accedere alle operazioni di License Manager. Per ulteriori informazioni, consulta Ruoli e autorizzazioni IAM.

Nella pagina Configura segreta:

  • Nome segreto: specifica un nome per il tuo segreto che inizi con il prefisso utilizzato da License Manager per identificare i segreti delle credenziali del server di licenza. Per esempio:

    license-manager-user-admin-credentials

Queste istruzioni presuppongono che tu stia utilizzando il AWS Management Console per creare il tuo segreto. La Guida per l'utente di Secrets Manager include anche istruzioni dettagliate per altri metodi. Per ulteriori informazioni su Secrets Manager, vedere What Is Secrets Manager. Per informazioni specifiche sui costi, consulta la sezione relativa ai prezzi AWS Secrets Manager nella Guida per l'utente di Secrets Manager.

Prodotti software supportati per abbonamenti basati sugli utenti in License Manager

AWS License Manager supporta abbonamenti basati sugli utenti per Microsoft Visual Studio e Microsoft Office. L'utilizzo del software supportato viene monitorato da License Manager. È necessario un singolo abbonamento a Windows Server Remote Desktop Services Subscriber Access License (RDS SAL) per ogni utente per accedere a un'istanza inclusa nella licenza che fornisce un prodotto in abbonamento basato sull'utente. Per ulteriori informazioni, consulta Inizia con gli abbonamenti basati sugli utenti in License Manager.

Piattaforme del sistema operativo Windows (OS) supportate

È possibile trovare Windows AMIs che includono prodotti coperti dalla licenza RDS SAL per le seguenti piattaforme del sistema operativo Windows:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Software supportato per abbonamenti basati sugli utenti

License Manager supporta le licenze basate sull'utente con i seguenti software.

Microsoft Visual Studio

Microsoft Visual Studio è un ambiente di sviluppo integrato (IDE) che consente agli sviluppatori di creare, modificare, eseguire il debug e pubblicare applicazioni. Il Microsoft Visual Studio fornito AMIs include il AWS Toolkit for .NET Refactoring e il. AWS Toolkit for Visual Studio

Edizioni supportate

  • Visual Studio Professional 2022

  • Visual Studio Enterprise 2022

La tabella seguente descrive in dettaglio i nomi degli abbonamenti software e il valore del prodotto associato utilizzati per le operazioni API di sottoscrizione basate sugli utenti di License Manager.

Nome della sottoscrizione al software Valore del prodotto

Visual Studio Enterprise 2022

VISUAL_STUDIO_ENTERPRISE

Visual Studio Professional 2022

VISUAL_STUDIO_PROFESSIONAL

Microsoft Office

Microsoft Office è una raccolta di software sviluppata da Microsoft per vari casi d'uso legati alla produttività, tra cui l'utilizzo di documenti, fogli di calcolo e presentazioni di diapositive.

Edizioni supportate

  • Office LTSC Professional Plus 2021

La tabella seguente descrive in dettaglio i nomi degli abbonamenti software e il valore del prodotto associato utilizzati per le operazioni API di sottoscrizione basate sugli utenti di License Manager.

Nome della sottoscrizione al software Valore del prodotto

Office LTSC Professional Plus 2021

OFFICE_PROFESSIONAL_PLUS

Software aggiuntivo

Puoi installare sulle tue istanze software aggiuntivo che non sono disponibili come abbonamenti basati sugli utenti. Le installazioni software aggiuntive non vengono tracciate da License Manager. Queste installazioni devono essere eseguite utilizzando l'account amministrativo di Active Directory. Se si utilizza un AWS Managed Microsoft AD, l'account amministrativo (Admin) viene creato per impostazione predefinita nella directory. Per ulteriori informazioni, consulta Account amministratore nella Guida all'AWS Directory Service amministrazione.

Per installare software aggiuntivo con l'account amministrativo di Active Directory, è necessario:

  • Sottoscrivere l'account amministrativo al prodotto fornito dall'istanza.

  • Associa l'account amministrativo all'istanza.

  • Connect all'istanza utilizzando l'account amministrativo per eseguire l'installazione.

Per ulteriori informazioni, consulta Inizia con gli abbonamenti basati sugli utenti in License Manager.