翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS License Manager
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。
AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは、新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。
さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートします。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。
AWS マネージドポリシー: AWSLicenseManagerServiceRolePolicy
このポリシーは、AWSServiceRoleForAWSLicenseManagerRole という名前のサービスリンクロールにアタッチされ、License Manager がユーザーの代わりに API アクションを呼び出してライセンスを管理できるようにします。サービスにリンクされたロールの詳細については、「コアロールのアクセス許可」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| アクション | リソースARN |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してくださいAWSLicenseManagerServiceRolePolicy
AWS マネージドポリシー: AWSLicenseManagerMasterAccountRolePolicy
このポリシーは、License Manager がユーザーに代わって中央管理アカウントのライセンス管理を実行する API アクションを呼び出すAWSServiceRoleForAWSLicenseManagerMasterAccountRoleことができるように、 という名前のサービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「License Manager - 管理アカウントのロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| アクション | リソースARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
脚注 ¹ を参照してください。 |
glue:UpdateTable |
脚注 ¹ を参照してください。 |
glue:DeleteTable |
脚注 ¹ を参照してください。 |
glue:UpdateJob |
脚注 ¹ を参照してください。 |
glue:UpdateCrawler |
脚注 ¹ を参照してください。 |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
1 AWS Glue アクションに定義されているリソースは次のとおりです。
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してくださいAWSLicenseManagerMasterAccountRolePolicy
AWS マネージドポリシー: AWSLicenseManagerMemberAccountRolePolicy
このポリシーは、AWSServiceRoleForAWSLicenseManagerMemberAccountRole という名前のサービスリンクロールにアタッチされ、License Manager がユーザーの代わりに設定された管理アカウントからライセンス管理のための API アクションを呼び出せるようにします。詳細については、「License Manager - メンバーアカウントロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| アクション | リソースARN |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してくださいAWSLicenseManagerMemberAccountRolePolicy
AWS マネージドポリシー: AWSLicenseManagerConsumptionPolicy
AWSLicenseManagerConsumptionPolicyポリシーは IAM アイデンティティにアタッチできます。このポリシーは、ライセンスを消費するために必要なLicense Manager APIアクションへのアクセスを許可する権限を付与します。詳細については、「ライセンス使用量」を参照してください。
このポリシーのアクセス許可を確認するには、「 AWS Management Console」の「AWSLicenseManagerConsumptionPolicy
AWS マネージドポリシー: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
このポリシーは、AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService という名前のサービスリンクロールにアタッチされ、License Manager が API アクションを呼び出してユーザーベースのサブスクリプションのリソースを管理できるようにします。詳細については、「License Manager - ユーザーベースのサブスクリプションロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| アクション | リソースARN |
|---|---|
ds:DescribeDirectories |
* |
ds:GetAuthorizedApplicationDetails |
* |
ec2:CreateTags |
arn:aws:ec2:*:*:instance/* ¹ |
ec2:DescribeInstances |
* |
ec2:DescribeVpcPeeringConnections |
* |
ec2:TerminateInstances |
arn:aws:ec2:*:*:instance/* ¹ |
ssm:DescribeInstanceInformation |
* |
ssm:GetCommandInvocation |
* |
ssm:GetInventory |
* |
ssm:ListCommandInvocations |
* |
ssm:SendCommand |
arn:aws:ssm:*::document/AWS-RunPowerShellScript 2 arn:aws:ec2:*:*:instance/* ² |
¹ License Manager は、製品コード bz0vcy31ooqlzk5tsash4r1ik
² License Manager は、タグ名が AWSLicenseManager で値が UserSubscriptions のインスタンスでのみ、AWS-RunPowerShellScript ドキュメントを使用して SSM 実行コマンドを実行できます。
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してくださいAWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS マネージドポリシー: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
このポリシーは、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService という名前のサービスリンクロールに添付され、License Manager が API アクションを呼び出して Linux サブスクリプションのリソースを管理できるようにします。詳細については、「license-manager - Linux サブスクリプションロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| アクション | 条件 | リソース |
|---|---|---|
ec2:DescribeInstances |
該当なし | * |
ec2:DescribeRegions |
該当なし | * |
organizations:DescribeOrganization |
該当なし | * |
organizations:ListAccounts |
該当なし | * |
organizations:DescribeAccount |
該当なし | * |
organizations:ListChildren |
該当なし | * |
organizations:ListParents |
該当なし | * |
organizations:ListAccountsForParent |
該当なし | * |
organizations:ListRoots |
該当なし | * |
organizations:ListAWSServiceAccessForOrganization |
該当なし | * |
organizations:ListDelegatedAdministrators |
該当なし | * |
| secretsmanager:GetSecretValue |
StringEquals: 「aws:ResourceTag/LicenseManagerLinuxSubscriptions」:「enabled」 「aws:ResourceAccount」:「${aws:PrincipalAccount}」 |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: 「aws:ResourceTag/LicenseManagerLinuxSubscriptions」:「enabled」、 「aws:ResourceAccount」:「${aws:PrincipalAccount}」
StringLike: 「kms:ViaService」: [「secretsmanager.*.amazonaws.com」〕 |
arn:aws:kms:*:*:key/* |
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してくださいAWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager の AWS マネージドポリシーの更新
License Manager の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。
| 変更 | 説明 | 日付 |
|---|---|---|
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy - 既存ポリシーへの更新 | License Manager は、 からシークレットを保存および取得し AWS Secrets Manager、 AWS KMS キーを使用して Bring Your Own License (BYOL) サブスクリプションのアクセストークンシークレットを復号するアクセス許可を追加しました。 | 2024 年 5 月 22 日 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy - 新しいポリシー | License Manager が、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService という名前のサービスリンクロールを作成する権限を追加しました。このロールは、 AWS Organizations および Amazon EC2 リソースを一覧表示するアクセス許可を License Manager に付与します。 |
2022 年 12 月 21 日 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 既存ポリシーへの更新 | License Manager が ec2:DescribeVpcPeeringConnections 権限を追加しました。 |
2022 年 11 月 28 日 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy - 新しいポリシー | License Manager が、AWSLicenseManagerUserSubscriptionsServiceRolePolicy という名前のサービスリンクロールを作成する権限を追加しました。このロールは、 AWS Directory Service リソースを一覧表示し、Systems Manager の機能を利用して、ユーザーベースのサブスクリプション用に作成された Amazon EC2 リソースを管理するための License Manager アクセス許可を提供します。 |
2022 年 7 月 18 日 |
| AWSLicenseManagerMasterAccountRolePolicy – 既存ポリシーへの更新 | License Manager は、 によって管理されるリソースグループのresource-groups:PutGroupPolicyアクセス許可を追加しました AWS Resource Access Manager。 |
2022 年 6 月 27 日 |
| AWSLicenseManagerMasterAccountRolePolicy – 既存ポリシーへの更新 | License Manager は、 の AWS マネージドポリシーAWSLicenseManagerMasterAccountRolePolicy条件キーを AWS Resource Access Manager の使用から ram:ResourceTagに変更しましたaws:ResourceTag。 |
2021 年 11 月 16 日 |
| AWSLicenseManagerConsumptionPolicy - 新しいポリシー | License Manager は、ライセンスを消費する権限を付与する新しいポリシーを追加しました。 | 2021 年 8 月 11 日 |
| AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 | License Manager では、委任された管理者の一覧を表示する許可と、AWSServiceRoleForAWSLicenseManagerMemberAccountRole という名前のサービスリンクロールを作成する権限が追加されていました。 |
2021年6月16日 |
| AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 | License Manegerは、ライセンス設定、ライセンス、権限など、すべてのLicense Maneger リソースを一覧表示する権限を追加しました。 | 2021年6月15日 |
| AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 | License Manager が、AWSServiceRoleForMarketplaceLicenseManagement という名前のサービスリンクロールを作成する権限を追加しました。このロールは、License Manager AWS Marketplace でライセンスを作成および管理するためのアクセス許可を に付与します。詳細については、AWS Marketplace 購入者ガイドの Service-linked roles for AWS Marketplace を参照してください。 |
2021年3月9日 |
| License Maneger が変更の追跡を開始 | License Manegerは、 AWS マネージドポリシーの変更の追跡を開始しました。 | 2021 年 3 月 9 日 |
