AWS License Manager の マネージドポリシー - AWS License Manager
AWSLicenseManagerServiceRolePolicyAWSLicenseManagerMasterAccountRolePolicyAWSLicenseManagerMemberAccountRolePolicyAWSLicenseManagerConsumptionPolicyAWSLicenseManagerUserSubscriptionsServiceRolePolicyAWSLicenseManagerLinuxSubscriptionsServiceRolePolicyポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS License Manager の マネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要なアクセス許可のみを提供する IAM カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、IAM ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは、新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。

さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートしています。たとえば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースに読み取り専用アクセス許可 AWS を追加します。職務機能ポリシーのリストと説明については、IAM ユーザーガイドAWS 」の「職務機能用の 管理ポリシー」を参照してください。

AWS 管理ポリシー:AWSLicenseManagerServiceRolePolicy

このポリシーは、License Manager がユーザーに代わってライセンスを管理する API アクションを呼び出すAWSServiceRoleForAWSLicenseManagerRoleことができるように、 という名前のサービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「コアロールのアクセス許可」を参照してください。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。

Action リソースARN
iam:CreateServiceLinkedRole arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement
iam:CreateServiceLinkedRole arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:ListAllMyBuckets *
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
sns:Publish arn:aws::sns:*:*:aws-license-manager-service-*
sns:ListTopics *
ec2:DescribeInstances *
ec2:DescribeImages *
ec2:DescribeHosts *
ssm:ListInventoryEntries *
ssm:GetInventory *
ssm:CreateAssociation *
organizations:ListAWSServiceAccessForOrganization *
organizations:DescribeOrganization *
organizations:ListDelegatedAdministrators *
license-manager:GetServiceSettings *
license-manager:GetLicense* *
license-manager:UpdateLicenseSpecificationsForResource *
license-manager:List* *

でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerServiceRolePolicy.

AWS 管理ポリシー:AWSLicenseManagerMasterAccountRolePolicy

このポリシーは、License Manager がユーザーに代わって中央管理アカウントのライセンス管理を実行する API アクションを呼び出すAWSServiceRoleForAWSLicenseManagerMasterAccountRoleことができるように、 という名前のサービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「License Manager - 管理アカウントのロール」を参照してください。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。

Action リソースARN
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:GetLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:PutLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:GetBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:PutBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:AbortMultipartUpload arn:aws:s3:::aws-license-manager-service-*
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
s3:GetObject arn:aws:s3:::aws-license-manager-service-*
s3:ListBucketMultipartUploads arn:aws:s3:::aws-license-manager-service-*
s3:ListMultipartUploadParts arn:aws:s3:::aws-license-manager-service-*
s3:DeleteObject arn:aws:s3:::aws-license-manager-service-*/resource-sync/*
athena:GetQueryExecution *
athena:GetQueryResults *
athena:StartQueryExecution *
glue:GetTable *
glue:GetPartition *
glue:GetPartitions *
glue:CreateTable 脚注 ¹ を参照してください。
glue:UpdateTable 脚注 ¹ を参照してください。
glue:DeleteTable 脚注 ¹ を参照してください。
glue:UpdateJob 脚注 ¹ を参照してください。
glue:UpdateCrawler 脚注 ¹ を参照してください。
organizations:DescribeOrganization *
organizations:ListAccounts *
organizations:DescribeAccount *
organizations:ListChildren *
organizations:ListParents *
organizations:ListAccountsForParent *
organizations:ListRoots *
organizations:ListAWSServiceAccessForOrganization *
ram:GetResourceShares *
ram:GetResourceShareAssociations *
ram:TagResource *
ram:CreateResourceShare *
ram:AssociateResourceShare *
ram:DisassociateResourceShare *
ram:UpdateResourceShare *
ram:DeleteResourceShare *
resource-groups:PutGroupPolicy *
iam:GetRole *
iam:PassRole arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole*
cloudformation:UpdateStack arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:CreateStack arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:DeleteStack arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:DescribeStacks arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*

1 AWS Glue アクションに定義されているリソースは次のとおりです。

  • arn:aws:glue:*:*:catalog

  • arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler

  • arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob

  • arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*

  • arn:aws:glue:*:*:table/license_manager_resource_sync/*

  • arn:aws:glue:*:*:database/license_manager_resource_inventory_db

  • arn:aws:glue:*:*:database/license_manager_resource_sync

でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerMasterAccountRolePolicy.

AWS 管理ポリシー:AWSLicenseManagerMemberAccountRolePolicy

このポリシーは、License Manager がユーザーに代わって設定された管理アカウントからライセンス管理の API アクションを呼び出すAWSServiceRoleForAWSLicenseManagerMemberAccountRoleことができるように、 という名前のサービスにリンクされたロールにアタッチされます。詳細については、「License Manager - メンバーアカウントロール」を参照してください。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。

Action リソースARN
license-manager:UpdateLicenseSpecificationsForResource *
license-manager:GetLicenseConfiguration *
ssm:ListInventoryEntries *
ssm:GetInventory *
ssm:CreateAssociation *
ssm:CreateResourceDataSync *
ssm:DeleteResourceDataSync *
ssm:ListResourceDataSync *
ssm:ListAssociations *
ram:AcceptResourceShareInvitation *
ram:GetResourceShareInvitations *

でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerMemberAccountRolePolicy.

AWS 管理ポリシー:AWSLicenseManagerConsumptionPolicy

IAM ID にAWSLicenseManagerConsumptionPolicyポリシーをアタッチできます。このポリシーは、ライセンスの使用に必要な License Manager API アクションへのアクセスを許可するアクセス許可を付与します。詳細については、「License Manager で販売者が発行したライセンスの使用」を参照してください。

このポリシーのアクセス許可を表示するには、「」を参照してください。 AWSLicenseManagerConsumptionPolicy 「」を参照してください AWS Management Console。

AWS 管理ポリシー:AWSLicenseManagerUserSubscriptionsServiceRolePolicy

このポリシーは、License Manager が API アクションを呼び出してユーザーベースのサブスクリプションリソースを管理できるように、AWSServiceRoleForAWSLicenseManagerUserSubscriptionsServiceポリシーという名前のサービスにリンクされたロールにアタッチされます。詳細については、「License Manager - ユーザーベースのサブスクリプションロール」を参照してください。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。

Action リソースARN
ds:DescribeDirectories *
ds:GetAuthorizedApplicationDetails *
EC2:CreateTags arn:aws:ec2:*:*:instance/* ¹
EC2:DescribeInstances *
EC2:DescribeNetworkInterfaces *
EC2:DescribeSecurityGroupRules *
EC2:DescribeSubnets *
EC2:DescribeVpcPeeringConnections *
EC2:TerminateInstances arn:aws:ec2:*:*:instance/* ¹
route53:GetHostedZone *
route53:ListResourceRecordSets *
secretsmanager:GetSecretValue arn:aws:secretsmanager:*:*:secret:license-manager-user-*
ssm:DescribeInstanceInformation *
ssm:GetCommandInvocation *
ssm:GetInventory *
ssm:ListCommandInvocations *
ssm:SendCommand arn:aws:ssm:*::document/AWS-RunPowerShellScript 2

arn:aws:ec2:*:*:instance/* ²

¹ License Manager は、製品コード bz0vcy31ooqlzk5tsash4r1ik77yzkpa7kvee1y1tt7wnsdwoc、または d44g89hc0gp9jdzm99rznthpw のインスタンスでのみタグを作成および終了できます。

2 License Manager は、タグ名が でAWSLicenseManager値が のインスタンスでのみ、 AWS-RunPowerShellScriptドキュメントを使用して SSM Run Command を実行できますUserSubscriptions

でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerUserSubscriptionsServiceRolePolicy.

AWS 管理ポリシー:AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy

このポリシーは、License Manager が API アクションを呼び出して Linux サブスクリプションリソースを管理できるように、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsServiceポリシーという名前のサービスにリンクされたロールにアタッチされます。詳細については、「license-manager - Linux サブスクリプションロール」を参照してください。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。

Action 条件 リソース
ec2:DescribeInstances 該当なし *
ec2:DescribeRegions 該当なし *
organizations:DescribeOrganization 該当なし *
organizations:ListAccounts 該当なし *
organizations:DescribeAccount 該当なし *
organizations:ListChildren 該当なし *
organizations:ListParents 該当なし *
organizations:ListAccountsForParent 該当なし *
organizations:ListRoots 該当なし *
organizations:ListAWSServiceAccessForOrganization 該当なし *
organizations:ListDelegatedAdministrators 該当なし *
secretsmanager:GetSecretValue

StringEquals:

「aws:ResourceTag/LicenseManagerLinuxSubscriptions」:「enabled

「aws:ResourceAccount」:「${aws:PrincipalAccount}

 arn:aws:secretsmanager:*:*:secret:*
kms:Decrypt

StringEquals:

"aws:ResourceTag/LicenseManagerLinuxSubscriptions": "enabled",

「aws:ResourceAccount」:「${aws:PrincipalAccount}

StringLike:

「kms:ViaService」: [「secretsmanager.*.amazonaws.com」〕

 arn:aws:kms:*:*:key/*

でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy.

License Manager の AWS マネージドポリシーの更新

License Manager の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。

変更 説明 日付
AWSLicenseManagerUserSubscriptionsServiceRolePolicy - 既存ポリシーへの更新 License Manager は、ライセンスと Active Directory データを管理するために、Route 53 からのルート情報の取得、Amazon EC2 からのネットワーク情報とセキュリティグループルールの取得、Secrets Manager からのシークレットの取得のアクセス許可を追加しました。 2024 年 11 月 7 日
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – 既存ポリシーへの更新 License Manager は、自分のライセンス使用 (BYOL) サブスクリプションのシークレットを保存および取得し AWS Secrets Manager、 AWS KMS キーを使用してアクセストークンシークレットを復号するアクセス許可を追加しました。 2024 年 5 月 22 日
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy - 新しいポリシー License Manager が、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService という名前のサービスリンクロールを作成する権限を追加しました。このロールは、 AWS Organizations および Amazon EC2 リソースを一覧表示するアクセス許可を License Manager に付与します。 2022 年 12 月 21 日
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 既存ポリシーへの更新 License Manager が ec2:DescribeVpcPeeringConnections 権限を追加しました。 2022 年 11 月 28 日
AWSLicenseManagerUserSubscriptionsServiceRolePolicy - 新しいポリシー License Manager が、AWSLicenseManagerUserSubscriptionsServiceRolePolicy という名前のサービスリンクロールを作成する権限を追加しました。このロールは、リソースの一覧表示 AWS Directory Service 、Systems Manager 機能の使用、ユーザーベースのサブスクリプション用に作成された Amazon EC2 リソースの管理を行うアクセス許可を License Manager に付与します。 2022 年 7 月 18 日
AWSLicenseManagerMasterAccountRolePolicy – 既存ポリシーへの更新 License Manager は、 によって管理されるリソースグループのresource-groups:PutGroupPolicyアクセス許可を追加しました AWS Resource Access Manager。 2022 年 6 月 27 日
AWSLicenseManagerMasterAccountRolePolicy – 既存ポリシーへの更新 License Manager は、 の AWS マネージドポリシーAWSLicenseManagerMasterAccountRolePolicy条件キーを の使用から ram:ResourceTagに変更しましたaws:ResourceTagAWS Resource Access Manager 2021 年 11 月 16 日
AWSLicenseManagerConsumptionPolicy - 新しいポリシー License Manager は、ライセンスを消費する権限を付与する新しいポリシーを追加しました。 2021 年 8 月 11 日
AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 License Manager では、委任された管理者の一覧を表示する許可と、AWSServiceRoleForAWSLicenseManagerMemberAccountRole という名前のサービスリンクロールを作成する権限が追加されていました。 2021年6月16日
AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 License Manegerは、ライセンス設定、ライセンス、権限など、すべてのLicense Maneger リソースを一覧表示する権限を追加しました。 2021年6月15日
AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 License Manager が、AWSServiceRoleForMarketplaceLicenseManagement という名前のサービスリンクロールを作成する権限を追加しました。このロールは、License Manager でライセンスを作成および管理するためのアクセス許可 AWS Marketplace を に付与します。詳細については、AWS Marketplace 購入者ガイドの Service-linked roles for AWS Marketplace を参照してください。 2021年3月9日
License Maneger が変更の追跡を開始 License Maneger が AWS マネージドポリシーの変更の追跡を開始しました。 2021 年 3 月 9 日