As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para AWS License Manager
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
AWS política gerenciada: AWSLicenseManagerServiceRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de AWSServiceRoleForAWSLicenseManagerRole para permitir que o License Manager chame ações da API para gerenciar licenças para você. Para obter mais informações sobre a função vinculada ao serviço, consulte Permissões do principal perfil.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerServiceRolePolicy
AWS política gerenciada: AWSLicenseManagerMasterAccountRolePolicy
Essa política é anexada à função vinculada ao serviço nomeada AWSServiceRoleForAWSLicenseManagerMasterAccountRole para permitir que o License Manager chame ações de API que realizam o gerenciamento de licenças para uma conta de gerenciamento central em seu nome. Para obter mais informações sobre a função vinculada ao serviço, consulte License Manager: perfil da conta de gerenciamento.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
Consulte a nota de rodapé ¹ |
glue:UpdateTable |
Consulte a nota de rodapé ¹ |
glue:DeleteTable |
Consulte a nota de rodapé ¹ |
glue:UpdateJob |
Consulte a nota de rodapé ¹ |
glue:UpdateCrawler |
Consulte a nota de rodapé ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ A seguir estão os recursos definidos para as AWS Glue ações:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerMasterAccountRolePolicy
AWS política gerenciada: AWSLicenseManagerMemberAccountRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de AWSServiceRoleForAWSLicenseManagerMemberAccountRole para permitir que o License Manager chame ações de API para gerenciar licenças de uma conta de gerenciamento para você. Para ter mais informações, consulte License Manager: perfil da conta-membro.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerMemberAccountRolePolicy
AWS política gerenciada: AWSLicenseManagerConsumptionPolicy
É possível anexar a política AWSLicenseManagerConsumptionPolicy a suas identidades do IAM. Essa política concede permissões que permitem acesso às ações da API do License Manager necessárias para consumir licenças. Para ter mais informações, consulte Uso da licença.
Para visualizar as permissões para esta política, consulte AWSLicenseManagerConsumptionPolicy
AWS política gerenciada: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de política da AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService para permitir que o License Manager chame ações de API para gerenciar atributos de licenças baseadas no usuário. Para ter mais informações, consulte License Manager: perfil de assinatura baseado no usuário.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
|---|---|
ds:DescribeDirectories |
* |
ds:GetAuthorizedApplicationDetails |
* |
ec2:CreateTags |
arn:aws:ec2:*:*:instance/* ¹ |
ec2:DescribeInstances |
* |
ec2:DescribeVpcPeeringConnections |
* |
ec2:TerminateInstances |
arn:aws:ec2:*:*:instance/* ¹ |
ssm:DescribeInstanceInformation |
* |
ssm:GetCommandInvocation |
* |
ssm:GetInventory |
* |
ssm:ListCommandInvocations |
* |
ssm:SendCommand |
arn:aws:ssm: *:document/aws-² RunPowerShellScript arn:aws:ec2:*:*:instance/* ² |
¹ O License Manager só pode criar tags e encerrar instâncias que tenham os códigos de produto bz0vcy31ooqlzk5tsash4r1ik
² O License Manager só pode executar um comando SSM Run com o documento do AWS-RunPowerShellScript em instâncias com o nome da tag AWSLicenseManager e um valor de UserSubscriptions.
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS política gerenciada: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de política da AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService para permitir que o License Manager chame ações da API para gerenciar atributos de licenças Linux. Para ter mais informações, consulte License Manager: perfil de assinaturas Linux.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Condições | Recurso |
|---|---|---|
ec2:DescribeInstances |
N/D | * |
ec2:DescribeRegions |
N/D | * |
organizations:DescribeOrganization |
N/D | * |
organizations:ListAccounts |
N/D | * |
organizations:DescribeAccount |
N/D | * |
organizations:ListChildren |
N/D | * |
organizations:ListParents |
N/D | * |
organizations:ListAccountsForParent |
N/D | * |
organizations:ListRoots |
N/D | * |
organizations:ListAWSServiceAccessForOrganization |
N/D | * |
organizations:ListDelegatedAdministrators |
N/D | * |
| gerente de segredos: GetSecretValue |
StringEquals: “aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “ativado” “aws: ResourceAccount “: “$ {aws:PrincipalAccount}” |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: “aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “ativado”, “aws: ResourceAccount “: “$ {aws:PrincipalAccount}”
StringLike: “kms: “: [ViaService“secretsmanager.*.amazonaws.com”] |
arn:aws:kms:*:*:key/* |
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Atualizações do License Manager para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do License Manager desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
|---|---|---|
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou permissões para armazenar e recuperar segredos e usar AWS KMS chaves para descriptografar segredos de AWS Secrets Manager token de acesso para assinaturas Bring Your Own License (BYOL). | 22 de maio de 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – Nova política | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService. Essa função fornece ao License Manager permissão para listar AWS Organizations recursos do Amazon EC2. |
21 de dezembro de 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou a permissão do ec2:DescribeVpcPeeringConnections. |
28 de novembro de 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Nova política | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSLicenseManagerUserSubscriptionsServiceRolePolicy. Essa função fornece ao License Manager permissão para listar AWS Directory Service recursos, utilizar recursos do Systems Manager e gerenciar recursos do Amazon EC2 criados para assinaturas baseadas em usuários. |
18 de julho de 2022 |
| AWSLicenseManagerMasterAccountRolePolicy: atualizar para uma política existente | O License Manager adicionou a resource-groups:PutGroupPolicy permissão para grupos de recursos gerenciados por AWS Resource Access Manager. |
27 de junho de 2022 |
| AWSLicenseManagerMasterAccountRolePolicy: atualizar para uma política existente | O License Manager alterou a chave de AWSLicenseManagerMasterAccountRolePolicy condição da política AWS AWS Resource Access Manager gerenciada de usar ram:ResourceTag paraaws:ResourceTag. |
16 de novembro de 2021 |
| AWSLicenseManagerConsumptionPolicy – Nova política | O License Manager adicionou uma nova política que concede permissões para consumir licenças. | 11 de agosto de 2021 |
| AWSLicenseManagerServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou uma permissão para listar administradores delegados e uma permissão para criar o perfil vinculado ao serviço chamado AWSServiceRoleForAWSLicenseManagerMemberAccountRole. |
16 de junho de 2021 |
| AWSLicenseManagerServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou uma permissão para listar todos os atributos do License Manager, como configurações de licenças, licenças e concessões. | 15 de junho de 2021 |
| AWSLicenseManagerServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSServiceRoleForMarketplaceLicenseManagement. Essa função AWS Marketplace fornece permissões para criar e gerenciar licenças no License Manager. Para obter mais informações, consulte perfis vinculados ao serviço para o AWS Marketplace no Guia do comprador do AWS Marketplace . |
9 de março de 2021 |
| O License Manager começou a rastrear as alterações | O License Manager começou a monitorar as alterações em suas políticas AWS gerenciadas. | 9 de março de 2021 |
