As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS políticas gerenciadas para License Manager
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.
AWS política gerenciada: AWSLicenseManagerServiceRolePolicy
Essa política é anexada à função vinculada ao serviço nomeada AWSServiceRoleForAWSLicenseManagerRole para permitir que o License Manager chame API ações para gerenciar licenças em seu nome. Para obter mais informações sobre a função vinculada ao serviço, consulte Permissões do principal perfil.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Recurso ARN |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerServiceRolePolicy
AWS política gerenciada: AWSLicenseManagerMasterAccountRolePolicy
Essa política é anexada à função vinculada ao serviço chamada AWSServiceRoleForAWSLicenseManagerMasterAccountRole para permitir que o License Manager chame API ações que executam o gerenciamento de licenças para uma conta de gerenciamento central em seu nome. Para obter mais informações sobre a função vinculada ao serviço, consulte License Manager: perfil da conta de gerenciamento.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Recurso ARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
Consulte a nota de rodapé ¹ |
glue:UpdateTable |
Consulte a nota de rodapé ¹ |
glue:DeleteTable |
Consulte a nota de rodapé ¹ |
glue:UpdateJob |
Consulte a nota de rodapé ¹ |
glue:UpdateCrawler |
Consulte a nota de rodapé ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ A seguir estão os recursos definidos para as AWS Glue ações:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerMasterAccountRolePolicy
AWS política gerenciada: AWSLicenseManagerMemberAccountRolePolicy
Essa política é anexada à função vinculada ao serviço chamada AWSServiceRoleForAWSLicenseManagerMemberAccountRole para permitir que o License Manager chame API ações para gerenciamento de licenças a partir de uma conta de gerenciamento configurada em seu nome. Para obter mais informações, consulte License Manager: perfil da conta-membro.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Recurso ARN |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerMemberAccountRolePolicy
AWS política gerenciada: AWSLicenseManagerConsumptionPolicy
Você pode anexar a AWSLicenseManagerConsumptionPolicy política às suas IAM identidades. Essa política concede permissões que permitem acesso às API ações do License Manager necessárias para consumir licenças. Para obter mais informações, consulte Uso da licença emitida pelo vendedor no License Manager.
Para ver as permissões dessa política, consulte AWSLicenseManagerConsumptionPolicy
AWS política gerenciada: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Essa política é anexada à função vinculada ao serviço chamada AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService policy para permitir que o License Manager chame API ações para gerenciar recursos de assinatura baseados no usuário. Para obter mais informações, consulte License Manager: perfil de assinatura baseado no usuário.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Recurso ARN |
|---|---|
| anúncios: DescribeDirectories | * |
| anúncios: GetAuthorizedApplicationDetails | * |
| ec2: CreateTags | arn:aws:ec2:*:*:instance/* ¹ |
| ec2: DescribeInstances | * |
| ec2: DescribeNetworkInterfaces | * |
| ec2: DescribeSecurityGroupRules | * |
| ec2: DescribeSubnets | * |
| ec2: DescribeVpcPeeringConnections | * |
| ec2: TerminateInstances | arn:aws:ec2:*:*:instance/* ¹ |
| rota 53: GetHostedZone | * |
| rota 53: ListResourceRecordSets | * |
| gerente de segredos: GetSecretValue | arn:aws:secretsmanager: *:*:secret: -* license-manager-user |
| sms: DescribeInstanceInformation | * |
| sms: GetCommandInvocation | * |
| sms: GetInventory | * |
| sms: ListCommandInvocations | * |
| sms: SendCommand | arn:aws:ssm: *:document/ - ² AWS RunPowerShellScript arn:aws:ec2:*:*:instance/* ² |
¹ O License Manager só pode criar tags e encerrar instâncias que tenham os códigos de produto bz0vcy31ooqlzk5tsash4r1ik
² O License Manager só pode SSM executar um comando de execução com o AWS-RunPowerShellScript documento em instâncias com o nome da tag AWSLicenseManager e um valor deUserSubscriptions.
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS política gerenciada: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Essa política é anexada à função vinculada ao serviço chamada AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService policy para permitir que o License Manager chame API ações para gerenciar recursos de assinaturas Linux. Para obter mais informações, consulte License Manager: perfil de assinaturas Linux.
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Condições | Recurso |
|---|---|---|
ec2:DescribeInstances |
N/D | * |
ec2:DescribeRegions |
N/D | * |
organizations:DescribeOrganization |
N/D | * |
organizations:ListAccounts |
N/D | * |
organizations:DescribeAccount |
N/D | * |
organizations:ListChildren |
N/D | * |
organizations:ListParents |
N/D | * |
organizations:ListAccountsForParent |
N/D | * |
organizations:ListRoots |
N/D | * |
organizations:ListAWSServiceAccessForOrganization |
N/D | * |
organizations:ListDelegatedAdministrators |
N/D | * |
| gerente de segredos: GetSecretValue |
StringEquals: “aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “ativado” “aws: ResourceAccount “: “$ {aws:PrincipalAccount}” |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: “aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “ativado”, “aws: ResourceAccount “: “$ {aws:PrincipalAccount}”
StringLike: “kms: “: [ViaService“secretsmanager.*.amazonaws.com”] |
arn:aws:kms:*:*:key/* |
Para ver as permissões dessa política no AWS Management Console, consulte AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Atualizações do License Manager para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do License Manager desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
|---|---|---|
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou as seguintes permissões para gerenciar o licenciamento e os dados do Active Directory: obter informações de rota do Route 53, obter informações de rede e regras de grupos de segurança da Amazon EC2 e obter segredos do Secrets Manager. | 7 de novembro de 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou permissões para armazenar e recuperar segredos e usar AWS KMS chaves para descriptografar segredos de AWS Secrets Manager token de acesso para assinaturas Bring Your Own License (). BYOL | 22 de maio de 2024 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – Nova política | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService. Essa função fornece ao License Manager permissão para listar AWS Organizations EC2 recursos da Amazon. |
21 de dezembro de 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou a permissão do ec2:DescribeVpcPeeringConnections. |
28 de novembro de 2022 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – Nova política | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSLicenseManagerUserSubscriptionsServiceRolePolicy. Essa função fornece ao License Manager permissão para listar AWS Directory Service recursos, utilizar os recursos do Systems Manager e gerenciar EC2 recursos da Amazon criados para assinaturas baseadas em usuários. |
18 de julho de 2022 |
| AWSLicenseManagerMasterAccountRolePolicy: atualizar para uma política existente | O License Manager adicionou a resource-groups:PutGroupPolicy permissão para grupos de recursos gerenciados por AWS Resource Access Manager. |
27 de junho de 2022 |
| AWSLicenseManagerMasterAccountRolePolicy: atualizar para uma política existente | O License Manager alterou a chave de AWSLicenseManagerMasterAccountRolePolicy condição da política AWS AWS Resource Access Manager gerenciada de usar ram:ResourceTag paraaws:ResourceTag. |
16 de novembro de 2021 |
| AWSLicenseManagerConsumptionPolicy – Nova política | O License Manager adicionou uma nova política que concede permissões para consumir licenças. | 11 de agosto de 2021 |
| AWSLicenseManagerServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou uma permissão para listar administradores delegados e uma permissão para criar o perfil vinculado ao serviço chamado AWSServiceRoleForAWSLicenseManagerMemberAccountRole. |
16 de junho de 2021 |
| AWSLicenseManagerServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou uma permissão para listar todos os atributos do License Manager, como configurações de licenças, licenças e concessões. | 15 de junho de 2021 |
| AWSLicenseManagerServiceRolePolicy: atualizar para uma política existente | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSServiceRoleForMarketplaceLicenseManagement. Essa função AWS Marketplace fornece permissões para criar e gerenciar licenças no License Manager. Para obter mais informações, consulte perfis vinculados ao serviço para o AWS Marketplace no Guia do comprador do AWS Marketplace . |
9 de março de 2021 |
| O License Manager começou a rastrear as alterações | O License Manager começou a monitorar as alterações em suas políticas AWS gerenciadas. | 9 de março de 2021 |
