Use assinaturas baseadas no usuário do License Manager para produtos de software compatíveis - AWS License Manager
ConsideraçõesPré-requisitos de assinatura baseada no usuárioAssinaturas de software compatíveisSoftware adicional

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use assinaturas baseadas no usuário do License Manager para produtos de software compatíveis

Com as assinaturas baseadas no usuário AWS License Manager, você pode comprar assinaturas de software licenciado totalmente compatíveis. As licenças são fornecidas pela Amazon e têm uma taxa de assinatura baseada no usuário. EC2 A Amazon fornece Amazon Machine Images (AMIs) pré-configuradas com o software compatível, junto com licenças do Windows Server incluídas na licença. As licenças podem ser usadas sem compromisso de licenciamento de longo prazo.

Para usar assinaturas baseadas em usuário, você associa usuários de AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) ou do seu domínio autogerenciado (local) às instâncias que fornecem EC2 o software. Para disponibilizar seu software licenciado, você deve criar assinaturas baseadas no usuário e associá-las a instâncias iniciadas a partir de instâncias pré-configuradas. AMIs AWS Systems Managerconfigurará e fortalecerá as instâncias incluídas na licença que você executa. Os usuários devem se conectar ao software Remote Desktop para acessar as instâncias que fornecem o software.

Incorrem cobranças para cada usuário e vCPU associados às instâncias incluídas na licença. Os modelos de preços do Amazon EC2 Reserved Instances e do Savings Plan podem ajudar a otimizar seus EC2 custos com a Amazon. Para obter mais informações, consulte Instâncias reservadas no Manual do usuário do Amazon Elastic Compute Cloud. As assinaturas baseadas no usuário são cobradas da primeira metade até o final do mês.

Tópicos

Considerações sobre o uso de assinaturas baseadas em usuário no License Manager

As considerações a seguir se aplicam ao usar assinaturas baseadas em usuário com o License Manager:

  • A AWS Marketplace assinatura do Microsoft Remote Desktop Services (Win Remote Desktop Services SAL) com licença incluída tem uma taxa mensal por usuário, sem rateio.

  • Por padrão, as instâncias que fornecem assinaturas baseadas no usuário oferecem suporte a até duas sessões ativas de usuário por vez. Para habilitar mais de duas sessões de usuário ativas, você pode configurar um Objeto de Política de Grupo (GPO) do Active Directory e definir o modo de licenciamento do Microsoft RDS como. Per User Para obter mais informações, consulte os pré-requisitos para. Configurar o GPO do Active Directory para sessões de usuário remoto mais ativas

  • Quando você cria usuários locais com privilégios de administrador em instâncias que fornecem assinaturas baseadas em usuários, o status de integridade da instância pode mudar para não íntegro. O License Manager pode terminar instâncias que não estejam íntegras devido à não conformidade. Para obter mais informações, consulte Solucionar problemas de não conformidade de uma instância.

  • Quando você configura seu Active Directory com produtos do Microsoft Office, sua VPC deve ter endpoints de VPC provisionados em pelo menos uma sub-rede. Se quiser remover todos os recursos de VPC endpoint criados pelo License Manager, você deve remover qualquer Active Directory que esteja configurado nas configurações do License Manager. Para obter mais informações, consulte Cancelar o registro de um Active Directory nas configurações do License Manager.

  • A chave de tag de AWSLicenseManager com o valor de UserSubscriptions atribuído pelo License Manager às suas instâncias não deve ser alterada nem excluída.

  • Para que o serviço funcione conforme o esperado, as duas interfaces de rede criadas para o License Manager não devem ser alteradas ou excluídas.

  • Os objetos que o License Manager cria na unidade organizacional AWS reservada (OU) do AWS Managed Microsoft AD diretório não devem ser alterados nem excluídos.

  • As instâncias implantadas para assinaturas baseadas no usuário devem ser nós gerenciados por AWS Systems Manager e ingressar no mesmo domínio. Para obter informações sobre como manter as instâncias gerenciadas pelo Systems Manager, consulte a seção Solucionar problemas de assinaturas baseadas em usuário no License Manager deste guia.

  • Para parar de incorrer em cobranças de assinatura para um usuário, você deve desassociar o usuário de todas as instâncias às quais ele está associado. Para obter mais informações, consulte Desassociar usuários de uma instância que fornece assinaturas baseadas no usuário.

Pré-requisitos para criar assinaturas baseadas no usuário no License Manager

Os pré-requisitos a seguir devem estar implementados no ambiente antes que seja possível criar assinaturas baseadas no usuário.

Funções e permissões do IAM

Você deve permitir que o License Manager crie um perfil vinculado ao serviço para integrar as assinaturas da sua Conta da AWS para usuários. No console do License Manager, um prompt aparece nas assinaturas baseadas em usuário se a função ainda não tiver sido criada. Depois de responder à solicitação e concordar em permitir que o License Manager crie a função, escolha Create para continuar. Para obter mais informações, consulte Usando funções vinculadas a serviços para o License Manager.

Para criar assinaturas baseadas no usuário, o usuário ou perfil deve ter as seguintes permissões:

  • Amazon EC2 — Trabalhe com interfaces de rede e sub-redes.

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

  • AWS Directory Service— Administrar Active Directories.

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • Route 53 — Configurar o roteamento.

    • route53:DeleteHealthCheck

    • route53:ChangeResourceRecordSets

    • route53:GetHostedZone

    • route53:ListHostedZonesByName

    • route53:ListHostedZones

    • route53:ListHostedZonesByVPC

    • route53:CreateHostedZone

    • route53:DeleteHostedZone

    • route53:ListResourceRecordSets

    • route53:GetHealthCheckCount

    • route53:AssociateVPCWithHostedZone

Para criar assinaturas baseadas no usuário para produtos do Microsoft Office, o usuário ou perfil também deve ter as permissões adicionais a seguir:

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeSecurityGroups

AWS KMS Política chave para credenciais do Servidor de Licenças

Para usar sua própria chave KMS para criptografar e descriptografar o segredo das credenciais administrativas do Microsoft RDS License Server, você deve anexar uma política à função que você usa para acessar as operações do License Manager. O exemplo a seguir mostra uma política que concede permissão para o Secrets Manager acessar a chave KMS para criptografar e descriptografar o segredo da credencial do Microsoft RDS License Server.

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/RoleName"
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
        },
        "Action": "kms:Decrypt", 
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    }
]
}

Active Directory

Para usar as assinaturas baseadas no usuário do License Manager, você deve criar um Active Directory (AD) que contenha informações do usuário para os usuários do produto de assinatura. Dependendo da sua configuração, você pode usar um AWS Managed Microsoft AD AD ou um AD autogerenciado.

Se você usar diretórios ativos AWS gerenciados e autogerenciados, deverá estabelecer uma relação de confiança bidirecional entre os diretórios. Para obter mais informações, consulte Tutorial: Crie uma relação de confiança entre seu domínio autogerenciado do Active Directory AWS Managed Microsoft AD e o seu no Guia de AWS Directory Service Administração.

nota

As sub-redes configuradas para seu diretório devem ser todas da mesma VPC do seu. Conta da AWS Não há suporte para sub-redes compartilhadas.

AWS Os Active Directórios gerenciados têm as seguintes restrições.

  • Não há suporte para diretórios compartilhados com você.

  • A autenticação multifator não é suportada

Para obter mais informações sobre a criação de um AWS Managed Microsoft AD diretório, consulte os AWS Managed Microsoft AD pré-requisitos e Criar seu AWS Managed Microsoft AD diretório no Guia do AWS Directory Service usuário.

Para associar usuários a AWS Managed Microsoft AD, você deve provisionar usuários em seu AWS Managed Microsoft AD diretório. Para obter mais informações, consulte Gerenciar usuários e grupos no AWS Managed Microsoft AD no Guia de administração AWS Directory Service .

Grupos de segurança

Os grupos de segurança controlam o tráfego de rede que é permitido entrar e sair dos recursos em sua rede. Para garantir que os recursos em seu ambiente de assinatura baseado em usuário possam se comunicar, seus grupos de segurança devem atender aos seguintes critérios.

Grupo de segurança para VPC endpoints

Identifique ou crie um grupo de segurança que permita a conectividade da porta TCP de entrada. 1688 Ao definir suas configurações de VPC, você especificará esse grupo de segurança. Para obter mais informações, consulte Trabalhar com grupos de segurança.

O License Manager associa esse grupo de segurança aos endpoints da VPC que ele cria em seu nome ao configurar a VPC. Para obter mais informações, consulte Acessar um serviço da AWS por meio de um endpoint da VPC de interface no Guia de AWS PrivateLink .

Grupo de segurança para controladores de domínio do Active Directory

Certifique-se de que o grupo de segurança que você usa para seus controladores de domínio do AD permita tráfego de saída para o endereço da interface IPv4 de rede de cada controlador de domínio.

Grupo de segurança para instâncias de assinatura baseadas em usuário

Identifique ou crie um grupo de segurança que permita o seguinte acesso de e para sua instância. Para obter mais informações, consulte Trabalhar com grupos de segurança.

  • Conectividade de porta TCP de entrada de suas fontes de 3389 conexão aprovadas.

  • 1688Conectividade de porta TCP de saída para alcançar os endpoints VPC e se comunicar com eles. AWS Systems Manager

Configuração de rede

O License Manager cria duas interfaces de rede que usam o grupo de segurança padrão da VPC em que a sua AWS Managed Microsoft AD está provisionada. Essas interfaces são usadas para que o serviço interaja com seu diretório. Para obter mais informações, consulte Etapa 2: Registrar seu Active Directory no License Manager e O que é criado no Guia de administração do AWS Directory Service .

Depois que o processo de provisionamento estiver concluído, você poderá associar um grupo de segurança diferente às interfaces criadas pelo License Manager.

Resolução do DNS

O Active Directory que você registrou para assinaturas baseadas em usuário deve ser acessível de qualquer VPCs sub-rede que você tenha definido nas configurações do License Manager. Para garantir que os nós do Active Directory estejam acessíveis, configure a resolução de DNS da seguinte forma:

Instâncias que fornecem produtos de assinatura baseados no usuário

Para que suas instâncias de assinatura baseadas em usuário funcionem conforme o esperado, você deve atender aos seguintes pré-requisitos:

  • Configure um grupo de segurança para suas instâncias conforme descrito emGrupos de segurança.

  • Certifique-se de que as instâncias executadas para fornecer assinaturas baseadas no usuário com o Microsoft Office tenham uma rota para a sub-rede em que os endpoints da VPC estão provisionados.

  • As instâncias que fornecem assinaturas baseadas no usuário devem ser AWS Systems Manager gerenciadas para que tenham um status saudável. Além disso, suas instâncias devem ser capazes de ativar o licenciamento por assinatura baseado no usuário para permanecerem em conformidade após a ativação da licença.

    nota

    O License Manager tentará recuperar instâncias não íntegras, mas as instâncias que não puderem retornar ao status íntegro serão terminadas. Para obter informações sobre solução de problemas sobre como manter as instâncias gerenciadas pelo Systems Manager e sobre a conformidade das instâncias, consulte a seção Solucionar problemas de assinaturas baseadas em usuário no License Manager deste guia.

  • É necessário ter uma função de perfil de instância associada às instâncias que fornecem os produtos de assinatura baseada no usuário que permite que o recurso seja gerenciado pelo AWS Systems Manager. Para obter mais informações, consulte Criar um perfil de instância do IAM para o Systems Manager no Guia do usuário do AWS Systems Manager .

  • Você deve fazer Desassociar usuários de uma instância isso antes de encerrar a instância.

Serviços de desktop remoto da Microsoft

O servidor de licenças do Microsoft Remote Desktop Services requer um usuário administrativo definido no Active Directory associado. Esse usuário deve ser capaz de realizar as seguintes tarefas:

  • Crie uma OU no domínio do Active Directory

  • Instâncias de junção de domínio (criar computador) dentro da OU que é criada

  • Adicionar um objeto de computador a um grupo de servidores de terminal dentro do domínio do Active Directory

  • Tenha controle delegado para objetos de usuário no domínio do Active Directory para ler e gravar no servidor de licenças do Terminal Server, a fim de gerar relatórios do servidor de licenças.

Para saber mais sobre delegação, consulte Delegação de Controle nos Serviços de Domínio Active Directory.

Credenciais administrativas secretas

O License Manager usa AWS Secrets Manager para gerenciar as credenciais necessárias para tarefas de administração de usuários no servidor de licenças do Microsoft Remote Desktop Services. Antes de configurar o servidor de licenças, você deve criar um segredo no Secrets Manager que contenha as credenciais do usuário que executa tarefas de administração de usuários no servidor de licenças. Ao definir as configurações do servidor de licenças, você deve fornecer a ID do segredo que você criou.

nota

Esse deve ser o mesmo usuário que você definiu para a geração do relatório do servidor de licenças do RDS.

Para criar um segredo, siga as instruções detalhadas na página Criar um AWS Secrets Manager segredo no Guia do usuário do Secrets Manager, com as seguintes configurações específicas do License Manager.

Importante

Para usar o segredo, o License Manager depende dos nomes exatos das chaves, do valor do nome de usuário e da chave de criptografia especificados na lista a seguir. O nome secreto deve começar com o seguinte prefixo:license-manager-user-.

Na página Escolher tipo de segredo:

  • Tipo de segredo — Escolha outro tipo de segredo.

  • Pares de chave/valor — especifique os seguintes pares de chaves para armazenar no segredo.

    Nome de usuário

    • Chave: username

    • Valor: Administrator

    Senha

    • Chave: password

    • Valor: The password

  • Chave de criptografia — Para especificar uma chave KMS diferente da aws/secretsmanager chave, você deve anexar uma política à função que você usa para acessar as operações do License Manager. Para obter mais informações, consulte Funções e permissões do IAM.

Na página Configurar segredo:

  • Nome secreto — Especifique um nome para seu segredo que comece com o prefixo que o License Manager usa para identificar segredos de credenciais do servidor de licenças. Por exemplo:

    license-manager-user-admin-credentials

Essas instruções pressupõem que você esteja usando o AWS Management Console para criar seu segredo. O Guia do Usuário do Secrets Manager também inclui instruções detalhadas para outros métodos. Para obter mais informações sobre o Secrets Manager, consulte O que é o Secrets Manager. Para obter informações especificamente relacionadas aos custos, consulte Preços AWS Secrets Manager no Guia do Usuário do Secrets Manager.

Produtos de software compatíveis para assinaturas baseadas em usuário no License Manager

AWS License Manager oferece suporte a assinaturas baseadas em usuário para Microsoft Visual Studio e Microsoft Office. A utilização do software suportado é monitorada pelo License Manager. É necessária uma única assinatura da Licença de Acesso de Assinante dos Serviços de Área de Trabalho Remota (RDS SAL) do Windows Server para que cada usuário acesse uma instância com licença incluída que fornece um produto de assinatura baseada no usuário. Para obter mais informações, consulte Comece com assinaturas baseadas em usuário no License Manager.

Plataformas de sistema operacional (SO) Windows compatíveis

Você pode encontrar Windows AMIs que inclui produtos cobertos pela licença RDS SAL para as seguintes plataformas de sistema operacional Windows:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

Software com suporte para assinaturas baseadas no usuário

O License Manager oferece suporte ao licenciamento baseado no usuário com o software a seguir.

Microsoft Visual Studio

O Microsoft Visual Studio é um ambiente de desenvolvimento integrado (IDE) que permite aos desenvolvedores criar, editar, depurar e publicar aplicativos. O Microsoft Visual Studio fornecido AMIs inclui o AWS Toolkit for .NET Refactoring e o. AWS Toolkit for Visual Studio

Edições com suporte

  • Visual Studio Professional 2022

  • Visual Studio Enterprise 2022

A tabela a seguir detalha os nomes das assinaturas de software e o valor do produto associado usado para as operações da API de assinatura baseada no usuário do License Manager.

Nome da assinatura de software Valor do produto

Visual Studio Enterprise 2022

VISUAL_STUDIO_ENTERPRISE

Visual Studio Professional 2022

VISUAL_STUDIO_PROFESSIONAL

Microsoft Office

O Microsoft Office é uma coleção de software desenvolvida pela Microsoft para vários casos de uso de produtividade, incluindo trabalhar com documentos, planilhas e apresentações de slides.

Edições com suporte

  • Office LTSC Professional Plus 2021

A tabela a seguir detalha os nomes das assinaturas de software e o valor do produto associado usado para as operações da API de assinatura baseada no usuário do License Manager.

Nome da assinatura de software Valor do produto

Office LTSC Professional Plus 2021

OFFICE_PROFESSIONAL_PLUS

Software adicional

É possível instalar software adicional em suas instâncias que não estejam disponíveis como assinaturas baseadas no usuário. Instalações adicionais de software não são monitoradas pelo License Manager. Essas instalações devem ser realizadas usando a conta administrativa do Active Directory. Se você usa um AWS Managed Microsoft AD, a conta administrativa (Admin) é criada por padrão em seu diretório. Para obter mais informações, consulte Conta de administrador no Guia de administração do AWS Directory Service .

Para instalar software adicional com a conta administrativa do Active Directory, você deve:

  • Inscreva a conta administrativa no produto fornecido pela instância.

  • Associe a conta administrativa à instância.

  • Conecte-se à instância usando a conta administrativa para realizar a instalação.

Para obter mais informações, consulte Comece com assinaturas baseadas em usuário no License Manager.