License Manager 的身份和访问管理 - AWS License Manager
创建用户、组和角色IAM策略结构为 License Manager 创建IAM策略向用户、组和角色授予权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

License Manager 的身份和访问管理

AWS Identity and Access Management (IAM) 是一项可帮助管理员安全地控制对 AWS 资源的访问的 AWS 服务。IAM管理员控制谁可以通过身份验证(登录)和授权(拥有权限)使用 AWS 资源。IAM您可以使用您的 AWS 账户创建用户和群组。您可以控制用户使用 AWS 资源执行任务所拥有的权限。您无需IAM支付额外费用即可使用。

默认情况下,用户无权管理 License Manager 资源和操作。要允许用户管理 License Manager 资源,必须创建一个明确授予他们权限的IAM策略。

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。有关更多信息,请参阅《IAM用户指南》指南中的策略和权限

创建用户、组和角色

您可以为自己 AWS 账户 创建用户和群组,然后为他们分配所需的权限。作为最佳实践,用户应通过担任IAM角色来获得权限。有关如何为 AWS 账户设置用户和组的更多信息,请参阅 开始使用 License Manager

IAM角色是您可以在自己的账户中创建的具有特定权限的IAM身份。IAM角色与IAM用户的相似之处在于,它是一个 AWS 身份,其权限策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。

IAM策略结构

IAM策略是由一个或多个声明组成的JSON文档。每个语句的结构如下。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

组成语句的各个元素如下:

  • Effect:effect 可以是 AllowDeny。默认情况下,用户无权使用资源和API操作,因此所有请求都将被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

  • 操作API操作是您授予或拒绝权限的特定操作。

  • 资源:受操作影响的资源。某些 License Manager API 操作允许您在策略中加入可由操作创建或修改的特定资源。要在语句中指定资源,您需要使用其 Amazon 资源名称 (ARN)。有关更多信息,请参阅由定义的操作 AWS License Manager

  • 条件:条件是可选的。它们可以用于控制策略生效的时间。有关更多信息,请参阅 AWS License Manager的条件键

为 License Manager 创建IAM策略

在IAM策略声明中,您可以指定任何支持的服务中的任何API操作IAM。License Manager 使用以下前缀作为API操作名称:

  • license-manager:

  • license-manager-user-subscriptions:

  • license-manager-linux-subscriptions:

例如:

  • license-manager:CreateLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager-user-subscriptions:ListIdentityProviders

  • license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

有关可用的 License Manager 的更多信息APIs,请参阅以下API参考资料:

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": ["license-manager:action1", "license-manager:action2"]

您也可以使用通配符指定多项操作。例如,您可以按如下方式指定名称以 “列表” 一词开头的所有 License Manager API 操作:

"Action": "license-manager:List*"

要指定所有 License Manager API 操作,请按如下方式使用* 通配符:

"Action": "license-manager:*"

ISV使用 License Manager 的策略示例

ISVs通过 License Manager 分发许可证需要以下权限:

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

向用户、组和角色授予权限

创建所需的IAM策略后,必须向您的用户、群组和角色授予这些权限。

要提供访问权限,请为您的用户、组或角色添加权限:

  • 中的用户和群组 AWS IAM Identity Center:

    创建权限集合。按照《AWS IAM Identity Center 用户指南》创建权限集的说明进行操作。

  • IAM通过身份提供商管理的用户:

    创建适用于身份联合验证的角色。按照《IAM用户指南》中为第三方身份提供商创建角色(联合)中的说明进行操作。

  • IAM用户:

    • 创建您的用户可以担任的角色。按照《用户指南》为IAM用户创建角色中的IAM说明进行操作。

    • (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《用户指南》中向用户(控制台)添加权限中的IAM说明进行操作。