本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS License Manager 的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建IAM客户托管策略以仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅《IAM用户指南》中的AWS 托管策略。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 管理型策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM用户指南》中的工作职能AWS 托管策略。
AWS 托管策略:AWSLicenseManagerServiceRolePolicy
此策略附加AWSServiceRoleForAWSLicenseManagerRole到名为的服务相关角色,允许 License Manager 代表您调用API操作来管理许可证。有关服务相关角色的更多信息,请参阅 核心角色的权限。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| 操作 | 资源 ARN |
|---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
要在中查看此策略的权限 AWS Management Console,请参阅 AWSLicenseManagerServiceRolePolicy
AWS 托管策略:AWSLicenseManagerMasterAccountRolePolicy
此策略附加AWSServiceRoleForAWSLicenseManagerMasterAccountRole到名为的服务相关角色,允许 License Manager 代表您调用对中央管理帐户执行许可证管理的API操作。有关服务相关角色的更多信息,请参阅 License Manager — 管理账户角色。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| 操作 | 资源 ARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
请参阅脚注 ¹ |
glue:UpdateTable |
请参阅脚注 ¹ |
glue:DeleteTable |
请参阅脚注 ¹ |
glue:UpdateJob |
请参阅脚注 ¹ |
glue:UpdateCrawler |
请参阅脚注 ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ 以下是为 AWS Glue 操作定义的资源:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
要在中查看此策略的权限 AWS Management Console,请参阅 AWSLicenseManagerMasterAccountRolePolicy
AWS 托管策略:AWSLicenseManagerMemberAccountRolePolicy
此策略附加AWSServiceRoleForAWSLicenseManagerMemberAccountRole到名为的服务相关角色,允许 License Manager 代表您从已配置的管理账户调用许可证管理API操作。有关更多信息,请参阅 License Manager — 成员账户角色。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| 操作 | 资源 ARN |
|---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
要在中查看此策略的权限 AWS Management Console,请参阅 AWSLicenseManagerMemberAccountRolePolicy
AWS 托管策略:AWSLicenseManagerConsumptionPolicy
您可以将AWSLicenseManagerConsumptionPolicy策略附加到您的IAM身份。此策略授予的权限允许访问使用许可证所需的 License Manager API 操作。有关更多信息,请参阅 卖家在 License Manager 中颁发的许可证使用情况。
要查看此策略的权限,请参阅 AWSLicenseManagerConsumptionPolicy
AWS 托管策略:AWSLicenseManagerUserSubscriptionsServiceRolePolicy
此策略附加到名为策略的服务相关角色,允许 L AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService icense Manager 调用API操作来管理基于用户的订阅资源。有关更多信息,请参阅 License Manager — 基于用户的订阅角色。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| 操作 | 资源 ARN |
|---|---|
| ds: DescribeDirectories | * |
| ds: GetAuthorizedApplicationDetails | * |
| ec2: CreateTags | arn:aws:ec2:*:*:instance/* ¹ |
| ec2: DescribeInstances | * |
| ec2: DescribeNetworkInterfaces | * |
| ec2: DescribeSecurityGroupRules | * |
| ec2: DescribeSubnets | * |
| ec2: DescribeVpcPeeringConnections | * |
| ec2: TerminateInstances | arn:aws:ec2:*:*:instance/* ¹ |
| 53 号公路:GetHostedZone | * |
| 53 号公路:ListResourceRecordSets | * |
| 秘密管理器:GetSecretValue | arn: aws: secretsmanager: *: *: secret:-* license-manager-user |
| ssm:DescribeInstanceInformation | * |
| ssm:GetCommandInvocation | * |
| ssm:GetInventory | * |
| ssm:ListCommandInvocations | * |
| ssm:SendCommand | arn: aws: ssm: *:: document/-² AWS RunPowerShellScript arn:aws:ec2:*:*:instance/* ² |
¹ License Manager 只能在产品代码为 bz0vcy31ooqlzk5tsash4r1ik
² License Manager 只能在标签名称为AWSLicenseManager、值为的实例上使用AWS-RunPowerShellScript文档执行SSM运行命令UserSubscriptions。
要在中查看此策略的权限 AWS Management Console,请参阅 AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS 托管策略:AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
此策略附加到名为策略的服务相关角色中,允许 L AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService icense Manager 调用API操作来管理 Linux 订阅资源。有关更多信息,请参阅 License Manager — Linux 订阅角色。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| 操作 | Conditions | 资源 |
|---|---|---|
ec2:DescribeInstances |
不适用 | * |
ec2:DescribeRegions |
不适用 | * |
organizations:DescribeOrganization |
不适用 | * |
organizations:ListAccounts |
不适用 | * |
organizations:DescribeAccount |
不适用 | * |
organizations:ListChildren |
不适用 | * |
organizations:ListParents |
不适用 | * |
organizations:ListAccountsForParent |
不适用 | * |
organizations:ListRoots |
不适用 | * |
organizations:ListAWSServiceAccessForOrganization |
不适用 | * |
organizations:ListDelegatedAdministrators |
不适用 | * |
| 秘密管理器:GetSecretValue |
StringEquals: “aws:ResourceTag/”: LicenseManagerLinuxSubscriptions “已启用” “aws: ResourceAccount “: “$ {aws:PrincipalAccount}” |
arn:aws:secretsmanager:*:*:secret:* |
| kms:Decrypt |
StringEquals: “aws:ResourceTag/”: LicenseManagerLinuxSubscriptions “已启用”, “aws: ResourceAccount “: “$ {aws:PrincipalAccount}”
StringLike: “kms:”: [ViaService“secretsmanager.*.amazonaws.com”] |
arn:aws:kms:*:*:key/* |
要在中查看此策略的权限 AWS Management Console,请参阅 AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager 更新 AWS 了托管策略
查看自该服务开始跟踪这些更改以来,License Manager AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
|---|---|---|
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 对现有策略的更新 | License Manager 添加了以下权限来管理许可和 Active Directory 数据:从 Route 53 获取路线信息,从亚马逊获取网络信息和安全组规则EC2,以及从 Secrets Manager 获取机密。 | 2024 年 11 月 7 日 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – 更新现有策略 | License Manager 增加了存储和检索密钥的权限 AWS Secrets Manager,以及使用 AWS KMS 密钥解密自带许可证 (BYOL) 订阅的访问令牌密钥的权限。 | 2024 年 5 月 22 日 |
| AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy:新策略 | License Manager 添加了创建名为 AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService 的服务相关角色的权限。此角色提供 License Manager 列出 AWS Organizations 和亚马逊EC2资源的权限。 |
2022 年 12 月 21 日 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 更新现有策略 | License Manager 已添加 ec2:DescribeVpcPeeringConnections 权限。 |
2022 年 11 月 28 日 |
| AWSLicenseManagerUserSubscriptionsServiceRolePolicy:新策略 | License Manager 添加了创建名为 AWSLicenseManagerUserSubscriptionsServiceRolePolicy 的服务相关角色的权限。此角色为 License Manager 提供了列出 AWS Directory Service 资源、使用 Systems Manager 功能和管理为基于用户的订阅创建的 Amazon EC2 资源的权限。 |
2022 年 7 月 18 日 |
| AWSLicenseManagerMasterAccountRolePolicy – 更新现有策略 | License Manager 为管理的资源组添加了resource-groups:PutGroupPolicy权限 AWS Resource Access Manager。 |
2022 年 6 月 27 日 |
| AWSLicenseManagerMasterAccountRolePolicy – 更新现有策略 | License Manager 将的 AWS 托管策略AWSLicenseManagerMasterAccountRolePolicy条件密钥 AWS Resource Access Manager从使用ram:ResourceTag更改为aws:ResourceTag。 |
2021 年 11 月 16 日 |
| AWSLicenseManagerConsumptionPolicy:新策略 | License Manager 添加了一项新策略,该策略授予使用许可证的权限。 | 2021 年 8 月 11 日 |
| AWSLicenseManagerServiceRolePolicy – 更新现有策略 | License Manager 添加了列出委托管理员的权限和创建名为 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 的服务相关角色的权限。 |
2021 年 6 月 16 日 |
| AWSLicenseManagerServiceRolePolicy – 更新现有策略 | License Manager 添加了列出所有 License Manager 资源(例如许可证配置、许可证和授予)的权限。 | 2021 年 6 月 15 日 |
| AWSLicenseManagerServiceRolePolicy – 更新现有策略 | License Manager 添加了创建名为 AWSServiceRoleForMarketplaceLicenseManagement 的服务相关角色的权限。此角色 AWS Marketplace 提供在 License Manager 中创建和管理许可证的权限。有关更多信息,请参阅《AWS Marketplace 买家指南》中的 AWS Marketplace的服务相关角色。 |
2021 年 3 月 9 日 |
| License Manager 开始跟踪更改 | License Manager 开始跟踪其 AWS 托管策略的更改。 | 2021 年 3 月 9 日 |
