本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对支持的软件产品使用 License Manager 基于用户的订阅
使用基于用户的订阅 AWS License Manager,您可以购买完全合规的许可软件订阅。许可证由 Amazon 提供,按用户收取订阅费。Amazon EC2 提供预配置的亚马逊系统映像 (AMIs) 和支持的软件,以及包含许可证的 Windows 服务器许可证。无需长期许可订阅即可使用此类许可证。
要使用基于用户的订阅,您可以将来自 [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)(AWS Managed Microsoft AD) 或您的自我管理(本地)域的用户与提供软件的 EC2 实例关联起来。要使您的许可软件可用,您必须创建基于用户的订阅,并将其与从预 AMIs配置启动的实例关联起来。 [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)将配置和强化您启动的包含许可证的实例。用户必须连接远程桌面软件才能访问提供该软件的实例。
包含许可证的实例的每个关联用户和 [vCPU](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-optimize-cpu.html) 都会产生费用。Amazon EC2 预留实例和 Savings Plan 定价模式可以帮助优化您的 Amazon EC2 成本。有关更多信息,请参阅 *Amazon Elastic Compute Cloud 用户指南* 中的[预留实例](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-reserved-instances.html)。基于用户的订阅从上半月到月底计费。
**Topics**
+ [在 License Manager 中使用基于用户的订阅的注意事项](#usubs-considerations)
+ [License Manager 中的订阅费用](#usubs-subscription-charges)
+ [在 License Manager 中创建基于用户的订阅的先决条件](#usubs-prerequisites)
+ [License Manager 中支持基于用户的订阅的软件产品](#usubs-software)
+ [Active Directory](#ad-support)
+ [其他软件](#usubs-software-additional)
+ [在 License Manager 中开始使用基于用户的订阅](user-based-subscriptions-getting-started.md)
+ [为更活跃的远程用户会话配置活动目录 GPO](usubs-configure-gpo.md)
+ [开始 AWS License Manager 使用共享跨账户 AWS Managed Microsoft AD](license-cross-account.md)
+ [使用包含许可证的 AMI 启动实例](usubs-launch-instance.md)
+ [使用 RDP 连接到基于用户的订阅实例](user-based-subscriptions-connect.md)
+ [修改微软 Office 订阅的防火墙设置](usubs-modify-firewall.md)
+ [管理 License Manager 基于用户的订阅的订阅用户](usubs-manage-users.md)
+ [从 License Manager 设置中取消注册活动目录](usubs-deregister-ad.md)
+ [对 License Manager 中基于用户的订阅进行故障排除](user-based-subscriptions-troubleshoot.md)
## 在 License Manager 中使用基于用户的订阅的注意事项
在 License Manager 中使用基于用户的订阅时,需要考虑以下注意事项:
+ 包含许可证的 Microsoft 远程桌面服务 (`Win Remote Desktop Services SAL`) 的 AWS Marketplace 订阅按用户每月收费,不按比例分配。
+ 默认情况下,提供基于用户的订阅的实例一次最多支持两个活跃的用户会话。要启用两个以上的活动用户会话,可以配置 Active Directory 组策略对象 (GPO),并将 Microsoft RDS 许可模式设置为。`Per User`有关更多信息,请参阅的先决条件[为更活跃的远程用户会话配置活动目录 GPO](usubs-configure-gpo.md)。
+ 当您在提供基于用户的订阅的实例上创建具有管理员权限的本地用户时,实例的运行状况可能会更改为不健康。License Manager 可以终止因不合规而运行状况不佳的实例。有关更多信息,请参阅[排查实例合规性问题](user-based-subscriptions-troubleshoot.md#user-based-subscriptions-troubleshoot-instance-compliance)。
+ 使用 Microsoft Office 产品配置 Active Directory 时,您的 [VPC 必须至少在一个子网中配置 VPC 终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)。如果要移除由 License Manager 创建的所有 VPC 端点资源,则必须从许可证管理器设置中删除配置的所有 Active Directory。有关更多信息,请参阅 [从 License Manager 设置中取消注册活动目录](usubs-deregister-ad.md)。
+ 不得更改或删除由 License Manager 为您的实例分配的值为 `UserSubscriptions` 的 `AWSLicenseManager` 标签键。
+ 为了使服务按预期运行,不得更改或删除为 License Manager 创建的两个网络接口。
+ 不得更改或删除 License Manager 在 AWS Managed Microsoft AD 目录的**AWS 保留**组织单位 (OU) 中创建的对象。
+ 为基于用户的订阅部署的实例必须是具有 AWS Systems Manager 的托管节点,并且必须加入到同一个域中。有关如何让 Systems Manager 管理您的实例的信息,请参阅本指南的[对 License Manager 中基于用户的订阅进行故障排除](user-based-subscriptions-troubleshoot.md#user-based-subscriptions-troubleshoot-systems-manager-connectivity)章节。
+ 要停止向用户收取 Microsoft Office 或 Visual Studio 订阅费用,必须取消该用户与其关联的所有实例的关联。有关更多信息,请参阅 [取消用户与提供基于 License Manager 用户的订阅的实例的关联](usubs-disassociate-users.md)。
## License Manager 中的订阅费用
License Manager 中的订阅和计费因所使用的订阅产品而异。
**微软 Office 和 Visual Stud**
对于 Microsoft Office 和 Visual Studio 订阅,一旦你取消了用户与提供订阅产品的所有实例的关联,并取消了他们对该产品的订阅,计费就会停止。
**微软远程桌面服务 (RDS) 订阅**
Microsoft RDS 按用户每月计费,其基础是用户订阅和在用户连接到提供订阅产品的实例时从许可证服务器颁发的客户端访问许可 (CAL) 令牌的组合。
### License Manager 中的微软 RDS 账单
Microsoft RDS 计费从活动目录用户通过许可证管理器订阅时开始,到客户端访问许可证 (CAL) 令牌到期后结束,自其颁发之日起 60 天,部分月份不按比例分配。即使您取消订阅用户,计费也会一直持续到令牌到期。
如果已取消订阅的用户在许可证令牌到期后继续登录,他们将自动重新订阅,并且计费将持续到他们再次取消订阅且令牌到期。
同样,如果用户从未订阅,但登录到与许可证服务器关联的实例,License Manager 会自动订阅他们并开始 RDS 计费。计费将持续到他们取消订阅且令牌到期为止。
要在当月底停止为用户计费,必须先将该用户从为许可证服务器配置的 Active Directory 中删除,然后才能取消订阅。
**警告**
如果您移除仍拥有有效的 Microsoft Office 或 Visual Studio 订阅的 Active Directory 用户,则该用户将无法再访问与其关联的实例。
以下示例场景演示 RDS 计费的工作原理。
#### 场景 1:标准订阅和计费
以下场景显示了一组标准操作,这些操作会影响 2024 年 12 月 15 日订阅但从未访问过订阅实例的 Active Directory (AD) 用户的计费。
*操作:*如果用户从未取消订阅,则计费将无限期继续。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 12/15/2024 | 12/15/2024 | -- | 不适用 | -- | -- | -- |
*操作:*用户已于 2025 年 1 月 15 日取消订阅。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 12/15/2024 | 12/15/2024 | -- | 不适用 | `1/15/2025` | `No` | `1/31/2025` |
#### 场景 2:许可证令牌如何影响用户订阅和计费
以下场景显示了许可证令牌过期如何影响 Active Directory (AD) 用户的用户订阅,该用户在 2024 年 9 月 15 日订阅并在同一天登录加入域的订阅产品实例。
*操作:*AD 用户的初始订阅和登录。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
*操作:*同一 AD 用户已于 2024 年 10 月 19 日取消订阅。但是,由于用户未从目录中删除,因此计费将持续到许可证令牌到期的月底。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | `10/19/2024` | -- | `11/30/2024` |
*替代操作:*AD 管理员于 2024 年 10 月 20 日将用户从目录中删除,然后在第二天取消订阅。在这种情况下,计费将在用户从目录中删除的月底停止。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | 10/21/2024 | `10/20/2024` | `10/31/2024` |
#### 场景 3:取消订阅的用户被重新订阅
以下场景显示了许可证令牌已过期的已取消订阅的 Active Directory (AD) 用户在访问已加入域名的订阅产品实例时如何自动重新订阅。
*操作:*AD 用户的初始订阅和登录。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
*操作:*同一 AD 用户已于 2024 年 10 月 19 日取消订阅。但是,由于用户未从目录中删除,因此计费将持续到许可证令牌到期的月底。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 9/15/2024 | 9/15/2024 | 9/15/2024 | 11/15/2024 | `10/19/2024` | -- | `11/30/2024` |
*操作:*同一 AD 用户在之前的许可证令牌到期后但在账单结束之前访问已加入域名的订阅产品实例。计费将一直持续到用户再次取消订阅并且他们的新令牌到期为止。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| `11/20/2024 (re-subscribed)` | `billing continues` | `11/20/2024` | `1/20/2025` | -- | -- | -- |
#### 场景 4:自动订阅实例访问权限
以下场景显示了从未订阅 RDS SAL 的 Active Directory (AD) 用户在登录已加入域的订阅产品实例时如何自动订阅。
*操作:*从未订阅 RDS SAL 的 AD 用户于 2024 年 9 月 15 日登录已加入域名的订阅产品实例,并自动订阅。开始计费,一直持续到用户取消订阅并且他们的新令牌到期。
| AD 用户已订阅 | 开始计费 | CAL 已发布 | CAL 过期 | 用户已取消订阅 | 用户已从 AD 中移除 | 账单结束 |
| --- | --- | --- | --- | --- | --- | --- |
| 2024 年 9 月 15 日(已自动订阅) | 9/15/2024 | 9/15/2024 | 11/15/2024 | -- | -- | -- |
有关 Microsoft RDS 每个用户 CALs 的工作原理的更多信息,请参阅 M *icrosoft Learn* 网站上 “[许可您的远程桌面部署](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license)” 一文中的 “**按用户**” CALs 部分。
## 在 License Manager 中创建基于用户的订阅的先决条件
在创建基于用户的订阅之前,必须在您的环境中实现以下先决条件。
**Contents**
+ [IAM 角色和权限](#usubs-prereq-iam)
+ [AWS KMS 许可证服务器凭据的密钥策略](#usubs-prereq-iam-rdslic)
+ [Active Directory](#usubs-prereq-ad)
+ [安全组](#usubs-prereq-sg)
+ [网络配置](#usubs-prereq-network)
+ [提供基于用户的订阅产品的实例](#usubs-prereq-instance)
+ [微软远程桌面服务](#usubs-prereq-rds)
+ [管理凭证机密](#usubs-prereq-rds-secret)
### IAM 角色和权限
您必须允许 License Manager 创建服务相关角色,才能为基于用户的订阅注册 AWS 账户 。在 License Manager 控制台中,如果角色尚未创建,则在**基于用户的订阅**中会显示一条提示。在您响应提示并同意允许 License Manager 创建角色后,选择 “**创建**” 继续。有关更多信息,请参阅 [在 License Manager 中使用服务相关角色](using-service-linked-roles.md)。
要创建基于用户的订阅,您的用户或角色必须具有以下权限:
+ **Amazon EC2** — 使用网络接口和子网。
+ `ec2:CreateNetworkInterface`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeSubnets`
+ **Directory Service**— 管理活动目录。
+ `ds:DescribeDirectories`
+ `ds:AuthorizeApplication`
+ `ds:UnauthorizeApplication`
+ `ds:GetAuthorizedApplicationDetails`
+ `ds:DescribeDomainControllers`
+ **路由 53**-配置路由。
+ `route53:DeleteHealthCheck`
+ `route53:ChangeResourceRecordSets`
+ `route53:GetHostedZone`
+ `route53:ListHostedZonesByName`
+ `route53:ListHostedZones`
+ `route53:ListHostedZonesByVPC`
+ `route53:CreateHostedZone`
+ `route53:DeleteHostedZone`
+ `route53:ListResourceRecordSets`
+ `route53:GetHealthCheckCount`
+ `route53:AssociateVPCWithHostedZone`
要为 Microsoft Office 产品创建基于用户的订阅,您的用户或角色还必须具有以下额外权限:
+ `ec2:CreateVpcEndpoint`
+ `ec2:DeleteVpcEndpoints`
+ `ec2:DescribeVpcEndpoints`
+ `ec2:ModifyVpcEndpoint`
+ `ec2:DescribeSecurityGroups`
#### AWS KMS 许可证服务器凭据的密钥策略
要使用自己的 KMS 密钥来加密和解密 Microsoft RDS 许可证服务器的管理凭据密钥,必须将策略附加到用于访问许可证管理器操作的角色。以下示例显示了一项策略,该策略授予 Secrets Manager 访问 KMS 密钥以加密和解密 Microsoft RDS 许可证服务器凭据密钥的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-policy",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/RoleName"
},
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com"
}
}
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
},
"Action": "kms:Decrypt",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com"
}
}
}
]
}
```
------
### Active Directory
要使用基于 License Manager 用户的订阅,必须创建一个包含订阅产品用户的用户信息的活动目录 (AD)。根据您的配置,您可以使用自管理 A AWS Managed Microsoft AD D 或自管理 AD。
如果您同时使用 AWS 托管和自行管理的 Active 目录,则必须在目录之间建立双向林信任。有关更多信息,请参阅《管理*指南*》中的[教程:在您 AWS Managed Microsoft AD 和您自行管理的 Active Directory 域之间创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html)。AWS Directory Service
**注意**
为您的目录配置的子网必须全部来自您的同一 VPC。 AWS 账户不支持共享子网。
AWS 托管活动目录具有以下限制。
+ 只有先在主账户中载入目录,然后才能在共享账户中加入该目录,才支持与你共享的目录。
+ 不支持多因素身份验证
**基于标签的过滤器的先决条件**
如果您要在 Active Directory 中使用基于标签的过滤器,则必须先登录该 AWS 资源探索器 服务,如下所示:
1. 在 [https://resource-explorer.console.aws.amazon.com/resource-explorer 上打开资源](https://resource-explorer.console.aws.amazon.com/resource-explorer)管理器控制台。
1. 选择**开启资源管理器**。
1. 在 “**设置资源浏览器**” 页面中,选择一个安装选项,如下所示。
**快速设置**
选择此选项进行基本配置。
**高级设置**
选择此选项进行自定义配置。请确保至少为 Active Directory 所在的区域创建索引。
1. 为**聚合器索引区域选择一个区域**。
1. 选择 “**打开资源管理器**” 以保存您的设置。
1. 在导航窗格中,选择**视图**,然后选择**创建视图**。
**注意**
要显示隐藏的导航窗格,请选择菜单图标(三个水平条)。
1.
1. 在 “**创建视图**” 页面**license-manager-user-subscriptions-view**中,输入**名称**。
1. 验证 “**资源” 筛选器**是否设置为 “**包括所有资源**”。
1. 在 “**其他资源属性”** 部分,确认已选中 “**标签**” 复选框。
1. 选择 “**创建视图**” 完成操作。
有关创建 AWS Managed Microsoft AD 目录的更多信息,请参阅*《AWS Directory Service 用户指南》*中的[AWS Managed Microsoft AD 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_prereqs.html)和[创建您的 AWS Managed Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)。
要将用户与关联 AWS Managed Microsoft AD,您必须在 AWS Managed Microsoft AD 目录中配置用户。有关更多信息,请参阅 *AWS Directory Service 管理指南* 中的[管理 AWS Managed Microsoft AD中的用户和组](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)。
### 安全组
安全组控制允许进出您网络上资源的网络流量。为确保基于用户的订阅环境中的资源可以通信,您的安全组必须满足以下标准。
**VPC 终端节点的安全组**
识别或创建允许**入站** TCP 端口`1688`连接的安全组。在配置 VPC 设置时,您需要指定此安全组。有关更多信息,请参阅[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)。
License Manager 将此安全组与它在配置 VPC 时代表您创建的 VPC 终端节点相关联。有关 VPC 终端节点的更多信息,请参阅 *AWS PrivateLink 指南*中的[使用接口 VPC 终端节点访问 AWS 服务](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
**活动目录域控制器的安全组**
确保用于 AD 域控制器的安全组允许每个域控制器的网络接口 IP 地址的出站流量。此外,域控制器安全组应允许在所有与 Active Directory 相关的端口(包括 TCP 9389)上进行通信。Active Directory Web 服务 (ADWS) 需要端口 9389,Active Directory PowerShell 模块和其他管理工具使用该端口与域控制器通信。
**“注册您的活动目录” 步骤的安全组要求**
在将您的 Active Directory 登录到 License Manager 的过程中,我们在您提供的子网中创建一个网络接口,该接口将标有 VPC 的默认安全组。请确保允许该安全组访问您的 Active Directory 域控制器。入职完成后,可以将其替换为您选择的群组,但仍需要对域控制器的网络访问权限。
**“配置 RDS 许可证服务器” 步骤的安全组要求**
在配置许可证服务器期间,License Manager 会在您提供的子网中创建两个网络接口。这些网络接口会自动使用新创建的安全组进行标记,该安全组包括所有必需的端口配置。确保您的 Active Directory 域控制器安全组允许所有与 Active Directory 相关的端口(包括 TCP 端口 9389) CIDRs 上来自子网的双向流量。Active Directory Web 服务 (ADWS) 需要端口 9389,Active Directory PowerShell 模块和其他管理工具使用该端口与域控制器通信。
**基于用户的订阅实例的安全组**
确定或创建一个安全组,允许以下人员访问和访问您的实例。有关更多信息,请参阅[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups)。
+ 来自您批准的`3389`连接源的@@ **入站** TCP 端口连接。
+ **出站** TCP 端口`1688`连接,用于到达 VPC 终端节点并与之通信 AWS Systems Manager。
### 网络配置
License Manager 会创建两个网络接口,它们使用配置您 AWS Managed Microsoft AD 的 VPC 的默认安全组。这些接口用于服务与您的目录进行交互。有关更多信息,请参阅 *AWS Directory Service 管理指南*中的[第 2 步:在 License Manager 中注册您的活动目录](user-based-subscriptions-getting-started.md#user-based-subscriptions-configure-ad) 和[创建的内容](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)。
配置过程完成后,您可以将不同的安全组关联到 License Manager 创建的接口。
**DNS 解析**
您为基于用户的订阅注册的 Active Directory 必须可以从您在 Lic VPCs ense Manager 设置中配置的任何子网进行访问。为确保 Active Directory 节点可以访问,请按如下方式配置 DNS 解析:
+ 为基于用户的订阅配置 License Manager 设置中配置的 VPCs 和活动目录之间的 DNS 转发。您可以使用 Amazon Route 53 或其他 DNS 服务进行 DNS 转发。有关更多信息,请参阅博客文章[将 Directory Service 的 DNS 解析与 Amazon Route 53 Resolver 集成](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-your-directory-services-dns-resolution-with-amazon-route-53-resolvers/)。
+ 为 VPC 启用 **DNS 主机名**和 **DNS 解析**。有关更多信息,请参阅[查看和更新 VPC 的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)。
### 提供基于用户的订阅产品的实例
要使基于用户的订阅实例按预期运行,您必须满足以下先决条件:
+ 如中所述,为您的实例设置安全组[安全组](#usubs-prereq-sg)。
+ 确保为提供基于用户的 Microsoft Office 订阅而启动的实例有一条通往配置 VPC 终端节点的子网的路由。
+ 提供基于用户的订阅的实例必须由 AWS Systems Manager 管理才能保持正常状态。此外,您的实例必须能够激活其基于用户的订阅许可,以便在许可证激活后保持合规性。
**注意**
License Manager 将尝试恢复运行状况不佳的实例,但无法恢复正常状态的实例将被终止。有关如何让 Systems Manager 管理您的实例以及实例合规性的问题排查信息,请参阅本指南的[对 License Manager 中基于用户的订阅进行故障排除](user-based-subscriptions-troubleshoot.md)章节。
+ 您必须将实例配置文件角色附加到提供基于用户的订阅产品的实例,该产品允许由 AWS Systems Manager管理资源。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的[为 Systems Manager 创建 IAM 实例配置文件](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-profile.html)。
+ 您必须在终止实例[取消用户与实例的关联](usubs-disassociate-users.md)之前。
### 微软远程桌面服务
Microsoft 远程桌面服务许可证服务器需要在关联的 Active Directory 中定义的管理用户。该用户必须能够执行以下任务:
+ 在活动目录域下创建 OU
+ 创建的 OU 内的域加入实例(创建计算机)
+ 将计算机对象添加到 Active Directory 域内的终端服务器组
+ 委托控制 Active Directory 域中的用户对象,以读取和写入终端服务器许可证服务器,以便生成许可证服务器报告。
要了解有关委派的更多信息,请参阅 A [ctive Directory 域服务中的控制授](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/delegation-control-wizard)权。
#### 管理凭证机密
License Manager 用于 AWS Secrets Manager 管理在 Microsoft 远程桌面服务许可证服务器上执行用户管理任务所需的凭据。在设置许可证服务器之前,必须在 Secrets Manager 中创建一个密钥,其中包含在许可证服务器上执行用户管理任务的用户的凭据。配置许可证服务器设置时,必须提供您创建的密钥的 ID。
**注意**
该用户必须与您为生成 RDS 许可证服务器报告所定义的用户相同。
要创建密钥,请按照 Sec [r *ets Manager 用户指南*中创建 AWS Secrets Manager 密钥](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)页面上的详细说明进行操作,并使用以下特定于 License Manager 的设置。
**重要**
要使用该密钥,License Manager 取决于以下列表中指定的确切密钥名称、用户名值和加密密钥。密钥名称必须以以下前缀开头:`license-manager-user-`。
在**选择密钥类型**页面上:
+ **密钥类型**-选择**其他类型的密钥**。
+ **密钥/值对**-指定要存储在密钥中的以下密钥对。
用户名
+ 键:`username`
+ 值:`Administrator`
密码
+ 键:`password`
+ 值:*The password*
+ **加密密钥**-要指定密钥以外的 KMS `aws/secretsmanager` 密钥,必须将策略附加到用于访问 License Manager 操作的角色。有关更多信息,请参阅 [IAM 角色和权限](#usubs-prereq-iam)。
在 “**配置密钥**” 页面上:
+ **密钥名称** — 为您的密钥指定一个名称,该名称以 License Manager 用来识别许可证服务器凭据密钥的前缀开头。例如:
```
license-manager-user-admin-credentials
```
这些说明假设您正在 AWS 管理控制台 使用创建您的密钥。Secrets Manager 用户指南还包括其他方法的详细说明。有关 Secrets Manager 的更多信息,请参阅[什么是 Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/)。有关成本的具体信息,请参阅 S *ecrets Manager 用户指南 AWS Secrets Manager*[中的定价](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html#asm_pricing)。
## License Manager 中支持基于用户的订阅的软件产品
AWS License Manager 支持微软 Visual Studio 和微软 Office 的基于用户的订阅。License Manager 会跟踪支持的软件利用率。每位用户都需要单独订阅 Windows Server 远程桌面服务订阅用户访问许可证 (RDS SAL),才能访问包含许可证的实例,该实例提供基于用户的订阅产品。有关更多信息,请参阅 [在 License Manager 中开始使用基于用户的订阅](user-based-subscriptions-getting-started.md)。
**支持的 Windows 操作系统 (OS) 平台**
你可以找到 AMIs 包含以下 Windows 操作系统平台的 RDS SAL 许可证所涵盖产品的 Windows:
+ Windows Server 2025
+ Windows Server 2022
+ Windows Server 2019
### 支持基于用户的订阅的软件
**Contents**
+ [Microsoft Visual Studio](#user-subs-visual-studio)
+ [Microsoft Office](#user-subs-ms-office)
#### Microsoft Visual Studio
Microsoft Visual Studio 是一个集成式开发环境 (IDE),开发人员能够创建、编辑、调试和发布应用程序。提供的微软 Visual Studio AMIs 包括 [.NET 重构AWS 工具包](https://docs.aws.amazon.com/tk-dotnet-refactoring/latest/userguide/what-is-tk-dotnet-refactoring.html)和。[AWS Toolkit for Visual Studio](https://aws.amazon.com/visualstudio/)
**支持的版本**
+ Visual Studio Professional 2022
+ Visual Studio Enterprise 2022
下表详细说明了用于 License Manager 基于用户的订阅 API 操作的软件订阅名称及其关联产品值。
| 软件订阅名称 | 产品价值 |
| --- | --- |
| Visual Studio Enterprise 2022 | `VISUAL_STUDIO_ENTERPRISE` |
| Visual Studio Professional 2022 | `VISUAL_STUDIO_PROFESSIONAL` |
#### Microsoft Office
Microsoft Office 是微软为各种生产用例开发的一系列软件,包括处理文档、电子表格和幻灯片演示文稿。
**支持的版本**
+ Office LTSC Professional Plus 2021
+ Office LTSC 专业增强版 2024
+ Office LTSC 专业版 Plus 2021 32 位 (x86)
+ Office LTSC 专业版 Plus 2024 32 位 (x86)
+ 2021 年办公室 LTSC 标准
+ Office LTSC 标准 2024
+ Office LTSC 标准 2021 32 位 (x86)
+ Office LTSC 标准 2024 32 位 (x86)
下表详细说明了用于 License Manager 基于用户的订阅 API 操作的软件订阅名称及其关联产品值。
| 软件订阅名称 | 产品价值 |
| --- | --- |
| Office LTSC Professional Plus 2021 | `OFFICE_PROFESSIONAL_PLUS` |
| Office LTSC 专业增强版 2024 | `OFFICE_PROFESSIONAL_PLUS` |
| 2021 年办公室 LTSC 标准 | `OFFICE_STANDARD` |
| Office LTSC 标准 2024 | `OFFICE_STANDARD` |
## Active Directory
License Manager 支持基于用户的微软 Visual Studio、Microsoft Office 和远程桌面服务订阅者访问许可证 (RDS SAL) 的订阅。产品可能支持一个 AWS Managed Microsoft AD 或一个自行管理的活动目录,该目录要么部署在您的 AWS 环境中,要么可以与 AWS 环境中的 VPC 建立网络连接。
下表显示了与基于用户的订阅一起使用时,每种软件产品支持哪些类型的Active Directory:.
| 软件产品 | AWS Managed Microsoft AD | 自管理 AD |
| --- | --- | --- |
| Microsoft Visual Studio | 支持 | 不支持 |
| Microsoft Office | 支持 | 不支持 |
| RDS SAL 产品 | 支持 | 支持 |
## 其他软件
您可以在您的实例上安装其他软件,此类软件不能作为基于用户的订阅提供。License Manager 不会跟踪其他软件的安装。这些安装必须使用您的 Active Directory 的管理帐户来执行。如果您使用 AWS Managed Microsoft AD,则默认情况下,将在您的目录中创建管理员帐户(管理员)。有关更多信息,请参阅 *Directory Service 管理指南*中的[管理员帐户](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_admin_account.html)。
要使用 Active Directory 管理帐户安装其他软件,您必须:
+ 使用管理账户订阅实例提供的产品。
+ 将管理账户与实例关联。
+ 使用管理帐户连接到实例以执行安装。
有关更多信息,请参阅 [在 License Manager 中开始使用基于用户的订阅](user-based-subscriptions-getting-started.md)。