本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控制对 AWS Marketplace 订阅的访问
AWS IAM Identity Center 帮助您安全地创建或连接员工身份,并集中管理他们对 AWS 账户 和应用程序的访问权限。IAM对于任何规模和类型的组织,推荐使用 Identity Center AWS 进行员工身份验证和授权。有关其他配置指导,请查看AWS安全参考架构。
IAMIdentity Center 提供了一个用户门户 AWS 账户,您的用户可以在其中一处查找和访问其分配的角色、云应用程序和自定义应用程序。IAMIdentity Center 将单点登录访问权限分配给您的连接目录中的用户和群组,并使用权限集来确定他们的访问级别。这将启用临时安全凭证。您可以通过分配特定的 AWS 托管角色来定义他们的 AWS Marketplace 访问级别,以便在整个 AWS 组织中委托 AWS Marketplace 订阅管理。
例如,客户 A 使用附加到角色的 ManagedMarketplace_ViewOnly
策略来通过联合身份验证代入角色。这意味着客户 A 只能在 AWS Marketplace中查看订阅。您可以创建一个具有查看订阅权限的IAM角色,并向客户 A 授予担任此角色的权限。
创建 AWS Marketplace 访问IAM角色
您可以使用IAM角色来委托对 AWS 资源的访问权限。
创建用于分配 AWS Marketplace 权限的IAM角色
-
打开控制IAM台
。 -
在左侧的导航窗格中,选择角色,然后选择创建角色。
-
选择你的 AWS 账户。
-
从添加权限中,选择以下任一策略:
-
要允许只查看订阅(但不能更改)的权限,请选择 AWSMarketplaceRead-only。
-
要允许订阅和取消订阅的权限,请选择 AWSMarketplaceManageSubscriptions。
-
要允许完全控制您的订阅,请选择 AWSMarketplaceFullAccess。
-
-
选择下一步。
-
对于角色名称,为角色输入一个名称。例如,
MarketplaceReadOnly
或者MarketplaceFullAccess
。 然后选择创建角色。有关更多信息,请参阅创建IAM角色。
注意
指定账户的管理员可向该账户中的任何用户授予代入该角色的权限。
重复上述步骤,创建更多具有不同权限集的角色,以便每个用户角色都可以使用具有自定义权限的IAM角色。
您不仅限于此处描述的 AWS 托管策略中的权限。您可以使用IAM创建具有自定义权限的策略,然后将这些策略添加到IAM角色中。有关更多信息,请参阅管理IAM策略和添加IAM身份权限。
AWS 的托管策略 AWS Marketplace
您可以使用 AWS 托管策略来提供基本 AWS Marketplace 权限。然后,对于任何特定方案,您可以创建自己的策略并将其应用到具有方案特定要求的角色。您可以使用以下基本 AWS Marketplace 托管策略来控制谁拥有哪些权限:
-
AWSMarketplaceRead-only
-
AWSMarketplaceManageSubscriptions
-
AWSPrivateMarketplaceRequests
-
AWSPrivateMarketplaceAdminFullAccess
-
AWSMarketplaceFullAccess
AWS Marketplace 还为特定场景提供了专门的托管策略。有关面向 AWS Marketplace 买家的AWS托管政策的完整列表以及他们提供的权限的说明,请参阅AWS 面向 AWS Marketplace 买家的托管政策。
使用 License Manager 的权限
AWS Marketplace 与集成 AWS License Manager ,用于管理和共享您在组织中的账户之间订阅的产品的许可证。要在中查看您的订阅的完整详细信息 AWS Marketplace,用户必须能够列出来自的许可证信息 AWS License Manager。
要确保您的用户拥有查看有关其 AWS Marketplace 产品和订阅的所有数据所需的权限,请添加以下权限:
-
license-manager:ListReceivedLicenses
有关设置权限的更多信息,请参阅《IAM用户指南》中的管理IAM策略。
其他 资源
有关管理IAM角色的更多信息,请参阅《用户指南》中的IAM身份(用户、IAM用户组和角色)。
有关管理IAM权限和策略的更多信息,请参阅《IAM用户指南》中的使用策略控制对 AWS 资源的访问权限。
有关在 Data Exchange 中管理数据产品的IAM权限和策略的更多信息,请参阅《AWSAWS数据交换用户指南》中的 AWS Data Exchang e 中的身份和访问管理。