AWS 受管理的政策 AWS License Manager - AWS License Manager
AWSLicenseManagerServiceRolePolicyAWSLicenseManagerMasterAccountRolePolicyAWSLicenseManagerMemberAccountRolePolicyAWSLicenseManagerConsumptionPolicyAWSLicenseManagerUserSubscriptionsServiceRolePolicyAWSLicenseManagerLinuxSubscriptionsServiceRolePolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管理的政策 AWS License Manager

若要新增使用者、群組和角色的權限,使用 AWS 受管理的原則比自己撰寫原則更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南中的AWS 受管政策

AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。

此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取。當服務啟動新功能時,會為新作業和資源新 AWS 增唯讀權限。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南有關任務職能的AWS 受管政策

AWS 受管理策略:AWSLicenseManagerServiceRolePolicy

此原則會附加至名為的服務連結角色,AWSServiceRoleForAWSLicenseManagerRole以允許 License Manager 呼叫 API 動作以代表您管理授權。如需服務連結角色的詳細資訊,請參閱核心角色的權限

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作 資源 ARN
iam:CreateServiceLinkedRole arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement
iam:CreateServiceLinkedRole arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:ListAllMyBuckets *
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
sns:Publish arn:aws::sns:*:*:aws-license-manager-service-*
sns:ListTopics *
ec2:DescribeInstances *
ec2:DescribeImages *
ec2:DescribeHosts *
ssm:ListInventoryEntries *
ssm:GetInventory *
ssm:CreateAssociation *
organizations:ListAWSServiceAccessForOrganization *
organizations:DescribeOrganization *
organizations:ListDelegatedAdministrators *
license-manager:GetServiceSettings *
license-manager:GetLicense* *
license-manager:UpdateLicenseSpecificationsForResource *
license-manager:List* *

若要在中檢視此原則的權限 AWS Management Console,請參閱AWSLicenseManagerServiceRolePolicy

AWS 受管理策略:AWSLicenseManagerMasterAccountRolePolicy

此原則會附加至名為的服務連結角色,AWSServiceRoleForAWSLicenseManagerMasterAccountRole以允許 License Manager 呼叫 API 動作,以代表您對中央管理帳戶執行授權管理。如需服務連結角色的詳細資訊,請參閱License Manager — 管理帳戶角色

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作 資源 ARN
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:GetLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:PutLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:GetBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:PutBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:AbortMultipartUpload arn:aws:s3:::aws-license-manager-service-*
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
s3:GetObject arn:aws:s3:::aws-license-manager-service-*
s3:ListBucketMultipartUploads arn:aws:s3:::aws-license-manager-service-*
s3:ListMultipartUploadParts arn:aws:s3:::aws-license-manager-service-*
s3:DeleteObject arn:aws:s3:::aws-license-manager-service-*/resource-sync/*
athena:GetQueryExecution *
athena:GetQueryResults *
athena:StartQueryExecution *
glue:GetTable *
glue:GetPartition *
glue:GetPartitions *
glue:CreateTable 請參閱註腳 ¹
glue:UpdateTable 請參閱註腳 ¹
glue:DeleteTable 請參閱註腳 ¹
glue:UpdateJob 請參閱註腳 ¹
glue:UpdateCrawler 請參閱註腳 ¹
organizations:DescribeOrganization *
organizations:ListAccounts *
organizations:DescribeAccount *
organizations:ListChildren *
organizations:ListParents *
organizations:ListAccountsForParent *
organizations:ListRoots *
organizations:ListAWSServiceAccessForOrganization *
ram:GetResourceShares *
ram:GetResourceShareAssociations *
ram:TagResource *
ram:CreateResourceShare *
ram:AssociateResourceShare *
ram:DisassociateResourceShare *
ram:UpdateResourceShare *
ram:DeleteResourceShare *
resource-groups:PutGroupPolicy *
iam:GetRole *
iam:PassRole arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole*
cloudformation:UpdateStack arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:CreateStack arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:DeleteStack arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:DescribeStacks arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*

¹ 以下是針對 AWS Glue 動作定義的資源:

  • arn:aws:glue:*:*:catalog

  • arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler

  • arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob

  • arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*

  • arn:aws:glue:*:*:table/license_manager_resource_sync/*

  • arn:aws:glue:*:*:database/license_manager_resource_inventory_db

  • arn:aws:glue:*:*:database/license_manager_resource_sync

若要在中檢視此原則的權限 AWS Management Console,請參閱AWSLicenseManagerMasterAccountRolePolicy

AWS 受管理策略:AWSLicenseManagerMemberAccountRolePolicy

此原則會附加至名為的服務連結角色,AWSServiceRoleForAWSLicenseManagerMemberAccountRole以允許 License Manager 代表您從已設定的管理帳戶呼叫 API 動作以進行授權管理。如需詳細資訊,請參閱 License Manager — 成員帳戶角色

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作 資源 ARN
license-manager:UpdateLicenseSpecificationsForResource *
license-manager:GetLicenseConfiguration *
ssm:ListInventoryEntries *
ssm:GetInventory *
ssm:CreateAssociation *
ssm:CreateResourceDataSync *
ssm:DeleteResourceDataSync *
ssm:ListResourceDataSync *
ssm:ListAssociations *
ram:AcceptResourceShareInvitation *
ram:GetResourceShareInvitations *

若要在中檢視此原則的權限 AWS Management Console,請參閱AWSLicenseManagerMemberAccountRolePolicy

AWS 受管理策略:AWSLicenseManagerConsumptionPolicy

您可將 AWSLicenseManagerConsumptionPolicy 政策連接到 IAM 身分。此原則授與允許存取使用授權所需的 License Manager API 動作的權限。如需詳細資訊,請參閱 授權使用

若要檢視此政策的許可,請參閱 AWS Management Console中的 AWSLicenseManagerConsumptionPolicy

AWS 受管理策略:AWSLicenseManagerUserSubscriptionsServiceRolePolicy

此原則會附加至名為原AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService則的服務連結角色,以允許 License Manager 呼叫 API 動作來管理以使用者為基礎的訂閱資源。如需詳細資訊,請參閱 License Manager — 使用者型訂閱角色

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作 資源 ARN
ds:DescribeDirectories *
ds:GetAuthorizedApplicationDetails *
ec2:CreateTags ARN:aws:ec2:*:*:實例 /* ¹
ec2:DescribeInstances *
ec2:DescribeVpcPeeringConnections *
ec2:TerminateInstances ARN:aws:ec2:*:*:實例 /* ¹
ssm:DescribeInstanceInformation *
ssm:GetCommandInvocation *
ssm:GetInventory *
ssm:ListCommandInvocations *
ssm:SendCommand ARN:AWS:SSM:*::文檔/AWS-² RunPowerShellScript

ARN:aws:ec2:*:*:實例 /* ²

¹ License Manager 只能在具有產品代碼 bz0vcy31 的執行個體上建立和終止執行個體的標籤,或 d44g89hc0gp9jdzm99rzntpw。

² License Manager 只能在標籤名稱AWSLicenseManager且值為的執行個體上執行AWS-RunPowerShellScript文件的 SSM Run 指令。UserSubscriptions

若要在中檢視此原則的權限 AWS Management Console,請參閱AWSLicenseManagerUserSubscriptionsServiceRolePolicy

AWS 受管理策略:AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy

此原則會附加至名為原AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService則的服務連結角色,以允許 License Manager 呼叫 API 動作來管理 Linux 訂閱資源。如需詳細資訊,請參閱 License Manager — Linux 訂閱角色

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作 條件 資源
ec2:DescribeInstances N/A *
ec2:DescribeRegions N/A *
organizations:DescribeOrganization N/A *
organizations:ListAccounts N/A *
organizations:DescribeAccount N/A *
organizations:ListChildren N/A *
organizations:ListParents N/A *
organizations:ListAccountsForParent N/A *
organizations:ListRoots N/A *
organizations:ListAWSServiceAccessForOrganization N/A *
organizations:ListDelegatedAdministrators N/A *
秘書經理:GetSecretValue

StringEquals:

「aws:ResourceTag/LicenseManagerLinuxSubscriptions「:「已啟用」

「AWS: ResourceAccount「:「$ {AWS:PrincipalAccount}」

 arn:aws:secretsmanager:*:*:secret:*
kms:解密

StringEquals:

「aws:ResourceTag/LicenseManagerLinuxSubscriptions「:「已啟用」,

「AWS: ResourceAccount「:「$ {AWS:PrincipalAccount}」

StringLike:

「公里:ViaService「: [「秘密管理員.

 arn:aws:kms:*:*:key/*

若要在中檢視此原則的權限 AWS Management Console,請參閱AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy

AWS 受管理策略的 License Manager 更新

檢視由於此服務開始追蹤這些變更以來,License Manager 的 AWS 受管理原則更新的詳細資料。

變更 描述 日期
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – 更新現有政策 License Manager 新增了用於儲存和擷取密碼的權限 AWS Secrets Manager,以及使用 AWS KMS 金鑰解密自攜授權 (BYOL) 訂閱的存取權杖密碼。 2024年5月22 日
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – 新政策 License Manager 新增了建立名為AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService的服務連結角色的權限。此角色提供 License Manager 列出 AWS Organizations 和 Amazon EC2 資源的權限。 2022 年 12 月 21 日
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 更新現有政策 License Manager 已新增ec2:DescribeVpcPeeringConnections權限。 2022 年 11 月 28 日
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 新政策 License Manager 新增了建立名為AWSLicenseManagerUserSubscriptionsServiceRolePolicy的服務連結角色的權限。此角色提供 License Manager 權限,以列出 AWS Directory Service 資源、使用 Systems Manager 功能,以及管理針對使用者訂閱建立的 Amazon EC2 資源。 2022 年 7 月 18 日
AWSLicenseManagerMasterAccountRolePolicy – 更新現有政策 License Manager 新增了由管理之資源群組的resource-groups:PutGroupPolicy權限 AWS Resource Access Manager。 2022 年 6 月 27 日
AWSLicenseManagerMasterAccountRolePolicy – 更新現有政策 License Manager 將的 AWS 受管理原則AWSLicenseManagerMasterAccountRolePolicy條件金鑰 AWS Resource Access Manager從使用變更ram:ResourceTagaws:ResourceTag 2021 年 11 月 16 日
AWSLicenseManagerConsumptionPolicy – 新政策 License Manager 新增了授與使用授權之權限的新原則。 2021 年 8 月 11 日
AWSLicenseManagerServiceRolePolicy – 更新現有政策 License Manager 新增了列出委派管理員的權限,以及建立名為AWSServiceRoleForAWSLicenseManagerMemberAccountRole之服務連結角色的權限。 2021 年 6 月 16 日
AWSLicenseManagerServiceRolePolicy – 更新現有政策 License Manager 添加了列出所有 License Manager 資源的權限,例如許可證配置,許可證和授予。 2021 年 6 月 15 日
AWSLicenseManagerServiceRolePolicy – 更新現有政策 License Manager 新增了建立名為AWSServiceRoleForMarketplaceLicenseManagement的服務連結角色的權限。此角色提 AWS Marketplace 供在 License Manager 中建立和管理授權的權限。如需詳細資訊,請參閱 AWS Marketplace 買家指南中的 AWS Marketplace的服務連結角色 2021 年 3 月 9 日
License Manager 開始追蹤變更 License Manager 開始追蹤其 AWS 受管理策略的變更。 2021 年 3 月 9 日