必要條件 - AWS License Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必要條件

您必須先在環境中實作下列先決條件,才能建立以使用者為基礎的訂閱。

  • 您必須允許 License Manager 建立服務連結角色,才能加入以使用者 AWS 帳戶 為基礎的訂閱。在 License Manager 主控台的「以使用者為基礎的訂閱」區段中會出現一次提示,您可以在其中同意授與 License Manager 建立所需服務連結角色的權限。授予 License Manager 權限後,您可以選擇 [建立],以建立服務連結角色。如需詳細資訊,請參閱 使用服務連結角色 AWS License Manager

  • 您必須建立一個 AWS Managed Microsoft AD 目錄。 AWS Managed Microsoft AD 不支援已共用的目錄。如需有關建立 AWS Managed Microsoft AD 目錄的詳細資訊,請參閱AWS Directory Service 使用指南AWS Managed Microsoft AD 先決條件和建立 AWS Managed Microsoft AD 目錄。

  • 您必須將使用者與目錄或自我管理的 Active AWS Managed Microsoft AD Directory 建立關聯,才能使用以使用者為基礎的訂閱。

  • 必須設定來自提供使用者訂閱的執行個體或 VPC 端點的輸出網際網路存取,讓您的執行個體與之通訊。 AWS Systems Manager如需詳細資訊,請參AWS Systems Manager 使用者指南中的為 EC2 執行個體設定 Systems Manager

  • License Manager 會建立兩個網路介面,這兩個介面使用佈建您 AWS Managed Microsoft AD 的 VPC 的預設安全性群組。這些介面可用於目錄中所需的服務功能。請確定您的預設安全性群組允許輸出流量到每個網域控制站的網路介面 IPv4 位址,或網域控制站使用的安全性群組。如需詳細資訊,請參閱《AWS Directory Service 管理指南》中的〈建立的內容步驟 1:設定您 AWS Directory Service for Microsoft Active Directory 的虛擬私有雲 (VPC)和〈建立

    佈建程序完成後,您可以將不同的安全性群組與 License Manager 建立的介面相關聯。您選取的安全性群組也必須允許必要的流量傳送至每個網域控制站的網路介面 IPv4 位址或安全性群組。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的使用安全群組

  • 您必須為任何其他 VPC 設定 DNS 轉送至您註冊以使用者為基礎的訂閱的 VPC。 AWS Managed Microsoft AD 您可以使用 Amazon 路線 53 或其他 DNS 服務進行 DNS 轉發。如需詳細資訊,請參閱整合目錄服務的 DNS 解析與 Amazon Route 53 解析器的部落格文章。

  • 如果您使用以使用者為基礎的訂閱來訂閱 Microsoft Office,您必須:

    • 為您的 VPC 擬私人雲端啟用 DNS 主機名稱和 DNS 解析。如需詳細資訊,請參閱檢視和更新 VPC 的 DNS 屬性

    • 確定為向 Microsoft Office 提供以使用者為基礎的訂閱而啟動的執行個體具有通往佈建 VPC 端點之子網路的路由。

    • 為允許輸入 TCP 連接埠 1688 連線的 VPC 端點識別或建立安全群組。當您設定虛擬私有雲設定時,會指定此安全性群組。如需詳細資訊,請參閱使用安全性群組。License Manager 會在設定 VPC 時,將此安全性群組與其代表您建立的 VPC 端點相關聯。如需 VPC 端點的詳細資訊,請參閱指AWS PrivateLink 南中的使用介面 VPC 端點存取 AWS 服務

    • 為啟動的執行個體識別或建立安全性群組,以提供以使用為基礎的訂閱,該訂閱允許來自核准的連線來源輸入 TCP 連接埠 3389 連線。安全性群組也應允許輸出 TCP 連接埠 1688 連線到 VPC 端點。如需詳細資訊,請參閱使用安全性群組

      如果您準備好第一次使用以使用者為基礎的訂閱,請開始使用基於使用者的訂閱完成列出的必要條件,然後參閱。如果您已設定以使用者為基礎的訂閱,而且想要將這些產品新增至您的, AWS Managed Microsoft AD 並為 Microsoft Office 產品設定您的 VPC,請完成列出的先決條件,然後參閱。修改使用者型訂閱的目錄設定

  • 您必須將執行個體設定檔角色附加至提供使用者型訂閱產品的執行個體,以便管理資 AWS Systems Manager源。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔

    警告

    提供以使用者為基礎的訂閱的執行個體必須由 AWS Systems Manager 管理,才能擁有健全狀態。此外,您的執行個體必須能夠啟用其以使用者為基礎的訂閱授權,並在授權啟用後保持合規性。License Manager 會嘗試復原狀況不良的執行個體,但無法恢復正常狀態的執行個體將會終止。如需維持由 Systems Manager 管理的執行個體以及執行個體合規性的疑難排解資訊,請參閱本指南的疑難排解使用者訂閱章節。

  • 若要建立以使用者為基礎的訂閱,您的使用者或角色必須具有下列權限:

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • 若要為 Microsoft Office 產品建立以使用者為基礎的訂閱,您的使用者或角色也必須具有下列其他權限:

    • ec2:CreateVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DescribeSecurityGroups