針對支援的軟體產品使用 License Manager 使用者型訂閱 - AWS License Manager
考量事項使用者型訂閱先決條件支援的軟體訂閱其他軟體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對支援的軟體產品使用 License Manager 使用者型訂閱

使用 中的使用者型訂閱 AWS License Manager,您可以購買完全相容的授權軟體訂閱。授權由 Amazon 提供,並收取每位使用者的訂閱費用。Amazon EC2 提供預先設定的 Amazon Machine Image (AMIs) 與支援的軟體,以及授權包含的 Windows Server 授權。這些授權可以在沒有長期授權承諾的情況下使用。

若要使用使用者型訂閱,請將來自 AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) 或來自自我管理 (內部部署) 網域的使用者與提供軟體的 EC2 執行個體建立關聯。若要提供授權軟體,您必須建立以使用者為基礎的訂閱,並將其與從預先設定的 AMIs執行個體建立關聯。 AWS Systems Manager將設定並強化您啟動的授權包含執行個體。使用者必須與遠端桌面軟體連線,才能存取提供軟體的執行個體。

包含授權之執行個體的每個相關聯使用者和 vCPU 都會產生費用。Amazon EC2 預留執行個體和 Savings Plan 定價模型有助於最佳化 Amazon EC2 成本。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的預留執行個體。以使用者為基礎的訂閱會從上半月開始計費,直到月底為止。

主題

在 License Manager 中使用使用者型訂閱的考量事項

搭配 License Manager 使用使用者型訂閱時,需考量下列事項:

  • 包含授權的 Microsoft 遠端桌面服務 (Win Remote Desktop Services SAL) AWS Marketplace 訂閱,每位使用者每月需支付 費用,不按比例分配。

  • 根據預設,提供以使用者為基礎的訂閱的執行個體一次最多支援兩個作用中的使用者工作階段。若要啟用兩個以上的作用中使用者工作階段,您可以設定 Active Directory 群組政策物件 (GPO),並將 Microsoft RDS 授權模式設定為 Per User。如需詳細資訊,請參閱 的先決條件為更活躍的遠端使用者工作階段設定 Active Directory GPO

  • 當您在提供使用者型訂閱的執行個體上建立具有管理員權限的本機使用者時,執行個體運作狀態可能會變更為運作狀態不佳。License Manager 可以終止不合規運作狀態不佳的執行個體。如需詳細資訊,請參閱對執行個體合規進行故障診斷

  • 當您使用 Microsoft Office 產品設定 Active Directory 時,VPC 必須至少在一個子網路中佈建 VPC 端點。如果您想要移除 License Manager 建立的所有 VPC 端點資源,您必須從 License Manager 設定中移除任何已設定的 Active Directory。如需詳細資訊,請參閱從 License Manager 設定取消註冊 Active Directory

  • AWSLicenseManager 具有 License Manager UserSubscriptions指派給您執行個體之 值的 標籤索引鍵,不得變更或刪除。

  • 為了讓服務如預期般運作,為 License Manager 建立的兩個網路介面不得變更或刪除。

  • License Manager 在 AWS Managed Microsoft AD 目錄AWS 的預留組織單位 (OU) 中建立的物件不得變更或刪除。

  • 針對使用者型訂閱部署的執行個體必須是具有 的受管節點, AWS Systems Manager 並加入相同的網域。如需由 Systems Manager 管理執行個體的相關資訊,請參閱本指南的 對 License Manager 中的使用者型訂閱進行故障診斷一節。

  • 若要停止對使用者產生訂閱費用,您必須取消使用者與其關聯之所有執行個體的關聯。如需詳細資訊,請參閱取消使用者與提供以使用者為基礎的訂閱之執行個體的關聯

在 License Manager 中建立使用者型訂閱的先決條件

您必須先在環境中實作下列先決條件,才能建立以使用者為基礎的訂閱。

IAM 角色和許可

您必須允許 License Manager 建立服務連結角色,才能讓 加入 AWS 帳戶 以使用者為基礎的訂閱。在 License Manager 主控台中,如果尚未建立角色,則以使用者為基礎的訂閱中會出現提示。在您回應提示並同意允許 License Manager 建立角色之後,請選擇建立以繼續。如需詳細資訊,請參閱使用 License Manager 的服務連結角色

若要建立以使用者為基礎的訂閱,您的使用者或角色必須具有下列許可:

  • Amazon EC2 – 使用網路介面和子網路。

    • ec2:CreateNetworkInterface

    • ec2:DeleteNetworkInterface

    • ec2:DescribeNetworkInterfaces

    • ec2:CreateNetworkInterfacePermission

    • ec2:DescribeSubnets

  • AWS Directory Service – 管理作用中目錄。

    • ds:DescribeDirectories

    • ds:AuthorizeApplication

    • ds:UnauthorizeApplication

    • ds:GetAuthorizedApplicationDetails

    • ds:DescribeDomainControllers

  • Route 53 – 設定路由。

    • route53:DeleteHealthCheck

    • route53:ChangeResourceRecordSets

    • route53:GetHostedZone

    • route53:ListHostedZonesByName

    • route53:ListHostedZones

    • route53:ListHostedZonesByVPC

    • route53:CreateHostedZone

    • route53:DeleteHostedZone

    • route53:ListResourceRecordSets

    • route53:GetHealthCheckCount

    • route53:AssociateVPCWithHostedZone

若要為 Microsoft Office 產品建立以使用者為基礎的訂閱,您的使用者或角色也必須具有下列額外許可:

  • ec2:CreateVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeVpcEndpoints

  • ec2:ModifyVpcEndpoint

  • ec2:DescribeSecurityGroups

AWS KMS 授權伺服器憑證的金鑰政策

若要使用您自己的 KMS 金鑰來加密和解密 Microsoft RDS License Server 的管理登入資料秘密,您必須將政策連接至您用來存取 License Manager 操作的角色。下列範例顯示政策,授予 Secrets Manager 存取 KMS 金鑰的許可,以加密和解密 Microsoft RDS License Server 登入資料秘密。

{
"Version": "2012-10-17",
"Id": "key-policy",
"Statement": [
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/RoleName"
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    },
    {
        "Sid": "Enable IAM User Permissions",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/license-manager-user-subscriptions.amazonaws.com/AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService"
        },
        "Action": "kms:Decrypt", 
        "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "Condition": {
            "StringLike": {
                "kms:ViaService": "secretsmanager.*.amazonaws.com"
            }
        }
    }
]
}

Active Directory

若要使用 License Manager 使用者型訂閱,您必須建立 Active Directory (AD),其中包含訂閱產品使用者的使用者資訊。根據您的組態,您可以使用 AWS Managed Microsoft AD或自我管理 AD。

如果您同時使用 AWS 受管和自我管理的 Active Directory,則必須在目錄之間建立雙向樹系信任。如需詳細資訊,請參閱 AWS Directory Service 管理指南中的教學課程:在 AWS Managed Microsoft AD 和自我管理的 Active Directory 網域之間建立信任關係

注意

為您的目錄設定的子網路都必須來自您 的相同 VPC AWS 帳戶。不支援共用子網路。

AWS 受管 Active Directory 有下列限制。

  • 不支援與您共用的目錄。

  • 不支援多重要素驗證

如需建立 AWS Managed Microsoft AD 目錄的詳細資訊,請參閱 AWS Directory Service 使用者指南中的AWS Managed Microsoft AD 先決條件建立 AWS Managed Microsoft AD 目錄

若要將使用者與 建立關聯 AWS Managed Microsoft AD,您必須在 AWS Managed Microsoft AD 目錄中佈建使用者。如需詳細資訊,請參閱《 AWS Directory Service 管理指南》中的管理 中的使用者和群組 AWS Managed Microsoft AD

安全群組

安全群組會控制允許進出您網路上資源的網路流量。為了確保以使用者為基礎的訂閱環境中的資源可以通訊,您的安全群組必須符合下列條件。

VPC 端點的安全群組

識別或建立允許傳入 TCP 連接埠1688連線的安全群組。設定 VPC 設定時,您將指定此安全群組。如需詳細資訊,請參閱使用安全群組

License Manager 會將此安全群組與其在設定 VPC 時代表您建立的 VPC 端點建立關聯。如需 VPC 端點的詳細資訊,請參閱 AWS PrivateLink 指南中的使用界面 VPC 端點存取 AWS 服務

Active Directory 網域控制站的安全群組

請確定您用於 AD 網域控制站的安全群組允許傳出流量到每個網域控制站的網路介面 IPv4 地址。

使用者型訂閱執行個體的安全群組

識別或建立安全群組,以允許下列存取執行個體和從執行個體存取 。如需詳細資訊,請參閱使用安全群組

  • 從核准的連線來源傳入 TCP 連接埠連線。 3389

  • TCP 連接埠1688連線,以到達 VPC 端點並與之通訊 AWS Systems Manager。

網路組態

License Manager 會建立兩個網路介面,這些介面使用 AWS Managed Microsoft AD 佈建您 之 VPC 的預設安全群組。這些界面用於服務與您的目錄互動。如需詳細資訊,請參閱 AWS Directory Service 管理指南中的 步驟 2:在 License Manager 中註冊 Active Directory建立的內容

佈建程序完成後,您可以將不同的安全群組與 License Manager 建立的介面建立關聯。

DNS 解析

您已註冊以使用者為基礎的訂閱的 Active Directory,必須可從您在 License Manager 設定中設定的任何 VPCs 和子網路存取。為確保 Active Directory 節點可存取,請設定 DNS 解析,如下所示:

提供以使用者為基礎的訂閱產品的執行個體

若要讓以使用者為基礎的訂閱執行個體如預期般運作,您必須符合下列先決條件:

  • 如 中所述,為您的執行個體設定安全群組安全群組

  • 確保啟動的執行個體透過 Microsoft Office 提供以使用者為基礎的訂閱,具有路由到佈建 VPC 端點的子網路。

  • 提供以使用者為基礎的訂閱的執行個體必須由 AWS Systems Manager 管理,才能擁有良好狀態。此外,您的執行個體必須能夠啟用其使用者型訂閱授權,以便在授權啟用後保持合規。

    注意

    License Manager 會嘗試復原運作狀態不佳的執行個體,但無法恢復運作狀態的執行個體將會終止。如需保持 Systems Manager 管理執行個體和執行個體合規的疑難排解資訊,請參閱本指南的 對 License Manager 中的使用者型訂閱進行故障診斷一節。

  • 您必須將執行個體描述檔角色連接到提供使用者型訂閱產品的執行個體,允許 資源由 管理 AWS Systems Manager。如需詳細資訊,請參閱《AWS Systems Manager 使用者指南》中的建立 Systems Manager 的 IAM 執行個體設定檔

  • 您必須先取消使用者與執行個體的關聯終止執行個體。

Microsoft 遠端桌面服務

Microsoft Remote Desktop Services 授權伺服器需要相關 Active Directory 中定義的管理使用者。該使用者必須能夠執行下列任務:

  • 在 Active Directory 網域下建立 OU

  • 建立之 OU 內的網域聯結執行個體 (建立電腦)

  • 將電腦物件新增至 Active Directory 網域中的終端機伺服器群組

  • 委派控制 Active Directory 網域中的使用者物件,以讀取和寫入終端機伺服器授權伺服器,以產生授權伺服器報告。

若要進一步了解委派,請參閱 Active Directory Domain Services 中的控制委派

管理登入資料秘密

License Manager 使用 AWS Secrets Manager 來管理 Microsoft Remote Desktop Services 授權伺服器上使用者管理任務所需的登入資料。在設定授權伺服器之前,您必須在 Secrets Manager 中建立秘密,其中包含在授權伺服器上執行使用者管理任務之使用者的登入資料。當您設定授權伺服器設定時,必須提供您建立的秘密 ID。

注意

這必須是您為產生 RDS 授權伺服器報告定義的相同使用者。

若要建立秘密,請遵循 Secrets Manager 使用者指南建立 AWS Secrets Manager 秘密頁面上的詳細說明,以及 License Manager 特有的下列設定。

重要

若要使用秘密, License Manager 取決於確切的金鑰名稱、使用者名稱值,以及下列清單中指定的加密金鑰。秘密名稱必須以下列字首開頭:license-manager-user-

選擇秘密類型頁面上:

  • 秘密類型 – 選擇其他類型的秘密

  • 金鑰/值對 – 指定要存放在秘密中的下列金鑰對。

    使用者名稱

    • 索引鍵:username

    • 值:Administrator

    密碼

    • 索引鍵:password

    • 值:密碼

  • 加密金鑰 – 若要指定金鑰以外的 KMS aws/secretsmanager金鑰,您必須將政策連接至您用來存取 License Manager 操作的角色。如需詳細資訊,請參閱IAM 角色和許可

設定秘密頁面上:

  • 秘密名稱 – 為您的秘密指定名稱,以 License Manager 用來識別授權伺服器登入資料秘密的字首開頭。例如:

    license-manager-user-admin-credentials

這些說明假設您使用 AWS Management Console 來建立秘密。Secrets Manager 使用者指南也包含其他方法的詳細說明。如需 Secrets Manager 的詳細資訊,請參閱什麼是 Secrets Manager。如需與成本特別相關的資訊,請參閱 Secrets Manager 使用者指南中的 定價 AWS Secrets Manager

License Manager 中使用者型訂閱的支援軟體產品

AWS License Manager 支援 Microsoft Visual Studio 和 Microsoft Office 的使用者型訂閱。License Manager 會追蹤支援的軟體使用率。每個使用者都需要 Windows Server 遠端桌面服務訂閱者存取授權 (RDS SAL) 的單一訂閱,才能存取提供使用者型訂閱產品的授權包含執行個體。如需詳細資訊,請參閱License Manager 中的使用者型訂閱入門

支援的 Windows 作業系統 (OS) 平台

您可以找到包含下列 Windows 作業系統平台之 RDS SAL 授權涵蓋之產品的 Windows AMIs:

  • Windows Server 2022

  • Windows Server 2019

  • Windows Server 2016

支援以使用者為基礎的訂閱軟體

License Manager 支援使用下列軟體進行使用者型授權。

Microsoft Visual Studio

Microsoft Visual Studio 是整合式開發環境 (IDE),可讓開發人員建立、編輯、偵錯和發佈應用程式。提供的 Microsoft Visual Studio AMIs 包含 AWS Toolkit for .NET RefactoringAWS Toolkit for Visual Studio

支援的版本

  • Visual Studio Professional 2022

  • Visual Studio Enterprise 2022

下表詳細說明用於 License Manager 使用者型訂閱 API 操作的軟體訂閱名稱及其相關產品值。

軟體訂閱名稱 產品值

Visual Studio Enterprise 2022

VISUAL_STUDIO_ENTERPRISE

Visual Studio Professional 2022

VISUAL_STUDIO_PROFESSIONAL

Microsoft Office

Microsoft Office 是 Microsoft 針對各種生產力使用案例開發的一組軟體,包括使用文件、試算表和投影片簡報。

支援的版本

  • Office LTSC Professional Plus 2021

下表詳細說明用於 License Manager 使用者型訂閱 API 操作的軟體訂閱名稱及其相關產品值。

軟體訂閱名稱 產品值

Office LTSC Professional Plus 2021

OFFICE_PROFESSIONAL_PLUS

其他軟體

您可以在執行個體上安裝無法以使用者為基礎的訂閱的其他軟體。License Manager 不會追蹤其他軟體安裝。這些安裝必須使用 Active Directory 的管理帳戶來執行。如果您使用 AWS Managed Microsoft AD,管理帳戶 (Admin) 會預設為在您的 目錄中建立。如需詳細資訊,請參閱 管理指南中的管理帳戶AWS Directory Service

若要使用 Active Directory 管理帳戶安裝其他軟體,您必須:

  • 將管理帳戶訂閱執行個體提供的產品。

  • 將管理帳戶與執行個體建立關聯。

  • 使用 管理帳戶連線至執行個體以執行安裝。

如需詳細資訊,請參閱License Manager 中的使用者型訂閱入門