Gestión de identidad y acceso para License Manager - AWS License Manager
Creación de usuarios, grupos y rolesIAMestructura políticaCrear IAM políticas para License ManagerConcesión de permisos a usuarios, grupos y roles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de identidad y acceso para License Manager

AWS Identity and Access Management (IAM) es un AWS servicio que ayuda a un administrador a controlar de forma segura el acceso a AWS recursos. IAMlos administradores controlan quién puede autenticarse (iniciar sesión) y quién está autorizado (tiene permisos) para usarlos AWS recursos. Con IAM usted puede crear usuarios y grupos bajo su AWS account. Usted controla los permisos que tienen los usuarios para realizar tareas mediante AWS recursos. Puede utilizarlos IAM sin cargo adicional.

De forma predeterminada, los usuarios no tienen permisos para los recursos y las operaciones de License Manager. Para permitir a los usuarios administrar los recursos de License Manager, debe crear una IAM política que les conceda permisos de forma explícita.

Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados. Para obtener más información, consulte Políticas y permisos en la guía del IAM usuario.

Creación de usuarios, grupos y roles

Puede crear usuarios y grupos para su Cuenta de AWS y, a continuación, asígneles los permisos que necesiten. Como práctica recomendada, los usuarios deben adquirir los permisos asumiendo IAM funciones. Para obtener más información sobre cómo configurar usuarios y grupos para su Cuenta de AWS, consulte Comience a utilizar License Manager.

Un IAMrol es una IAM identidad que puedes crear en tu cuenta y que tiene permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de estar asociado únicamente a una persona, se pretende que un rol lo pueda asumir cualquier persona que lo necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

IAMestructura política

Una IAM política es un JSON documento que consta de una o más declaraciones. Cada instrucción tiene la estructura siguiente.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Una instrucción está compuesta por varios elementos:

  • Effect: el valor de effect puede ser Allow o Deny. De forma predeterminada, los usuarios no tienen permiso para usar los recursos y API las operaciones, por lo que se deniegan todas las solicitudes. La concesión (allow) de un permiso explícito anula el valor predeterminado. Una denegación explícita (deny) anula cualquier permiso concedido.

  • Acción: la acción es la API operación específica para la que se concede o deniega el permiso.

  • Resource: el recurso al que afecta la acción. Algunas API operaciones de License Manager le permiten incluir recursos específicos en su política que la operación puede crear o modificar. Para especificar un recurso en la declaración, debe usar su nombre de recurso de Amazon (ARN). Para obtener más información, consulte Acciones definidas por AWS License Manager.

  • Condition: las condiciones son opcionales. Se pueden usar para controlar cuándo está en vigor la política. Para obtener más información, consulte Claves de condición para AWS License Manager.

Crear IAM políticas para License Manager

En una declaración de IAM política, puede especificar cualquier API operación de cualquier servicio compatibleIAM. License Manager utiliza los siguientes prefijos con el nombre de la API operación:

  • license-manager:

  • license-manager-user-subscriptions:

  • license-manager-linux-subscriptions:

Por ejemplo:

  • license-manager:CreateLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager-user-subscriptions:ListIdentityProviders

  • license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

Para obtener más información sobre el License Manager disponibleAPIs, consulte las siguientes API referencias:

Para especificar varias operaciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": ["license-manager:action1", "license-manager:action2"]

También puede utilizar caracteres comodín para especificar varias operaciones. Por ejemplo, puede especificar todas las API operaciones de License Manager cuyo nombre comience por la palabra List de la siguiente manera:

"Action": "license-manager:List*"

Para especificar todas las API operaciones del License Manager, utilice el comodín * de la siguiente manera:

"Action": "license-manager:*"

Ejemplo de política para el ISV uso de License Manager

ISVsque distribuyen licencias a través de License Manager requieren los siguientes permisos:

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

Concesión de permisos a usuarios, grupos y roles

Una vez que haya creado las IAM políticas que necesita, debe conceder estos permisos a sus usuarios, grupos y funciones.

Para dar acceso, agregue permisos a los usuarios, grupos o roles: