ライセンスマネージャ-管理アカウントの役割 - AWS License Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ライセンスマネージャ-管理アカウントの役割

License Manager では、ライセンス管理を実行するには、サービスリンクされたロールが必要です。

管理アカウントロールのアクセス許可

サービスにリンクされたロールAWSservicerOreforライセンスマネージャーマスターアカウントロールLicense Manager がAWSリソースを使用して、ユーザーに代わって集中管理アカウントのライセンス管理アクションを管理します。

-AWSservicerOreforライセンスマネージャーマスターアカウントロールサービスにリンクされたロールは、license-manager.master-account.amazonaws.comサービスで、ロールを引き受ける必要があります。

ロールのアクセス許可ポリシーは、License Managerが次のアクションを指定されたリソースで完了することを許可します。

アクション リソース ARN
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:GetLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:PutLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:GetBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:PutBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:AbortMultipartUpload arn:aws:s3:::aws-license-manager-service-*
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
s3:GetObject arn:aws:s3:::aws-license-manager-service-*
s3:ListBucketMultipartUploads arn:aws:s3:::aws-license-manager-service-*
s3:ListMultipartUploadParts arn:aws:s3:::aws-license-manager-service-*
s3:DeleteObject arn:aws:s3:::aws-license-manager-service-*/resource-sync/*
athena:GetQueryExecution *
athena:GetQueryResults *
athena:StartQueryExecution *
glue:GetTable *
glue:GetPartition *
glue:GetPartitions *
organizations:DescribeOrganization *
organizations:ListAccounts *
organizations:DescribeAccount *
organizations:ListChildren *
organizations:ListParents *
organizations:ListAccountsForParent *
organizations:ListRoots *
organizations:ListAWSServiceAccessForOrganization *
ram:GetResourceShares *
ram:GetResourceShareAssociations *
ram:TagResource *
ram:CreateResourceShare *
ram:AssociateResourceShare *
ram:DisassociateResourceShare *
ram:UpdateResourceShare *
ram:DeleteResourceShare *
iam:GetRole *
iam:PassRole arn: aws: iam። *: role/licenseManagerServiceRole*
cloudformation:UpdateStack arn: aws: cloudformation: *: stack/licenseManagercrossAccountcloudDiscoveryStack/*
cloudformation:CreateStack arn: aws: cloudformation: *: stack/licenseManagercrossAccountcloudDiscoveryStack/*
cloudformation:DeleteStack arn: aws: cloudformation: *: stack/licenseManagercrossAccountcloudDiscoveryStack/*
cloudformation:DescribeStacks arn: aws: cloudformation: *: stack/licenseManagercrossAccountcloudDiscoveryStack/*
glue:CreateTable 「」を参照。
glue:UpdateTable 「」を参照。
glue:DeleteTable 「」を参照。
glue:UpdateJob 「」を参照。
glue:UpdateCrawler 「」を参照。

† 以下に、AWS Glueアクション:

  • arn:aws:glue:*:*:catalog

  • arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler

  • arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob

  • arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*

  • arn:aws:glue:*:*:table/license_manager_resource_sync/*

  • arn:aws:glue:*:*:database/license_manager_resource_inventory_db

  • arn:aws:glue:*:*:database/license_manager_resource_sync

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの許可」を参照してください。

管理アカウントのサービスにリンクされたロールの作成

サービスにリンクされたこのロールを手動で作成する必要はありません。クロスアカウントライセンス管理をAWS Management Consoleサービスにリンクされたロールは、License Managerで自動的に作成されます。

注記

License Managerでクロスアカウントサポートを利用するには、AWS Organizations。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。

IAM コンソールを使用することもできます。AWS CLI、IAM API を使用して、サービスにリンクされたロールを手動で作成することができます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの作成」を参照してください。

重要

このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。2017 年 1 月 1 日以前に License Manager を使用していた場合、サービスにリンクされたロールのサポートが開始された時点で、ライセンスマネージャがAWSservicerOreforライセンスマネージャーマスターアカウントロールアカウントで。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

License Manager コンソールを使用して、サービスにリンクされたこのロールを作成できます。

サービスにリンクされたロールを作成するには

  1. License Manager コンソール () を開きます。https://console.aws.amazon.com/license-manager/

  2. [Settings]、[Edit] を選択します。

  3. 選択リンクAWS Organizationsアカウント

  4. [Apply] を選択します。

IAM コンソールを使用して、サービスにリンクされたロールを作成することもできます。License Manager— 管理アカウントのユースケース。または、AWS CLIまたはAWSAPI を使用するには、IAM を使用して、license-manager.master-account.amazonaws.comサービス名。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの作成」を参照してください。

このサービスにリンクされたロールを削除する場合、同じ IAM プロセスを使用して、もう一度ロールを作成できます。

License Manager のサービスにリンクされたロールを編集する

License Manager では、AWSservicerOreforライセンスマネージャーマスターアカウントロールサービスにリンクされたロール サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

License Manager のサービスにリンクされたロールを削除する

サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、アクティブにモニタリングやメンテナンスがされているエンティティのみが作成されます。ただし、手動で削除する前に、サービスにリンクされたロールをクリーンアップする必要があります。

サービスにリンクされたロールを手動で削除する

IAM コンソールを使用します。AWS CLI, またはAWSAPI を使用してAWSservicerOreforライセンスマネージャーマスターアカウントロールサービスにリンクされたロール 詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。