翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS License Manager の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、 を使用する方が簡単です。 AWS 自分でポリシーを記述するよりも マネージドポリシー。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するには、 AWS マネージドポリシー。これらのポリシーは一般的なユースケースを対象としており、 で利用できます。 AWS アカウント。の詳細については、「」を参照してください。 AWS 管理ポリシーについては、「」を参照してください。 AWSIAM ユーザーガイドの マネージドポリシー。
AWS サービスによるメンテナンスと更新 AWS マネージドポリシー。のアクセス許可は変更できません AWS マネージドポリシー。サービスが にアクセス許可を追加することがある AWS 新機能をサポートする マネージドポリシー。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは を更新する可能性が最も高い AWS 新しい機能が起動されたとき、または新しいオペレーションが利用可能になったときの マネージドポリシー。サービスは からアクセス許可を削除しません AWS マネージドポリシー。ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 AWS は、複数の サービスにまたがる職務機能の マネージドポリシーをサポートします。たとえば、ReadOnlyAccess
AWS 管理ポリシーは、すべての への読み取り専用アクセスを提供します。 AWS サービスとリソース。サービスが新機能を起動すると、 AWS は、新しいオペレーションとリソースの読み取り専用アクセス許可を追加します。職務機能ポリシーのリストと説明については、「」を参照してください。 AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。
AWS マネージドポリシー:AWSLicenseManagerServiceRolePolicy
このポリシーは、License Manager がユーザーに代わってライセンスを管理するAPIアクションを呼び出すAWSServiceRoleForAWSLicenseManagerRole
ことができるように、 という名前のサービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「コアロールのアクセス許可」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
アクション | リソース ARN |
---|---|
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
iam:CreateServiceLinkedRole |
arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListAllMyBuckets |
* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
sns:Publish |
arn:aws::sns:*:*:aws-license-manager-service-* |
sns:ListTopics |
* |
ec2:DescribeInstances |
* |
ec2:DescribeImages |
* |
ec2:DescribeHosts |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
organizations:DescribeOrganization |
* |
organizations:ListDelegatedAdministrators |
* |
license-manager:GetServiceSettings |
* |
license-manager:GetLicense* |
* |
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:List* |
* |
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerServiceRolePolicy
AWS マネージドポリシー:AWSLicenseManagerMasterAccountRolePolicy
このポリシーは、License Manager がユーザーに代わって中央管理アカウントのライセンス管理を実行するAPIアクションを呼び出すAWSServiceRoleForAWSLicenseManagerMasterAccountRole
ことができるように、 という名前のサービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「License Manager - 管理アカウントのロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
アクション | リソース ARN |
---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
脚注 ¹ を参照してください。 |
glue:UpdateTable |
脚注 ¹ を参照してください。 |
glue:DeleteTable |
脚注 ¹ を参照してください。 |
glue:UpdateJob |
脚注 ¹ を参照してください。 |
glue:UpdateCrawler |
脚注 ¹ を参照してください。 |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
1 に定義されているリソースを次に示します。 AWS Glue アクション:
-
arn:aws:glue:*:*:catalog
-
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler
-
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob
-
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*
-
arn:aws:glue:*:*:table/license_manager_resource_sync/*
-
arn:aws:glue:*:*:database/license_manager_resource_inventory_db
-
arn:aws:glue:*:*:database/license_manager_resource_sync
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerMasterAccountRolePolicy
AWS マネージドポリシー:AWSLicenseManagerMemberAccountRolePolicy
このポリシーは、License Manager がユーザーに代わって設定された管理アカウントからライセンス管理のAPIアクションを呼び出すAWSServiceRoleForAWSLicenseManagerMemberAccountRole
ことができるように、 という名前のサービスにリンクされたロールにアタッチされます。詳細については、「License Manager - メンバーアカウントロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
アクション | リソース ARN |
---|---|
license-manager:UpdateLicenseSpecificationsForResource |
* |
license-manager:GetLicenseConfiguration |
* |
ssm:ListInventoryEntries |
* |
ssm:GetInventory |
* |
ssm:CreateAssociation |
* |
ssm:CreateResourceDataSync |
* |
ssm:DeleteResourceDataSync |
* |
ssm:ListResourceDataSync |
* |
ssm:ListAssociations |
* |
ram:AcceptResourceShareInvitation |
* |
ram:GetResourceShareInvitations |
* |
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerMemberAccountRolePolicy
AWS マネージドポリシー:AWSLicenseManagerConsumptionPolicy
IAM ID にAWSLicenseManagerConsumptionPolicy
ポリシーをアタッチできます。このポリシーは、ライセンスの使用に必要な License Manager APIアクションへのアクセスを許可するアクセス許可を付与します。詳細については、「License Manager で販売者が発行したライセンスの使用」を参照してください。
このポリシーのアクセス許可を表示するには、「」を参照してください。 AWSLicenseManagerConsumptionPolicy
AWS マネージドポリシー:AWSLicenseManagerUserSubscriptionsServiceRolePolicy
このポリシーは、License Manager がユーザーベースのサブスクリプションリソースを管理するAPIアクションを呼び出すことができるように、AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService
ポリシーという名前のサービスにリンクされたロールにアタッチされます。詳細については、「License Manager - ユーザーベースのサブスクリプションロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
アクション | リソース ARN |
---|---|
ds:DescribeDirectories |
* |
ds:GetAuthorizedApplicationDetails |
* |
ec2:CreateTags |
arn:aws:ec2:*:*:instance/* ¹ |
ec2:DescribeInstances |
* |
ec2:DescribeVpcPeeringConnections |
* |
ec2:TerminateInstances |
arn:aws:ec2:*:*:instance/* ¹ |
ssm:DescribeInstanceInformation |
* |
ssm:GetCommandInvocation |
* |
ssm:GetInventory |
* |
ssm:ListCommandInvocations |
* |
ssm:SendCommand |
arn:aws:ssm:*::document/AWS-RunPowerShellScript 2 arn:aws:ec2:*:*:instance/* ² |
¹ License Manager は、製品コード bz0vcy31ooqlzk5tsash4r1ik
2 License Manager は、タグ名が でAWSLicenseManager
値が のインスタンスでのみ、 AWS-RunPowerShellScript
ドキュメントを使用して SSM Run Command を実行できますUserSubscriptions
。
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerUserSubscriptionsServiceRolePolicy
AWS マネージドポリシー:AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
このポリシーは、License Manager が Linux サブスクリプションリソースを管理するAPIアクションを呼び出せるように、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService
ポリシーという名前のサービスにリンクされたロールにアタッチされます。詳細については、「license-manager - Linux サブスクリプションロール」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
アクション | 条件 | リソース |
---|---|---|
ec2:DescribeInstances |
該当なし | * |
ec2:DescribeRegions |
該当なし | * |
organizations:DescribeOrganization |
該当なし | * |
organizations:ListAccounts |
該当なし | * |
organizations:DescribeAccount |
該当なし | * |
organizations:ListChildren |
該当なし | * |
organizations:ListParents |
該当なし | * |
organizations:ListAccountsForParent |
該当なし | * |
organizations:ListRoots |
該当なし | * |
organizations:ListAWSServiceAccessForOrganization |
該当なし | * |
organizations:ListDelegatedAdministrators |
該当なし | * |
secretsmanager:GetSecretValue |
StringEquals: 「aws:ResourceTag/LicenseManagerLinuxSubscriptions」:「enabled」 「aws:ResourceAccount」:「${aws:PrincipalAccount}」 |
arn:aws:secretsmanager:*:*:secret:* |
kms:Decrypt |
StringEquals: 「aws:ResourceTag/LicenseManagerLinuxSubscriptions」:「enabled」、 「aws:ResourceAccount」:「${aws:PrincipalAccount}」
StringLike: 「kms:ViaService」: [「secretsmanager.*.amazonaws.com」〕 |
arn:aws:kms:*:*:key/* |
でこのポリシーのアクセス許可を表示するには AWS Management Console、「」を参照してください。 AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
License Manager の への更新 AWS 管理ポリシー
の更新に関する詳細を表示する AWS License Manager の マネージドポリシーは、このサービスがこれらの変更の追跡を開始してからです。
変更 | 説明 | 日付 |
---|---|---|
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy - 既存ポリシーへの更新 | License Maneger がシークレットを保存および取得するアクセス許可を追加 AWS Secrets Manager、および を使用する AWS KMS Bring Your Own License (BYOL) サブスクリプションのアクセストークンシークレットを復号するための キー。 | 2024 年 5 月 22 日 |
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy - 新しいポリシー | License Manager が、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService という名前のサービスリンクロールを作成する権限を追加しました。このロールは、License Manegerに一覧表示するアクセス許可を付与します。 AWS Organizations および Amazon EC2リソース。 |
2022 年 12 月 21 日 |
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 既存ポリシーへの更新 | License Manager が ec2:DescribeVpcPeeringConnections 権限を追加しました。 |
2022 年 11 月 28 日 |
AWSLicenseManagerUserSubscriptionsServiceRolePolicy - 新しいポリシー | License Manager が、AWSLicenseManagerUserSubscriptionsServiceRolePolicy という名前のサービスリンクロールを作成する権限を追加しました。このロールは、License Manegerに一覧表示するアクセス許可を付与します。 AWS Directory Service リソース、Systems Manager の機能を活用して、ユーザーベースのサブスクリプション用に作成された Amazon EC2リソースを管理します。 |
2022 年 7 月 18 日 |
AWSLicenseManagerMasterAccountRolePolicy – 既存ポリシーへの更新 | License Manegerは、 によって管理されるリソースグループのresource-groups:PutGroupPolicy アクセス許可を追加しました AWS Resource Access Manager. |
2022 年 6 月 27 日 |
AWSLicenseManagerMasterAccountRolePolicy – 既存ポリシーへの更新 | License Manager が を変更しました AWS の マネージドポリシーAWSLicenseManagerMasterAccountRolePolicy 条件キー AWS Resource Access Manager から ram:ResourceTag へaws:ResourceTag 。 |
2021 年 11 月 16 日 |
AWSLicenseManagerConsumptionPolicy - 新しいポリシー | License Manager は、ライセンスを消費する権限を付与する新しいポリシーを追加しました。 | 2021 年 8 月 11 日 |
AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 | License Manager では、委任された管理者の一覧を表示する許可と、AWSServiceRoleForAWSLicenseManagerMemberAccountRole という名前のサービスリンクロールを作成する権限が追加されていました。 |
2021年6月16日 |
AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 | License Manegerは、ライセンス設定、ライセンス、権限など、すべてのLicense Maneger リソースを一覧表示する権限を追加しました。 | 2021年6月15日 |
AWSLicenseManagerServiceRolePolicy – 既存ポリシーへの更新 | License Manager が、AWSServiceRoleForMarketplaceLicenseManagement という名前のサービスリンクロールを作成する権限を追加しました。このロールは、 を提供します。 AWS Marketplace License Manager でライセンスを作成および管理するためのアクセス許可を持つ 。詳細については、「 のサービスにリンクされたロール」を参照してください。 AWS Marketplace ()AWS Marketplace 購入者ガイド |
2021年3月9日 |
License Maneger が変更の追跡を開始 | License Manager が への変更の追跡を開始しました AWS マネージドポリシー。 | 2021 年 3 月 9 日 |