Gerenciamento de identidade e acesso para o AWS License Manager

O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda a controlar o acesso aos atributos da AWS de forma segura. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (ter permissões) a usar os atributos da AWS. Com o IAM, é possível criar usuários e grupos na sua conta da AWS. Você controla as permissões que os usuários têm para executar tarefas usando atributos da AWS. Você pode usar o IAM sem custo adicional.

Por padrão, os usuários não têm permissões para usar os atributos e operações do License Manager. Para permitir que os usuários gerenciem atributos do License Manager, crie uma política do IAM que conceda permissões a eles de forma explícita.

Quando você anexa uma política a um usuário ou grupo de usuários, isso concede ou nega aos usuários permissão para realizar as tarefas especificadas nos atributos especificados. Para obter mais informações, consulte Políticas e permissões no Guia do usuário do IAM.

Criar usuários, grupos e perfis

Você pode criar usuários e grupos para sua Conta da AWS e, em seguida, atribuir a eles as permissões necessárias. Como prática recomendada, os usuários devem adquirir as permissões assumindo perfis do IAM. Para obter mais informações sobre como configurar usuários e grupos para a sua Conta da AWS, consulte Começando com AWS License Manager.

Um perfil do IAM é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Um perfil do IAM é semelhante a um usuário do IAM porque é uma identidade da AWS com políticas de permissão que determinam o que ela pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil.

Estrutura da política do IAM

A política do IAM é um documento JSON que consiste em uma ou mais instruções. Cada instrução é estruturada da maneira a seguir.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Existem vários elementos que compõem uma instrução:

• Effect: o efeito pode ser Allow ou Deny. Por padrão, os usuários não têm permissão para usar atributos e operações de API. Portanto, todas as solicitações são negadas. Um allow (permitir) explícito substitui o padrão. Uma deny (negar) explícito substitui todas as permissões.

• Action: a ação é a operação de API específica para a qual você está concedendo ou negando permissão.

• Resource: o atributo afetado pela ação. Algumas operações de API do License Manager permitem que você inclua atributos específicos em sua política que podem ser criados ou modificados pela operação. Para especificar um atributo na instrução, você precisa usar o Nome do recurso da Amazon (ARN). Para obter mais informações, consulte Ações definidas pelo AWS License Manager.

• Condition: condições são opcionais. Elas podem ser usadas para controlar quando a política está em vigor. Para obter mais informações, consulte Uso de chaves de condição do AWS License Manager.

Criar políticas do IAM para o License Manager

Em uma instrução de política do IAM, você pode especificar qualquer operação de API de qualquer serviço que ofereça suporte ao IAM. O License Manager usa os seguintes prefixos com o nome da operação de API:

• license-manager:

• license-manager-user-subscriptions:

• license-manager-linux-subscriptions:

Por exemplo:

• license-manager:CreateLicenseConfiguration

• license-manager:ListLicenseConfigurations

• license-manager-user-subscriptions:ListIdentityProviders

• license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

Para obter mais informações sobre as APIs do License Manager disponíveis, consulte as seguintes referências de API:

• Referência de API do AWS License Manager

• Referência de API de assinaturas de usuários do AWS License Manager

• Referência de API de assinaturas do Linux do AWS License Manager

Para especificar várias operações em uma única instrução, separe-as com vírgulas da seguinte maneira:

"Action": ["license-manager:action1", "license-manager:action2"]

Você também pode especificar várias operações usando caracteres curinga. Por exemplo, você pode especificar todas as operações da API do License Manager cujo nome começa com a palavra List da seguinte maneira:

"Action": "license-manager:List*"

Para especificar todas as operações da API do License Manager, use o asterisco (*) conforme o seguinte:

"Action": "license-manager:*"

Exemplo de política para um ISV que usa o License Manager

Os ISVs que distribuem licenças por meio do License Manager exigem as seguintes permissões:

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

Conceder permissões a usuários, grupos e perfis

Depois de criar as políticas do IAM necessárias, você precisa conceder essas permissões aos seus usuários, grupos e perfis.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

• Usuários e grupos no AWS IAM Identity Center:

  Crie um conjunto de permissões. Siga as instruções em Create a permission set (Criação de um conjunto de permissões) no Guia do usuário do AWS IAM Identity Center.

• Usuários gerenciados no IAM usando um provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.

• Usuários do IAM:

  • Crie um perfil que seu usuário possa assumir. Siga as instruções em Creating a role for an IAM user (Criação de um perfil para um usuário do IAM) no Guia do usuário do IAM.

  • (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.