Usar funções para configurar e lançar produtos no AWS Marketplace - AWS Marketplace
Permissões de função vinculada ao serviço AWS MarketplaceCrie uma função vinculada ao serviço para o AWS MarketplaceEditar uma função vinculada ao serviço para o AWS MarketplaceExcluir uma função vinculada ao serviço para o AWS MarketplaceRegiões suportadas por funções vinculadas ao serviço do AWS Marketplace

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar funções para configurar e lançar produtos no AWS Marketplace

O AWS Marketplace utiliza perfis vinculados a serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS Marketplace. Os perfis vinculados a serviços são predefinidos pelo AWS Marketplace e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do AWS Marketplace porque você não precisa adicionar as permissões necessárias manualmente. AWS Marketplace define as permissões de suas funções vinculadas ao serviço e, a menos que definido de outra forma, somente AWS Marketplace pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros produtos que oferecem suporte às funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Yes (Sim) na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço AWS Marketplace

O AWS Marketplace usa a função vinculada ao serviço chamada AWSServiceRoleForMarketplaceDeployment para permitir que o AWS Marketplace gerencie parâmetros relacionados à implantação, que são armazenados como segredos em AWS Secrets Manager, em seu nome. Esses segredos podem ser referenciados pelos vendedores em modelos do AWS CloudFormation, que você pode iniciar ao configurar produtos que tenham o início rápido ativado no AWS Marketplace.

A função vinculada ao serviço AWSServiceRoleForMarketplaceDeployment confia nos seguintes serviços para assumir a função:

  • deployment.marketplace.amazonaws.com

Use a política de permissões de função chamada AWSMarketplaceDeploymentServiceRolePolicy para permitir que o AWS Marketplace conclua ações em seus recursos.

nota

Para obter mais informações sobre políticas gerenciadas do AWS Marketplace, consulte Políticas gerenciadas pela AWS para compradores do AWS Marketplace.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ManageMarketplaceDeploymentSecrets",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:PutSecretValue",
				"secretsmanager:DescribeSecret",
				"secretsmanager:DeleteSecret",
				"secretsmanager:RemoveRegionsFromReplication"
			],
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:marketplace-deployment*!*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "ListSecrets",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:ListSecrets"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "TagMarketplaceDeploymentSecrets",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:TagResource"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:marketplace-deployment!*",
			"Condition": {
				"Null": {
					"aws:RequestTag/expirationDate": "false"
				},
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"expirationDate"
					]
				},
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para ter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Crie uma função vinculada ao serviço para o AWS Marketplace

A configuração da função vinculada ao serviço é uma ação única que fornece permissões para todos os produtos que têm o início rápido ativado, desde que a função exista.

Ao configurar um produto com o início rápido ativado, o AWS Marketplace detectará se você tem a função vinculada ao serviço necessária criada para sua conta. Se a função estiver faltando, será exibido um prompt para ativar a integração dos parâmetros de implantação do AWS Marketplace, que inclui um botão Habilitar integração. O AWS Marketplace cria a função vinculada ao serviço para você ao selecionar esse botão.

Importante

Essa função vinculada ao serviço aparecerá na sua conta se você tiver configurado anteriormente um produto com o início rápido ativado. Para obter mais informações, consulte Um novo perfil apareceu em minha Conta da AWS.

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Ao abrir a página Configuração de qualquer produto que tenha o início rápido habilitado, você verá o botão Habilitar integração, que pode ser escolhido novamente para recriar a função vinculada ao serviço.

Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso AWS Marketplace: gerenciamento de implantações. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço deployment.marketplace.amazonaws.com. Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço para o AWS Marketplace

O AWS Marketplace não permite que você edite a função vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o AWS Marketplace

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço estiver usando um perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir recursos do AWS Marketplace usados pelo serviço deployment.marketplace.amazonaws.com, você deve excluir todos os segredos relacionados à implantação do marketplace do SecretsManager. Você pode encontrar os segredos relevantes:

  • Como procurar segredos gerenciados pelo marketplace-deployment.

  • Como procurar segredos com a chave aws:secretsmanager:owningService e o valor marketplace-deployment.

  • Como procurar segredos em que o nome secreto é prefixado com marketplace-deployment!.

Excluir o perfil vinculado a serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForMarketplaceDeployment. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões suportadas por funções vinculadas ao serviço do AWS Marketplace

O AWS Marketplace oferece suporte a funções vinculadas a serviços em todas as regiões nas quais o serviço estiver disponível. Para obter mais informações, consulte Endpoints e cotas de AWS Marketplace.