License Manager 的身分和存取管理

AWS Identity and Access Management （IAM） 是一種 AWS 服務，可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員會控制誰可以驗證 （登入） 和授權 （具有許可） 使用 AWS 資源。使用 IAM ，您可以在 AWS 您的帳戶下建立使用者和群組。您可以控制使用者使用 AWS 資源執行任務所需的許可。您可以使用 IAM 而無需額外費用。

根據預設，使用者沒有 License Manager 資源和操作的許可。若要允許使用者管理 License Manager 資源，您必須建立明確授予許可IAM的政策。

將政策連接到使用者或使用者群組時，政策會允許或拒絕使用者在特定資源上執行特定任務的許可。如需詳細資訊，請參閱 IAM 使用者指南中的政策和許可。

建立使用者、群組和角色

您可以為 建立使用者和群組， AWS 帳戶 然後指派他們所需的許可。最佳實務是，使用者應擔任IAM角色以取得許可。如需如何設定 使用者和群組的詳細資訊 AWS 帳戶，請參閱 開始使用 License Manager。

IAM 角色是您可以在具有特定許可的帳戶中建立的IAM身分。IAM 角色與 中的IAM使用者類似，因為它是具有許可政策的 AWS 身分，可決定身分在 中可以和不可以做什麼 AWS。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。

IAM 政策結構

IAM 政策是由一或多個陳述式組成的JSON文件。每個陳述式的結構如下所示。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

各種元素組成一個陳述式：

• Effect (效果)：效果 可以是 Allow 或 Deny。根據預設，使用者沒有使用資源和API操作的許可，因此所有請求都會遭到拒絕。明確允許會覆寫預設值。明確拒絕會覆寫任何允許。

• 動作 ：動作是您授予或拒絕許可的特定API操作。

• 資源 ：資源會受到 動作的影響。有些 License Manager API操作可讓您在政策中包含特定資源，這些資源可由操作建立或修改。若要在陳述式中指定資源，您需要使用其 Amazon Resource Name （ARN）。如需詳細資訊，請參閱 定義的動作 AWS License Manager。

• Condition (條件)：條件為選擇性。您可以使用它們來控制何時政策開始生效。如需詳細資訊，請參閱 的條件金鑰 AWS License Manager。

建立 License Manager IAM的政策

在IAM政策陳述式中，您可以從支援 的任何服務指定任何API操作IAM。License Manager 使用下列字首搭配API操作名稱：

• license-manager:

• license-manager-user-subscriptions:

• license-manager-linux-subscriptions:

例如：

• license-manager:CreateLicenseConfiguration

• license-manager:ListLicenseConfigurations

• license-manager-user-subscriptions:ListIdentityProviders

• license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

如需可用 License Manager 的詳細資訊APIs，請參閱下列API參考：

• AWS License Manager API 參考

• AWS License Manager 使用者訂閱API參考

• AWS License Manager Linux 訂閱API參考

若要在單一陳述式中指定多個作業，請用逗號分隔，如下所示：

"Action": ["license-manager:action1", "license-manager:action2"]

您也可以使用萬用字元指定多個作業。例如，您可以指定名稱以 清單一詞開頭的所有 License Manager API操作，如下所示：

"Action": "license-manager:List*"

若要指定所有 License Manager API操作，請使用 * 萬用字元，如下所示：

"Action": "license-manager:*"

ISV 使用 License Manager 的 政策範例

ISVs 透過 License Manager 分發授權需要下列許可：

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

向使用者、群組和角色授予許可

建立所需的IAM政策後，您必須將這些許可授予使用者、群組和角色。

若要提供存取權，請新增權限至您的使用者、群組或角色：

• 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

• IAM 透過身分提供者在 中管理的使用者：

  建立聯合身分的角色。請遵循 IAM 使用者指南 中為第三方身分提供者 （聯合） 建立角色的指示。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 中為IAM使用者建立角色的指示。

  • (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南 中將許可新增至使用者 （主控台） 的指示。