License Manager 的身分識別與存取管理 - AWS License Manager
建立使用者、群組和角色IAM政策結構建立 IAM License Manager 的策略向使用者、群組和角色授予許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

License Manager 的身分識別與存取管理

AWS Identity and Access Management (IAM) 是 AWS 協助系統管理員安全地控制存取權的服務 AWS 的費用。IAM管理員控制誰可以驗證(登錄)和授權(有權限)使用 AWS 的費用。使用,IAM您可以在您的下面創建用戶和組 AWS 帳戶。您可以控制使用者必須使用的權限來執行工作 AWS 的費用。您可以IAM免費使用。

依預設,使用者沒有 License Manager 資源和作業的權限。若要允許使用者管理 License Manager 資源,您必須建立明確授予他們權限的IAM原則。

將政策連接到使用者或使用者群組時,政策會允許或拒絕使用者在特定資源上執行特定任務的許可。如需詳細資訊,請參閱《IAM使用指南》中的「策略和權限」。

建立使用者、群組和角色

您可以建立使用者和群組 AWS 帳戶 然後為他們分配他們需要的權限。最佳作法是,使用者應透過假設IAM角色來取得權限。如需有關如何設定使用者和群組的詳細資訊 AWS 帳戶,請參閱開始使用 License Manager

IAM角色是您可以在具有特定權限的帳戶中建立的IAM身分。IAM角色與IAM使用者類似,因為它是 AWS 使用權限原則的身分識別身分識別可以執行和不能在中執行的動作 AWS。 但是,角色並非與一個人唯一關聯,而是為了讓任何需要角色的人保證。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。

IAM政策結構

IAM策略是由一個或多個陳述式組成的JSON文件。每個陳述式的結構如下所示。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

各種元素組成了一個聲明:

  • Effect (效果):效果 可以是 AllowDeny。根據預設,使用者沒有使用資源和API作業的權限,因此拒絕所有要求。明確的允許會覆寫預設值。明確拒絕會覆寫任何允許。

  • 作:API作是您授與或拒絕其權限的特定作業。

  • 資源:資源受動作影響。某些 License Manager 作API業可讓您在原則中包含可由作業建立或修改的特定資源。要指定在語句中的資源,你需要使用它的 Amazon 資源名稱(ARN)。如需詳細資訊,請參閱定義的動作 AWS License Manager.

  • Condition (條件):條件為選擇性。您可以使用它們來控制何時政策開始生效。如需詳細資訊,請參閱 AWS License Manager.

建立 IAM License Manager 的策略

在IAM政策聲明中,您可以從支持的任何服務中指定任何API操作IAM。License Manager 會使用下列前置字首與API作業名稱:

  • license-manager:

  • license-manager-user-subscriptions:

  • license-manager-linux-subscriptions:

例如:

  • license-manager:CreateLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager-user-subscriptions:ListIdentityProviders

  • license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

如需有關可用 License Manager 的詳細資訊APIs,請參閱下列API參考資料:

若要在單一陳述式中指定多個作業,請用逗號分隔,如下所示:

"Action": ["license-manager:action1", "license-manager:action2"]

您也可以使用萬用字元指定多個作業。例如,您可以指定名稱以 List 字開頭的所有 License Manager API 作業,如下所示:

"Action": "license-manager:List*"

若要指定所有 License Manager API 作業,請使用 * 萬用字元,如下所示:

"Action": "license-manager:*"

ISV使用 License Manager 的範例原則

ISVs透過 License Manager 散發授權需要下列權限:

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

向使用者、群組和角色授予許可

建立所需的IAM策略後,您必須將這些權限授與使用者、群組和角色。

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 中的使用者和群組 AWS IAM Identity Center:

    建立權限合集。遵循中建立權限集中的指示 AWS IAM Identity Center 使用者指南

  • IAM透過身分識別提供者管理的使用者:

    建立聯合身分的角色。請遵循《使用指南》中的〈為第三方身分識別提供IAM者 (同盟) 建立角色〉中的指示進行。

  • IAM使用者:

    • 建立您的使用者可擔任的角色。請按照《用戶南》中的「為IAM用戶創建角色」中的IAM說明進行操作。

    • (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。遵循《使用者指南》中的「向使用者 (主控台) 新增權限」IAM 中的示進行。