適用於 AWS License Manager 的 Identity and Access Management

AWS Identity and Access Management (IAM) 是一種 AWS 服務，讓管理員能夠安全地控制對 AWS 資源的存取權限。IAM 管理員可以控制「已驗證」(已登入) 和「已授權」 (具有許可) 來使用 AWS 資源。有了 IAM，您可以在AWS帳戶下建立使用者與群組。您可以控制使用者使用 AWS 資源執行任務所具有的許可。您可以免費使用 IAM。

根據預設，使用者不具備 License Manager 資源和操作的許可。若要允許使用者管 License Manager 管理資源，您必須建立一個 IAM 策以明確授予許可。

將政策連接到使用者或使用者群組時，政策會允許或拒絕使用者在特定資源上執行特定任務的許可。如需詳細資訊，請參閱 IAM 使用者指南中的政策和許可。

建立使用者、群組和角色

您可以為 AWS 帳戶 建立使用者和群組，然後為其指派所需的許可。作為最佳實務，使用者應透過擔任 IAM 角色來取得許可。如需有關如何為設定使用者與群組的詳細資訊AWS 帳戶，請參閱開始使用 AWS License Manager。

IAM 角色是您可以在帳戶中建立的另一種 IAM 身分，具有特定的許可。IAM 角色類似於 IAM 使用者，因為同樣是 AWS 身分，也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是，角色的目的是讓需要它的任何人可代入，而不是單獨地與某個人員關聯。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。

IAM 政策

IAM 政策為包含一或多個陳述式的 JSON 文件。每個陳述式的結構如下所示。

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

陳述式由各種元素組成：

• Effect (效果)：效果 可以是 Allow 或 Deny。根據預設， 使用者沒有使用資源和 API 作業的許可，因此所有請求均會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許。

• 動作:動作是您授與或拒絕權限的特定 API 作業。

• 資源：資源受動作影響。有些 LLicense Manager API 操作可讓您在政策中包含可由作建立或修改的特定資源。若要在陳述式中指定資源，您必須使用其 Amazon Resource Name (ARN)。如需詳細資訊，請參閱 AWS License Manager 定義的動作。

• Condition (條件)：條件為選擇性。您可以使用它們來控制何時政策開始生效。如需詳細資訊，請參閱的條件金鑰AWS License Manager。

建立 License Manager 的 IAM 政策

在 IAM 政策陳述式中，您可以從任何支援 IAM 的服務指定任何 API 操作。License Manager 會在 API 作名稱使用下列字首：

• license-manager:

• license-manager-user-subscriptions:

• license-manager-linux-subscriptions:

例如：

• license-manager:CreateLicenseConfiguration

• license-manager:ListLicenseConfigurations

• license-manager-user-subscriptions:ListIdentityProviders

• license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

如需有關可用 License Manager API 的詳細資訊，請參閱下列 API 參考資料：

• AWS License Manager API 參考

• AWS License Manager使用者訂閱 API 參考

• AWS License Manager訂閱 API 參考

若要在單一陳述式中指定多個作業，請用逗號分隔，如下所示：

"Action": ["license-manager:action1", "license-manager:action2"]

您也可以使用萬用字元指定多個作業。例如，您可以指定名稱開頭有 List 文字的所有 License Manager API 操作，如下所示：

"Action": "license-manager:List*"

若要指定所有的 License Manager API 操作，請使用 * 萬用字元，如下所示：

"Action": "license-manager:*"

使用 License Manager 的 ISV 範例原則

透過 License Manager 散發授權的 ISV 需要下列權限：

{ 
    "Version": "2012-10-17",     
    "Statement": [ 
        { 
        "Sid": "VisualEditor0", 
        "Effect": "Allow",
        "Action": [
            "license-manager:CreateLicense", 
            "license-manager:ListLicenses", 
            "license-manager:CreateLicenseVersion", 
            "license-manager:ListLicenseVersions", 
            "license-manager:GetLicense", 
            "license-manager:DeleteLicense", 
            "license-manager:CheckoutLicense", 
            "license-manager:CheckInLicense", 
            "kms:GetPublicKey"
        ], 
        "Resource": "*"
        } 
    ] 
}

向使用者、群組和角色授予許可

建立所需的 IAM 政策後，您必須將這些權限授與使用者、群組和角色。

若要提供存取權，請新增許可到您的使用者、群組或角色：

• AWS IAM Identity Center 中的使用者和群組：

  建立許可集合。請遵循《AWS IAM Identity Center 使用者指南》的建立許可集合中的指示。

• 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。請遵循《IAM 使用者指南》的為第三方身分提供者 (聯合) 建立角色中的指示。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請遵循《IAM 使用者指南》的為 IAM 使用者建立角色中的指示。

  • (不建議) 將政策直接連接至使用者，或將使用者新增至使用者群組。請遵循《IAM 使用者指南》的新增許可到使用者 (主控台)中的指示。