AWS License Manager 的受管理原則

要向用戶，組和角色添加權限，使用起來更容易 AWS 管理策略而不是自己編寫策略。建立IAM客戶管理的政策需要時間和專業知識，以便為您的團隊提供他們所需的權限。要快速開始使用，您可以使用我們的 AWS 受管理的策略。這些政策涵蓋常見使用案例，並且可在您的 AWS 帳戶。如需關於 AWS 受管政策，請參閱 AWS《IAM使用者指南》中的受管理策略。

AWS 服務維護和更新 AWS 受管理的策略。您無法更改權限 AWS 受管理的策略。服務偶爾會將其他權限新增至 AWS 管理策略以支持新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。服務最有可能更新 AWS 啟動新功能或新作業可用時的受管理策略。服務不會移除權限 AWS 受管理的原則，因此政策更新不會破壞您現有的權限。

此外， AWS 支援跨越多個服務之工作職能的受管理原則。例如，ReadOnlyAccess AWS 受管理策略提供所有人的唯讀存取 AWS 服務和資源。當服務啟動新功能時， AWS 新增作業和資源的唯讀權限。如需工作職能原則的清單與說明，請參閱 AWS 《使用者指南》中針對工作職能的IAM管理策略。

AWS 受管理的策略：AWSLicenseManagerServiceRolePolicy

此原則會附加至名為的服務連結角色，AWSServiceRoleForAWSLicenseManagerRole以允許 License Manager 呼叫API動作以代表您管理授權。如需服務連結角色的詳細資訊，請參閱核心角色的權限。

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作	資源 ARN
iam:CreateServiceLinkedRole	arn:aws:iam::*:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement
iam:CreateServiceLinkedRole	arn:aws:iam::*:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole
s3:GetBucketLocation	arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket	arn:aws:s3:::aws-license-manager-service-*
s3:ListAllMyBuckets	*
s3:PutObject	arn:aws:s3:::aws-license-manager-service-*
sns:Publish	arn:aws::sns:*:*:aws-license-manager-service-*
sns:ListTopics	*
ec2:DescribeInstances	*
ec2:DescribeImages	*
ec2:DescribeHosts	*
ssm:ListInventoryEntries	*
ssm:GetInventory	*
ssm:CreateAssociation	*
organizations:ListAWSServiceAccessForOrganization	*
organizations:DescribeOrganization	*
organizations:ListDelegatedAdministrators	*
license-manager:GetServiceSettings	*
license-manager:GetLicense*	*
license-manager:UpdateLicenseSpecificationsForResource	*
license-manager:List*	*

若要在中檢視此原則的權限 AWS Management Console，請參閱 AWSLicenseManagerServiceRolePolicy.

AWS 受管理的策略：AWSLicenseManagerMasterAccountRolePolicy

此原則會附加至名為的服務連結角色，AWSServiceRoleForAWSLicenseManagerMasterAccountRole以允許 License Manager 呼叫代表您執行中央管理帳戶授權管理的API動作。如需服務連結角色的詳細資訊，請參閱License Manager — 管理帳戶角色。

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作	資源 ARN
s3:GetBucketLocation	arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket	arn:aws:s3:::aws-license-manager-service-*
s3:GetLifecycleConfiguration	arn:aws:s3:::aws-license-manager-service-*
s3:PutLifecycleConfiguration	arn:aws:s3:::aws-license-manager-service-*
s3:GetBucketPolicy	arn:aws:s3:::aws-license-manager-service-*
s3:PutBucketPolicy	arn:aws:s3:::aws-license-manager-service-*
s3:AbortMultipartUpload	arn:aws:s3:::aws-license-manager-service-*
s3:PutObject	arn:aws:s3:::aws-license-manager-service-*
s3:GetObject	arn:aws:s3:::aws-license-manager-service-*
s3:ListBucketMultipartUploads	arn:aws:s3:::aws-license-manager-service-*
s3:ListMultipartUploadParts	arn:aws:s3:::aws-license-manager-service-*
s3:DeleteObject	arn:aws:s3:::aws-license-manager-service-*/resource-sync/*
athena:GetQueryExecution	*
athena:GetQueryResults	*
athena:StartQueryExecution	*
glue:GetTable	*
glue:GetPartition	*
glue:GetPartitions	*
glue:CreateTable	請參閱註腳 ¹
glue:UpdateTable	請參閱註腳 ¹
glue:DeleteTable	請參閱註腳 ¹
glue:UpdateJob	請參閱註腳 ¹
glue:UpdateCrawler	請參閱註腳 ¹
organizations:DescribeOrganization	*
organizations:ListAccounts	*
organizations:DescribeAccount	*
organizations:ListChildren	*
organizations:ListParents	*
organizations:ListAccountsForParent	*
organizations:ListRoots	*
organizations:ListAWSServiceAccessForOrganization	*
ram:GetResourceShares	*
ram:GetResourceShareAssociations	*
ram:TagResource	*
ram:CreateResourceShare	*
ram:AssociateResourceShare	*
ram:DisassociateResourceShare	*
ram:UpdateResourceShare	*
ram:DeleteResourceShare	*
resource-groups:PutGroupPolicy	*
iam:GetRole	*
iam:PassRole	arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole*
cloudformation:UpdateStack	arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:CreateStack	arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:DeleteStack	arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*
cloudformation:DescribeStacks	arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/*

¹ 以下是定義的資源 AWS Glue 動作：

• arn:aws:glue:*:*:catalog

• arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler

• arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob

• arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*

• arn:aws:glue:*:*:table/license_manager_resource_sync/*

• arn:aws:glue:*:*:database/license_manager_resource_inventory_db

• arn:aws:glue:*:*:database/license_manager_resource_sync

若要在中檢視此原則的權限 AWS Management Console，請參閱 AWSLicenseManagerMasterAccountRolePolicy.

AWS 受管理的策略：AWSLicenseManagerMemberAccountRolePolicy

此原則會附加至名為的服務連結角色，AWSServiceRoleForAWSLicenseManagerMemberAccountRole以允許 License Manager 代表您從已設定的管理帳戶呼叫授權管理API動作以進行授權管理。如需詳細資訊，請參閱License Manager — 成員帳戶角色。

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作	資源 ARN
license-manager:UpdateLicenseSpecificationsForResource	*
license-manager:GetLicenseConfiguration	*
ssm:ListInventoryEntries	*
ssm:GetInventory	*
ssm:CreateAssociation	*
ssm:CreateResourceDataSync	*
ssm:DeleteResourceDataSync	*
ssm:ListResourceDataSync	*
ssm:ListAssociations	*
ram:AcceptResourceShareInvitation	*
ram:GetResourceShareInvitations	*

若要在中檢視此原則的權限 AWS Management Console，請參閱 AWSLicenseManagerMemberAccountRolePolicy.

AWS 受管理的策略：AWSLicenseManagerConsumptionPolicy

您可以將AWSLicenseManagerConsumptionPolicy原則附加至您的IAM身分識別。此原則授與允許存取使用授權所需的 License Manager API 動作的權限。如需詳細資訊，請參閱賣家在 License Manager 中核發授權使用。

若要檢視此原則的權限，請參閱 AWSLicenseManagerConsumptionPolicy在 AWS Management Console.

AWS 受管理的策略：AWSLicenseManagerUserSubscriptionsServiceRolePolicy

此原則會附加至名為原AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService則的服務連結角色，以允許 License Manager 呼叫API動作來管理以使用者為基礎的訂閱資源。如需詳細資訊，請參閱License Manager — 使用者型訂閱角色。

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作	資源 ARN
ds:DescribeDirectories	*
ds:GetAuthorizedApplicationDetails	*
ec2:CreateTags	框：awn：ec2：*：*：實例 /* ¹
ec2:DescribeInstances	*
ec2:DescribeVpcPeeringConnections	*
ec2:TerminateInstances	框：awn：ec2：*：*：實例 /* ¹
ssm:DescribeInstanceInformation	*
ssm:GetCommandInvocation	*
ssm:GetInventory	*
ssm:ListCommandInvocations	*
ssm:SendCommand	ARN：AWS：SSM：*：文檔/-² AWS RunPowerShellScript ARN：awn：ec2：*：*：實例 /* ²

¹ License Manager 只能在具有產品代碼 bz0vcy31 的執行個體上建立標籤和終止執行個體，或 d44g89hc0gp9jdzm99rzw。

² License Manager 只能在標籤名稱為AWSLicenseManager且值為的執行個SSM體上執行AWS-RunPowerShellScript文件的執行執行命令UserSubscriptions。

若要在中檢視此原則的權限 AWS Management Console，請參閱 AWSLicenseManagerUserSubscriptionsServiceRolePolicy.

AWS 受管理的策略：AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy

此原則會附加至名為原AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService則的服務連結角色，以允許 License Manager 呼叫API動作來管理 Linux 訂閱資源。如需詳細資訊，請參閱License Manager — Linux 訂閱角色。

角色權限原則可讓 License Manager 對指定的資源完成下列動作。

動作	條件	資源
ec2:DescribeInstances	N/A	*
ec2:DescribeRegions	N/A	*
organizations:DescribeOrganization	N/A	*
organizations:ListAccounts	N/A	*
organizations:DescribeAccount	N/A	*
organizations:ListChildren	N/A	*
organizations:ListParents	N/A	*
organizations:ListAccountsForParent	N/A	*
organizations:ListRoots	N/A	*
organizations:ListAWSServiceAccessForOrganization	N/A	*
organizations:ListDelegatedAdministrators	N/A	*
秘書經理:GetSecretValue	StringEquals: 「aws：ResourceTag/LicenseManagerLinuxSubscriptions「：「已啟用」 「AWS: ResourceAccount「:「$ {AWS:PrincipalAccount}」	arn:aws:secretsmanager:*:*:secret:*
kms:解密	StringEquals: 「aws:ResourceTag/LicenseManagerLinuxSubscriptions「:「已啟用」, 「AWS: ResourceAccount「:「$ {AWS:PrincipalAccount}」 StringLike: 「公里:ViaService「: [「秘密管理員.	arn:aws:kms:*:*:key/*

若要在中檢視此原則的權限 AWS Management Console，請參閱 AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy.

License Manager 更新至 AWS 受管政策

檢視有關更新的詳細資訊 AWS 由於此服務開始追蹤這些變更，因此 License Manager 的管理原則。

變更	描述	日期
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – 更新現有政策	License Manager 添加了存儲和檢索密碼的權限 AWS Secrets Manager，並使用 AWS KMS 用於解密使用您自己的授權 (BYOL) 訂閱的存取權杖密鑰的金鑰。	2024年5月22 日
AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy – 新政策	License Manager 新增了建立名為AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService的服務連結角色的權限。此角色提供 License Manager 列出的權限 AWS Organizations 和 Amazon EC2 資源。	2022 年 12 月 21 日
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 更新現有政策	License Manager 已新增ec2:DescribeVpcPeeringConnections權限。	2022 年 11 月 28 日
AWSLicenseManagerUserSubscriptionsServiceRolePolicy – 新政策	License Manager 新增了建立名為AWSLicenseManagerUserSubscriptionsServiceRolePolicy的服務連結角色的權限。此角色提供 License Manager 列出的權限 AWS Directory Service 資源、利用 Systems Manager 功能，以及管理針對使用者訂閱建立的 Amazon EC2 資源。	2022 年 7 月 18 日
AWSLicenseManagerMasterAccountRolePolicy – 更新現有政策	License Manager 新增了由管理之資源群組的resource-groups:PutGroupPolicy權限 AWS Resource Access Manager.	2022 年 6 月 27 日
AWSLicenseManagerMasterAccountRolePolicy – 更新現有政策	License Manager 更改了 AWS 的受管理政策AWSLicenseManagerMasterAccountRolePolicy條件金鑰 AWS Resource Access Manager從使用ram:ResourceTag到aws:ResourceTag.	2021 年 11 月 16 日
AWSLicenseManagerConsumptionPolicy – 新政策	License Manager 新增了授與使用授權之權限的新原則。	2021 年 8 月 11 日
AWSLicenseManagerServiceRolePolicy – 更新現有政策	License Manager 新增了列出委派管理員的權限，以及建立名為AWSServiceRoleForAWSLicenseManagerMemberAccountRole之服務連結角色的權限。	2021 年 6 月 16 日
AWSLicenseManagerServiceRolePolicy – 更新現有政策	License Manager 添加了列出所有 License Manager 資源的權限，例如許可證配置，許可證和授予。	2021 年 6 月 15 日
AWSLicenseManagerServiceRolePolicy – 更新現有政策	License Manager 新增了建立名為AWSServiceRoleForMarketplaceLicenseManagement的服務連結角色的權限。此角色提供 AWS Marketplace 具有在許可管理器中創建和管理許可證的權限。如需詳細資訊，請參閱的服務連結角色 AWS Marketplace 中的 AWS Marketplace 買家指南。	2021 年 3 月 9 日
License Manager 開始追蹤變更	License Manager 開始追蹤其變更 AWS 受管理的策略。	2021 年 3 月 9 日