适用于 Amazon License Manager 的 Identity and Access Management - Amazon License Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon License Manager 的 Identity and Access Management

Amazon Identity and Access Management (IAM) 是一种 Amazon 服务,可以帮助管理员安全地控制对 Amazon 资源的访问。IAM 管理员控制谁可以通过身份认证(登录)并获得使用 Amazon 资源的授权(具有权限)。您可以使用 IAM 在您的 Amazon 账户下创建用户和组。您可以控制用户使用 Amazon 资源执行任务所需的权限。使用 IAM 不会产生额外的费用。

默认情况下,用户无权管理 License Manager 资源和操作。要允许用户管理 License Manager 资源,您必须创建一个 IAM 策略,明确授予他们权限。

在将策略附加到一个用户或一组用户时,它会授权或拒绝用户使用指定资源执行指定任务。有关更多信息,请参阅 IAM 用户指南中的策略与权限

创建用户、组和角色

您可以为自己的 Amazon Web Services 账户 创建用户和组,然后为其分配所需权限。作为最佳实践,用户应通过担任 IAM 角色来获取权限。有关如何为 Amazon Web Services 账户设置用户和组的更多信息,请参阅 开始使用 Amazon License Manager

IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 Amazon 身份,具有确定其在 Amazon 中可执行和不可执行的操作的权限策略。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联的标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。

IAM 策略结构

IAM policy 是包含一个或多个语句的 JSON 文档。每个语句的结构如下。

{ "Statement":[{ "Effect":"effect", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } } ] }

组成语句的各个元素如下:

  • Effect:effect 可以是 AllowDeny。默认情况下,用户没有使用资源和 API 操作的权限,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

  • 操作操作是对其授予或拒绝权限的特定 API 操作。

  • 资源:受操作影响的资源。有些 License Manager API 操作允许您在策略中包括该操作可以创建或修改的特定资源。要在语句中指定资源,您需要使用其Amazon 资源名称 (ARN)。有关更多信息,请参阅 Amazon License Manager 定义的操作

  • 条件:条件是可选的。它们可以用于控制策略生效的时间。有关更多信息,请参阅 Amazon License Manager 的条件键

为 License Manager 创建 IAM 策略

在 IAM 策略语句中,您可以从支持 IAM 的任何服务中指定任何 API 操作。License Manager 使用以下前缀为 API 操作命名:

  • license-manager:

  • license-manager-user-subscriptions:

  • license-manager-linux-subscriptions:

例如:

  • license-manager:CreateLicenseConfiguration

  • license-manager:ListLicenseConfigurations

  • license-manager-user-subscriptions:ListIdentityProviders

  • license-manager-linux-subscriptions:ListLinuxSubscriptionInstances

有关可用的 License Manager API 的更多信息,请参阅以下 API 参考:

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": ["license-manager:action1", "license-manager:action2"]

您也可以使用通配符指定多项操作。例如,您可以指定名称以单词 List 开头的所有 License Manager API 操作,如下所示:

"Action": "license-manager:List*"

要指定所有 License Manager API 操作,请使用 * 通配符,如下所示:

"Action": "license-manager:*"

使用 License Manager 的 ISV 策略示例

通过 License Manager 分配许可证的 ISV 需要以下权限:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "license-manager:CreateLicense", "license-manager:ListLicenses", "license-manager:CreateLicenseVersion", "license-manager:ListLicenseVersions", "license-manager:GetLicense", "license-manager:DeleteLicense", "license-manager:CheckoutLicense", "license-manager:CheckInLicense", "kms:GetPublicKey" ], "Resource": "*" } ] }

向用户、组和角色授予权限

创建所需的 IAM 策略后,必须向您的用户、组和角色授予这些权限。

要提供访问权限,请为您的用户、组或角色添加权限: