AWS License Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用核心 License Manager 角色

本主题介绍了 License Manager 角色,即,License Manager 执行其核心功能所需的服务相关角色。

核心 License Manager 角色的权限

License Manager 使用名为 AWSServiceRoleForAWSLicenseManagerRole 的服务相关角色。这允许 License Manager 访问 AWS 资源以代表您管理许可证。

AWSServiceRoleForAWSLicenseManagerRole 服务相关角色信任以下服务代入该角色:

  • license-manager.amazonaws.com

角色权限策略允许 License Manager 完成针对指定资源的以下操作:

  • 操作:s3:GetBucketLocation 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:ListBucket 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:PutObject 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:sns:Publish 上的 arn:aws:sns:*:*:aws-license-manager-service-*

  • 操作:sns:ListTopics 上的 *

  • 操作:ec2:DescribeInstances 上的 *

  • 操作:ec2:DescribeImages 上的 *

  • 操作:ec2:DescribeHosts 上的 *

  • 操作:ssm:ListInventoryEntries 上的 *

  • 操作:ssm:GetInventory 上的 *

  • 操作:ssm:CreateAssociation 上的 *

  • 操作:organizations:ListAWSServiceAccessForOrganization 上的 *

  • 操作:* 上的 organizations:DescribeOrganizationon

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::aws-license-manager-service-*" ] }, { "Sid": "S3ObjectPermissions", "Effect": "Allow", "Action": [ "s3:PutObject" ], "Resource": [ "arn:aws:s3:::aws-license-manager-service-*" ] }, { "Sid": "SNSAccountPermissions", "Effect": "Allow", "Action": [ "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:aws-license-manager-service-*" ] }, { "Sid": "SNSTopicPermissions", "Effect": "Allow", "Action": [ "sns:ListTopics" ], "Resource": [ "*" ] }, { "Sid": "EC2Permissions", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeHosts" ], "Resource": [ "*" ] }, { "Sid": "SSMPermissions", "Effect": "Allow", "Action": [ "ssm:ListInventoryEntries", "ssm:GetInventory", "ssm:CreateAssociation" ], "Resource": [ "*" ] }, { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganization" ], "Resource": [ "*" ] } ] }

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

为 License Manager 创建服务相关角色

您无需手动创建服务相关角色。在您首次访问 License Manager 控制台时填写 License Manager 首次运行体验表单时,将自动创建服务相关角色。

您也可以使用 IAM 控制台、AWS CLI 或 IAM API 手动创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果已在 January 1, 2017 之前(从此时开始支持服务相关角色)使用 License Manager,则 License Manager 已在您的账户中创建 AWSServiceRoleForAWSLicenseManagerRole 角色。有关更多信息,请参阅我的 IAM 账户中出现新角色

在 License Manager 中创建服务相关角色

您可以使用 License Manager 控制台创建服务相关角色。

创建服务相关角色

  1. https://console.amazonaws.cn/license-manager/ 打开 License Manager 控制台。

  2. 选择 Start using License Manager (开始使用 License Manager)

  3. IAM Permissions (one-time-setup) (IAM 权限 (一次性设置)) 表单中,选择 I grant AWS License Manager the required permissions (我为 AWS License Manager 授予所需的权限),然后选择 Continue (继续)

您也可以使用 IAM 控制台通过 License Manager 使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用 IAM 通过 license-manager.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

如果删除该服务相关角色,您可以使用相同的 IAM 过程再次创建该角色。

编辑 License Manager 的服务相关角色

License Manager 不允许您编辑 AWSServiceRoleForAWSLicenseManagerRole 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 License Manager 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就只留有需要主动监控或维护的实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

清除服务相关角色

您必须先删除服务相关角色使用的所有资源,然后才能使用 IAM 删除该角色。这意味着将任何许可证配置与关联的实例和 AMI 取消关联,然后删除许可证配置。

注意

在您尝试删除资源时,如果 License Manager 正在使用该角色,删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

删除 AWSServiceRoleForAWSLicenseManagerRole 使用的 License Manager 资源

  1. https://console.amazonaws.cn/license-manager/ 打开 License Manager 控制台。

  2. 在左侧导航窗格中,选择 License configuration (许可证配置)

  3. 对于您作为拥有者的特定许可证配置,取消关联所有关联的 AMI 和资源。

  4. 在仍位于许可证配置页面时,删除许可证配置。

  5. 重复步骤 2 和 3,直到删除了所有许可证配置。

手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForAWSLicenseManagerRole 服务相关角色。如果您还使用 AWSLicenseManagerMasterAccountRoleAWSLicenseManagerMemberAccountRole,请先删除这些角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

License Manager 服务相关角色支持的区域

License Manager 支持在提供该服务的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS Regions and Endpoints

区域名称 区域标识 在 License Manager 中支持
美国东部(弗吉尼亚北部) us-east-1
us-west-2
美国西部(加利福尼亚北部) us-west-1
美国西部(俄勒冈) us-west-2
亚太地区(孟买) ap-south-1
亚太区域 (大阪当地) ap-northeast-3
亚太区域(首尔) ap-northeast-2
亚太区域(新加坡) ap-southeast-1
亚太区域(悉尼) ap-southeast-2
亚太区域(东京) ap-northeast-1
加拿大 (中部) ca-central-1
欧洲(法兰克福) eu-central-1
欧洲(爱尔兰) eu-west-1
欧洲 (伦敦) eu-west-2
欧洲 (巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1
中国 (宁夏) cn-northwest-1
AWS GovCloud (US) us-gov-west-1