许可证管理员-管理帐户角色 - Amazon License Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

许可证管理员-管理帐户角色

License Manager 需要一个与服务相关的角色来执行许可证管理。

管理帐户角色的权限

名为的服务相关角色。AWSS 服务授权授权经理主帐户允许许 License Manager 访问Amazon资源可代表您管理中心管理账户的许可证管理操作。

这些区域有:AWSS 服务授权授权经理主帐户服务相关角色信任license-manager.master-account.amazonaws.com服务代入该角色。

角色权限策略允许许 License Manager 对指定的资源完成以下操作。

操作 资源 ARN
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:GetLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:PutLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:GetBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:PutBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:AbortMultipartUpload arn:aws:s3:::aws-license-manager-service-*
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
s3:GetObject arn:aws:s3:::aws-license-manager-service-*
s3:ListBucketMultipartUploads arn:aws:s3:::aws-license-manager-service-*
s3:ListMultipartUploadParts arn:aws:s3:::aws-license-manager-service-*
s3:DeleteObject arn:aws:s3:::aws-license-manager-service-*/resource-sync/*
athena:GetQueryExecution *
athena:GetQueryResults *
athena:StartQueryExecution *
glue:GetTable *
glue:GetPartition *
glue:GetPartitions *
organizations:DescribeOrganization *
organizations:ListAccounts *
organizations:DescribeAccount *
organizations:ListChildren *
organizations:ListParents *
organizations:ListAccountsForParent *
organizations:ListRoots *
organizations:ListAWSServiceAccessForOrganization *
ram:GetResourceShares *
ram:GetResourceShareAssociations *
ram:TagResource *
ram:CreateResourceShare *
ram:AssociateResourceShare *
ram:DisassociateResourceShare *
ram:UpdateResourceShare *
ram:DeleteResourceShare *
iam:GetRole *
iam:PassRole arn: aws: iam። *: 角色/许可证管理员服务资源数据同步 *
cloudformation:UpdateStack arn: aws: cloudccess: *: *: stack/许可证ManagerCrossAccoundCloudWatch /*
cloudformation:CreateStack arn: aws: cloudccess: *: *: stack/许可证ManagerCrossAccoundCloudWatch /*
cloudformation:DeleteStack arn: aws: cloudccess: *: *: stack/许可证ManagerCrossAccoundCloudWatch /*
cloudformation:DescribeStacks arn: aws: cloudccess: *: *: stack/许可证ManagerCrossAccoundCloudWatch /*
glue:CreateTable 请参阅脚注 †
glue:UpdateTable 请参阅脚注 †
glue:DeleteTable 请参阅脚注 †
glue:UpdateJob 请参阅脚注 †
glue:UpdateCrawler 请参阅脚注 †

† 以下是适用于Amazon Glue操作:

  • arn:aws:glue:*:*:catalog

  • arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler

  • arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob

  • arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*

  • arn:aws:glue:*:*:table/license_manager_resource_sync/*

  • arn:aws:glue:*:*:database/license_manager_resource_inventory_db

  • arn:aws:glue:*:*:database/license_manager_resource_sync

您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

创建管理账户服务相关角色

您无需手动创建该服务相关角色。当您在Amazon Web Services Management Console,则 License Manager 将为您创建服务相关角色。

注意

要在 License Manager 中使用跨账户支持,您必须使用Amazon Organizations.

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。

您还可以使用 IAM 控制台Amazon CLI或 IAM API 手动创建服务相关角色。有关更多信息,请参阅 IAM 用户指南中的创建服务相关角色

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果在 2017 年 1 月 1 日(从此时开始支持服务相关角色)之前使用 License Manager,则 License Manager 将创建AWSS 服务授权授权经理主帐户在您的账户中。有关更多信息,请参阅我的 IAM 账户中出现新角色

您可以使用 License Manager 控制台创建此服务相关角色。

创建服务相关角色

  1. 以下网址打开 License Manager 控制台https://console.aws.amazon.com/license-manager/.

  2. 选择 Settings (设置)Edit (编辑)

  3. 选择LinkAmazon Organizations账户.

  4. 选择 Apply

您也可以使用 IAM 控制台为创建服务相关角色License Manager— 管理帐户使用案例。或者,请参阅Amazon CLI或AmazonAPI 中,使用 IAM 创建服务相关角色license-manager.master-account.amazonaws.com服务名称。有关更多信息,请参阅 IAM 用户指南中的创建服务相关角色

如果您删除了此服务相关角色,则可以使用相同的 IAM 流程再次创建角色。

为编辑 License Manager 服务相关角色

License Manager 不允许您编辑AWSS 服务授权授权经理主帐户服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

删除的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就只会主动监控或维护您的实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

手动删除服务相关角色

使用 IAM 控制台Amazon CLI,或者AmazonAPI 来删除AWSS 服务授权授权经理主帐户服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色