许可证管理器 — 管理帐户角色 - Amazon License Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

许可证管理器 — 管理帐户角色

License Manager 需要服务相关角色来执行许可证管理。

管理帐户角色的权限

名为的服务相关角色Amazon Service 角色适用于 Amazon 许可管理器主账户角色允 License Manager 访问Amazon资源,以代表您管理中心管理账户的许可证管理操作。

这些区域有:Amazon Service 角色适用于 Amazon 许可管理器主账户角色服务相关角色信任license-manager.master-account.amazonaws.com服务来代入该角色。

角色权限策略允 License Manager 对指定资源完成以下操作。

操作 资源 ARN
s3:GetBucketLocation arn:aws:s3:::aws-license-manager-service-*
s3:ListBucket arn:aws:s3:::aws-license-manager-service-*
s3:GetLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:PutLifecycleConfiguration arn:aws:s3:::aws-license-manager-service-*
s3:GetBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:PutBucketPolicy arn:aws:s3:::aws-license-manager-service-*
s3:AbortMultipartUpload arn:aws:s3:::aws-license-manager-service-*
s3:PutObject arn:aws:s3:::aws-license-manager-service-*
s3:GetObject arn:aws:s3:::aws-license-manager-service-*
s3:ListBucketMultipartUploads arn:aws:s3:::aws-license-manager-service-*
s3:ListMultipartUploadParts arn:aws:s3:::aws-license-manager-service-*
s3:DeleteObject arn:aws:s3:::aws-license-manager-service-*/resource-sync/*
athena:GetQueryExecution *
athena:GetQueryResults *
athena:StartQueryExecution *
glue:GetTable *
glue:GetPartition *
glue:GetPartitions *
organizations:DescribeOrganization *
organizations:ListAccounts *
organizations:DescribeAccount *
organizations:ListChildren *
organizations:ListParents *
organizations:ListAccountsForParent *
organizations:ListRoots *
organizations:ListAWSServiceAccessForOrganization *
ram:GetResourceShares *
ram:GetResourceShareAssociations *
ram:TagResource *
ram:CreateResourceShare *
ram:AssociateResourceShare *
ram:DisassociateResourceShare *
ram:UpdateResourceShare *
ram:DeleteResourceShare *
iam:GetRole *
iam:PassRole arn: aws: iam። *: role /许可证Manager 服务 Resources: aws: iam። *: role /许可证管理器服务ResoleRole*
cloudformation:UpdateStack arn: aws: 云form: *: *: Stack/许可证ManagerCrossAccount CloudDiscovery Sack/*
cloudformation:CreateStack arn: aws: 云form: *: *: Stack/许可证ManagerCrossAccount CloudDiscovery Sack/*
cloudformation:DeleteStack arn: aws: 云form: *: *: Stack/许可证ManagerCrossAccount CloudDiscovery Sack/*
cloudformation:DescribeStacks arn: aws: 云form: *: *: Stack/许可证ManagerCrossAccount CloudDiscovery Sack/*
glue:CreateTable 请参阅脚注 †
glue:UpdateTable 请参阅脚注 †
glue:DeleteTable 请参阅脚注 †
glue:UpdateJob 请参阅脚注 †
glue:UpdateCrawler 请参阅脚注 †

† 以下是使用的条件Amazon Glue操作:

  • arn:aws:glue:*:*:catalog

  • arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler

  • arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob

  • arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*

  • arn:aws:glue:*:*:table/license_manager_resource_sync/*

  • arn:aws:glue:*:*:database/license_manager_resource_inventory_db

  • arn:aws:glue:*:*:database/license_manager_resource_sync

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

创建管理账户服务相关角色

您无需手动创建该服务相关角色。在中配置跨账户许可证管理时Amazon Web Services Management Console,License Manager 将为您创建服务相关角色。

注意

要在 License Manager 中使用跨账户支持,您必须使用Amazon Organizations.

如果删除此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。

您还可以使用 IAM 控制台,Amazon CLI或 IAM API,以手动创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果在 2017 年 1 月 1 日(从此时开始支持服务相关角色)之前已使用 License Manager 器,则已创建 License ManagerAmazon Service 角色适用于 Amazon 许可管理器主账户角色在您的账户中。有关更多信息,请参阅我的 IAM 账户中出现新角色

您可以使用 License Manager 控制台创建此服务相关角色。

创建服务相关角色

  1. 打开 License Manager 控制台https://console.aws.amazon.com/license-manager/.

  2. 选择 Settings (设置)Edit (编辑)

  3. 选择 Link Amazon Organizations accounts (关联 Amazon Organizations 账户)

  4. 选择 Apply(应用)。

您也可以使用 IAM 控制台通过License Manager— 管理帐户使用案例。或者,在Amazon CLI或者AmazonAPI,使用 IAM 通过license-manager.master-account.amazonaws.com服务名称。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色

如果您删除了此服务相关角色,则可以使用相同的 IAM 过程再次创建角色。

为 License Manager 编辑服务相关角色

License Manager 不允许您编辑Amazon Service 角色适用于 Amazon 许可管理器主账户角色服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见《IAM 用户指南》中的编辑服务相关角色

删除 License Manager 的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就只有被主动监控或维护的实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

手动删除服务相关角色

使用 IAM 控制台,Amazon CLI,或者Amazon删除 APIAmazon Service 角色适用于 Amazon 许可管理器主账户角色服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色