本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
License Manager-管理账户角色
License Manager se 需要服务相关角色来执行许可证管理。
管理账户角色的权限
名为的服务关联角色AWSServiceRoleForAWSLicenseManagerMasterAccountRole允许 License Manager 访问Amazon资源,以代表您管理中央管理帐户的许可证管理操作。
AWSServiceRoleForAWSLicenseManagerMasterAccountRole 服务相关角色信任 license-manager.master-account.amazonaws.com 服务来代入角色。
角色权允许 License 允许资源完成指定资源完成操作。
| 操作 | 资源 ARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
请参阅脚注 ¹ |
glue:UpdateTable |
请参阅脚注 ¹ |
glue:DeleteTable |
请参阅脚注 ¹ |
glue:UpdateJob |
请参阅脚注 ¹ |
glue:UpdateCrawler |
请参阅脚注 ¹ |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ 以下是为Amazon Glue操作定义的资源:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
创建管理账户服务相关角色
您无需手动创建该服务相关角色。在中配置跨账户许可证管理时Amazon Web Services Management Console,License Manager 会为您创建服务相关角色。
要在License Manager 中使用跨账户支持,必须使用Amazon Organizations。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。
您也可以使用 IAM 控制台Amazon CLI、或 IAM API 来手动创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果在 2017 年 1 月 1 日(从此时开始支持服务相关角色)之前已使用 Licensems ManLicense Manager er 会在您的账户AWSServiceRoleForAWSLicenseManagerMasterAccountRole中创建 Licensems License Manager。有关更多信息,请参阅我的 IAM 账户中出现新角色。
您可以使用许可证管理控制台创建此服务相关角色。
创建 服务相关角色
通过 https://console.aws.amazon.com/license-manager/
打开License Manager 控制台。 -
选择 Settings (设置) 和 Edit (编辑)。
-
选择 Link Amazon Organizations accounts (关联 Amazon Organizations 账户)。
-
选择 Apply(应用)。
您也可以使用 IAM 控制台借助 Licensems Managervicensems License Manager e 账户应用场景创建服务相关角色。或者,在Amazon CLI或Amazon API 中,使用 IAM 使用服务名称创建一个license-manager.master-account.amazonaws.com服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。
如果您删除了此服务相关角色,则可以使用相同的 IAM 过程再次创建角色。
编辑 License 的服务相关角色
License Manager 不允许您编辑AWSServiceRoleForAWSLicenseManagerMasterAccountRole服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色。
删除License Manager 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就没有被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
手动删除 服务相关角色
使用 IAM 控制台Amazon CLI、或Amazon API 删除AWSServiceRoleForAWSLicenseManagerMasterAccountRole服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色。