本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
License Manager-管理账户角色
License Manager 者需要服务相关角色来执行许可证管理。
管理账户角色的权限
名为的服务关联角色AWSServiceRoleForAWSLicenseManagerMasterAccountRole允许 License Manager 访问Amazon资源,以代表您管理中央管理帐户的许可证管理操作。
AWSServiceRoleForAWSLicenseManagerMasterAccountRole 服务相关角色信任 license-manager.master-account.amazonaws.com 服务来代入角色。
角色权限策略允许对对对对对对对对对对对对对对对对对对对对对对对对对对对对对对
| 操作 | 资源 ARN |
|---|---|
s3:GetBucketLocation |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucket |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutLifecycleConfiguration |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutBucketPolicy |
arn:aws:s3:::aws-license-manager-service-* |
s3:AbortMultipartUpload |
arn:aws:s3:::aws-license-manager-service-* |
s3:PutObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:GetObject |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListBucketMultipartUploads |
arn:aws:s3:::aws-license-manager-service-* |
s3:ListMultipartUploadParts |
arn:aws:s3:::aws-license-manager-service-* |
s3:DeleteObject |
arn:aws:s3:::aws-license-manager-service-*/resource-sync/* |
athena:GetQueryExecution |
* |
athena:GetQueryResults |
* |
athena:StartQueryExecution |
* |
glue:GetTable |
* |
glue:GetPartition |
* |
glue:GetPartitions |
* |
glue:CreateTable |
请参阅。 |
glue:UpdateTable |
请参阅。 |
glue:DeleteTable |
请参阅。 |
glue:UpdateJob |
请参阅。 |
glue:UpdateCrawler |
请参阅。 |
organizations:DescribeOrganization |
* |
organizations:ListAccounts |
* |
organizations:DescribeAccount |
* |
organizations:ListChildren |
* |
organizations:ListParents |
* |
organizations:ListAccountsForParent |
* |
organizations:ListRoots |
* |
organizations:ListAWSServiceAccessForOrganization |
* |
ram:GetResourceShares |
* |
ram:GetResourceShareAssociations |
* |
ram:TagResource |
* |
ram:CreateResourceShare |
* |
ram:AssociateResourceShare |
* |
ram:DisassociateResourceShare |
* |
ram:UpdateResourceShare |
* |
ram:DeleteResourceShare |
* |
resource-groups:PutGroupPolicy |
* |
iam:GetRole |
* |
iam:PassRole |
arn:aws:iam::*:role/LicenseManagerServiceResourceDataSyncRole* |
cloudformation:UpdateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:CreateStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DeleteStack |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
cloudformation:DescribeStacks |
arn:aws:cloudformation:*:*:stack/LicenseManagerCrossAccountCloudDiscoveryStack/* |
¹ 以下是为Amazon Glue操作定义的资源:
-
arn:aws:glue:*:*:catalog -
arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler -
arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob -
arn:aws:glue:*:*:table/license_manager_resource_inventory_db/* -
arn:aws:glue:*:*:table/license_manager_resource_sync/* -
arn:aws:glue:*:*:database/license_manager_resource_inventory_db -
arn:aws:glue:*:*:database/license_manager_resource_sync
必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
创建管理账户服务相关角色
您无需手动创建该服务相关角色。在中配置跨账户许可证管理时Amazon Web Services Management Console,License Manager 会为您创建服务相关角色。
注意
要在License Manager 中使用跨账户支持,必须使用Amazon Organizations。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。
您也可以使用 IAM 控制台Amazon CLI、或 IAM API 为创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果在 2017 年 1 月 1 日之前使用 License Manager,当它开始支持服务相关角色时,则 License Manager 会在您的账户AWSServiceRoleForAWSLicenseManagerMasterAccountRole中创建了 License Manager。有关更多信息,请参阅我的 IAM 账户中出现新角色。
您可以使用 License Manager 控制台创建服务相关角色。
创建 服务相关角色
通过 https://console.aws.amazon.com/license-manager/
打开License Manager 控制台。 -
选择 Settings (设置) 和 Edit (编辑)。
-
选择 Link Amazon Organizations accounts (关联 Amazon Organizations 账户)。
-
选择 Apply(应用)。
您也可以使用 IAM 控制台为 License Manager 管理账户使用案例创建服务相关角色。或者,在Amazon CLI或Amazon API 中,使用 IAM 创建带有服务名称的license-manager.master-account.amazonaws.com服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。
如果您删除了服务相关角色,则可以使用相同的 IAM 过程再次创建角色。
编辑服务License Manager
License Manager 不允许您编辑AWSServiceRoleForAWSLicenseManagerMasterAccountRole服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色。
删除服务License Manager
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就没有被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
手动删除 服务相关角色
使用 IAM 控制台Amazon CLI、或Amazon API 删除AWSServiceRoleForAWSLicenseManagerMasterAccountRole服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色。