AWS License Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 License Manager 主账户角色

本主题介绍了 License Manager 主账户,即,License Manager 执行集中式跨账户许可证管理所需的服务相关角色。

License Manager 主账户角色的权限

License Manager–主账户使用名为 AWSServiceRoleForAWSLicenseManagerMasterAccountRole 的服务相关角色。该角色允许 License Manager 访问 AWS 资源,以代表您管理中心主账户的许可证管理操作。

AWSServiceRoleForAWSLicenseManagerMasterAccountRole 服务相关角色信任以下服务代入这些角色:

  • license-manager.master-account.amazonaws.com

角色权限策略允许 License Manager 完成针对指定资源的以下操作:

  • 操作:s3:GetBucketLocation 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:ListBucket 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:GetLifecycleConfiguration 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:PutLifecycleConfiguration 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:GetBucketPolicy 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:PutBucketPolicy 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:AbortMultipartUpload 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:PutObject 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:GetObject 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:ListBucketMultipartUploads 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:ListMultipartUploadParts 上的 arn:aws:s3:::aws-license-manager-service-*

  • 操作:s3:DeleteObject 上的 arn:aws:s3:::aws-license-manager-service-*/resource_sync/*

  • 操作:athena:GetQueryExecution 上的 *

  • 操作:athena:GetQueryResults 上的 *

  • 操作:athena:StartQueryExecution 上的 *

  • 操作:glue:GetTable 上的 *

  • 操作:glue:GetPartition 上的 *

  • 操作:glue:GetPartitions 上的 *

  • 操作:* 上的 organizations:DescribeOrganization

  • 操作:organizations:ListAccounts 上的 *

  • 操作:organizations:DescribeAccount 上的 *

  • 操作:organizations:ListChildren 上的 *

  • 操作:organizations:ListParents 上的 *

  • 操作:organizations:ListAccountsForParent 上的 *

  • 操作:organizations:ListRoots 上的 *

  • 操作:organizations:ListAWSServiceAccessForOrganization 上的 *

  • 操作:ram:GetResourceShares 上的 *

  • 操作:ram:GetResourceShareAssociations 上的 *

  • 操作:ram:TagResource 上的 *

  • 操作:ram:CreateResourceShare 上的 *

  • 操作:ram:AssociateResourceShare 上的 *

  • 操作:ram:DisassociateResourceShare 上的 *

  • 操作:ram:UpdateResourceShare 上的 *

  • 操作:ram:DeleteResourceShare 上的 *

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

{ "Version": "2012-10-17", "Statement": [ { "Sid": "S3BucketPermissions", "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:GetBucketPolicy", "s3:PutBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-license-manager-service-*" ] }, { "Sid": "S3ObjectPermissions1", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:GetObject", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts" ], "Resource": [ "arn:aws:s3:::aws-license-manager-service-*" ] }, { "Sid": "S3ObjectPermissions2", "Effect": "Allow", "Action": [ "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::aws-license-manager-service-*/resource_sync/*" ] }, { "Sid": "AthenaPermissions", "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution" ], "Resource": [ "*" ] }, { "Sid": "GluePermissions", "Effect": "Allow", "Action": [ "glue:GetTable", "glue:GetPartition", "glue:GetPartitions" ], "Resource": [ "*" ] }, { "Sid": "OrganizationPermissions", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:ListChildren", "organizations:ListParents", "organizations:ListAccountsForParent", "organizations:ListRoots", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": [ "*" ] }, { "Sid": "RAMPermissions1", "Effect": "Allow", "Action": [ "ram:GetResourceShares", "ram:GetResourceShareAssociations", "ram:TagResource" ], "Resource": [ "*" ] }, { "Sid": "RAMPermissions2", "Effect": "Allow", "Action": [ "ram:CreateResourceShare" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:RequestTag/Service": "LicenseManager" } } }, { "Sid": "RAMPermissions3", "Effect": "Allow", "Action": [ "ram:AssociateResourceShare", "ram:DisassociateResourceShare", "ram:UpdateResourceShare", "ram:DeleteResourceShare" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ram:ResourceTag/Service": "LicenseManager" } } } ] }

创建 License Manager 主账户服务相关角色

您无需手动创建该服务相关角色。在 AWS 管理控制台 中配置跨账户许可证管理时,License Manager 将创建服务相关角色。

注意

要在 License Manager 中使用跨账户支持,您必须使用 AWS Organizations。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。

您也可以使用 IAM 控制台、AWS CLI 或 IAM API 手动创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果在 January 1, 2017(从此时开始支持服务相关角色)之前已使用 License Manager,则 License Manager 已在您的账户中创建 AWSServiceRoleForAWSLicenseManagerMasterAccountRole 角色。有关更多信息,请参阅我的 IAM 账户中出现新角色

创建 License Manager 主账户服务相关角色

您可以使用 License Manager 控制台创建该服务相关角色。

创建服务相关角色

  1. https://console.amazonaws.cn/license-manager/ 打开 License Manager 控制台。

  2. 选择 Settings (设置)Edit (编辑)

  3. 选择 Link AWS Organization accounts (关联 AWS Organization 账户)

  4. 选择 Apply

您也可以使用 IAM 控制台通过 License Manager 主账户使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用 IAM 通过 license-manager.master-account.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

如果删除该服务相关角色,您可以使用相同的 IAM 过程再次创建该角色。

编辑 License Manager 的服务相关角色

License Manager 不允许您编辑 AWSServiceRoleForAWSLicenseManagerMasterAccountRole 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 License Manager 的服务相关角色

您不需要手动删除 AWSServiceRoleForAWSLicenseManagerMasterAccountRole 角色。在 AWS 管理控制台、AWS CLI 或 AWS API 中CompleteThisDeleteActionInThisService-2时,License Manager 将清除资源并删除服务相关角色。

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就只留有需要主动监控或维护的实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForAWSLicenseManagerMasterAccountRole 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

License Manager 服务相关角色支持的区域

License Manager 支持在提供该服务的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS Regions and Endpoints

License Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForAWSLicenseManagerMasterAccountRole 角色。

区域名称 区域标识 在 License Manager 中支持
美国东部(弗吉尼亚北部) us-east-1
us-west-2
美国西部(加利福尼亚北部) us-west-1
美国西部(俄勒冈) us-west-2
亚太地区(孟买) ap-south-1
亚太区域 (大阪当地) ap-northeast-3
亚太区域(首尔) ap-northeast-2
亚太区域(新加坡) ap-southeast-1
亚太区域(悉尼) ap-southeast-2
亚太区域(东京) ap-northeast-1
加拿大 (中部) ca-central-1
欧洲(法兰克福) eu-central-1
欧洲(爱尔兰) eu-west-1
欧洲 (伦敦) eu-west-2
欧洲 (巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1
中国 (宁夏) cn-northwest-1
AWS GovCloud (US) us-gov-west-1