AWS License Manager
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 License Manager 成员账户角色

本主题介绍了 License Manager 成员账户,即,License Manager 允许主账户管理许可证所需的服务相关角色。

License Manager 成员账户角色的权限

License Manager–成员账户使用名为 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 的服务相关角色。该角色允许 License Manager 访问 AWS 资源,以代表您从配置的主账户中执行许可证管理操作。

AWSServiceRoleForAWSLicenseManagerMemberAccountRole 服务相关角色信任以下服务代入该角色:

  • license-manager.member-account.amazonaws.com

角色权限策略允许 License Manager 完成针对指定资源的以下操作:

  • 操作:license-manager:UpdateLicenseSpecificationsForResource 上的 *

  • 操作:ssm:ListInventoryEntries 上的 *

  • 操作:ssm:GetInventory 上的 *

  • 操作:ssm:CreateAssociation 上的 *

  • 操作:ssm:CreateResourceDataSync 上的 *

  • 操作:ssm:DeleteResourceDataSync 上的 *

  • 操作:ssm:ListResourceDataSync 上的 *

  • 操作:ssm:ListAssociations 上的 *

  • 操作:ram:AcceptResourceShareInvitation 上的 *

  • 操作:ram:GetResourceShareInvitations 上的 *

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

{ "Version": "2012-10-17", "Statement": [ { "Sid": "LicenseManagerPermissions", "Effect": "Allow", "Action": [ "license-manager:UpdateLicenseSpecificationsForResource" ], "Resource": [ "*" ] }, { "Sid": "SSMPermissions", "Effect": "Allow", "Action": [ "ssm:ListInventoryEntries", "ssm:GetInventory", "ssm:CreateAssociation", "ssm:CreateResourceDataSync", "ssm:DeleteResourceDataSync", "ssm:ListResourceDataSync", "ssm:ListAssociations" ], "Resource": [ "*" ] }, { "Sid": "RAMPermissions", "Effect": "Allow", "Action": [ "ram:AcceptResourceShareInvitation", "ram:GetResourceShareInvitations" ], "Resource": [ "*" ] } ] }

为 License Manager 成员账户创建服务相关角色

您无需手动创建服务相关角色。在通过 License Manager 控制台的 Settings (设置) 页面、使用 update-service-settings 的 AWS CLI 或使用 UpdateServiceSettings 的 AWS API 从主账户中启用与 AWS Organizations 的集成时,License Manager 将在 组织 成员账户中创建服务相关角色。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。

您也可以使用 IAM 控制台、AWS CLI 或 IAM API 手动创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。如果在 January 1, 2017(从此时开始支持服务相关角色)之前已使用 License Manager 服务,则 License Manager 已在您的账户中创建 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 角色。有关更多信息,请参阅我的 IAM 账户中出现新角色

在 License Manager 中创建服务相关角色

您可以从 AWS Command Line Interface 中使用 License Manager 命令创建服务相关角色。

创建服务相关角色

  1. 登录到您的 AWS Organizations 主账户。

  2. https://console.amazonaws.cn/license-manager/ 打开 License Manager 控制台。

  3. 在左侧导航窗格中,选择 Settings (设置)Edit (编辑)

  4. 选择 Link AWS Organization accounts (关联 AWS Organization 账户)

  5. 选择 Apply。这会在所有子账户中创建 AWSServiceRoleForAWSLicenseManagerRoleAWSServiceRoleForAWSLicenseManagerMemberAccountRole 角色。

您也可以使用 IAM 控制台通过 License Manager - Member Account (License Manager - 成员账户) 使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用 license-manager.member-account.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色

如果删除该服务相关角色,您可以使用相同的 IAM 过程再次创建该角色。

编辑 License Manager 的服务相关角色

License Manager 不允许您编辑 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 License Manager 的服务相关角色

您不需要手动删除 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 角色。在 AWS 管理控制台、AWS CLI 或 AWS API 中CompleteThisDeleteActionInThisService-3时,License Manager 将清除资源并删除服务相关角色。

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就只留有需要主动监控或维护的实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。

手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

License Manager 服务相关角色支持的区域

License Manager 支持在提供该服务的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS Regions and Endpoints

License Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 角色。

区域名称 区域标识 在 License Manager 中支持
美国东部(弗吉尼亚北部) us-east-1
us-west-2
美国西部(加利福尼亚北部) us-west-1
美国西部(俄勒冈) us-west-2
亚太地区(孟买) ap-south-1
亚太区域 (大阪当地) ap-northeast-3
亚太区域(首尔) ap-northeast-2
亚太区域(新加坡) ap-southeast-1
亚太区域(悉尼) ap-southeast-2
亚太区域(东京) ap-northeast-1
加拿大 (中部) ca-central-1
欧洲(法兰克福) eu-central-1
欧洲(爱尔兰) eu-west-1
欧洲 (伦敦) eu-west-2
欧洲 (巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1
中国 (宁夏) cn-northwest-1
AWS GovCloud (US) us-gov-west-1