Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS políticas gestionadas para License Manager
Para añadir permisos a los usuarios, grupos y funciones, es más fácil utilizar políticas AWS gestionadas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSLicenseManagerServiceRolePolicy
Esta política se asocia al rol vinculado a servicios denominado `AWSServiceRoleForAWSLicenseManagerRole` para permitir a License Manager llamar a las acciones de API con el objetivo de administrar las licencias en su nombre. Para obtener más información sobre el rol vinculado a servicios, consulte [Permisos del rol principal](license-manager-role-core.md#slr-permissions-core-role).
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Action | ARN de recurso |
| --- | --- |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListAllMyBuckets | \$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| sns:Publish | arn:aws::sns:\$1:\$1:aws-license-manager-service-\$1 |
| sns:ListTopics | \$1 |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeImages | \$1 |
| ec2:DescribeHosts | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:SendCommand | arn:aws:ec2:\$1:\$1:instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1:\$1:managed-instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1::document/AWSLicenseManager-\$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListDelegatedAdministrators | \$1 |
| license-manager:GetServiceSettings | \$1 |
| license-manager:GetLicense\$1 | \$1 |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:List\$1 | \$1 |
Para ver los permisos de esta política en Consola de administración de AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy).
## AWS política gestionada: AWSLicenseManagerMasterAccountRolePolicy
Esta política se adjunta a la función vinculada al servicio denominada `AWSServiceRoleForAWSLicenseManagerMasterAccountRole` para permitir que License Manager llame a las acciones de la API que realizan la administración de licencias para una cuenta de administración central en su nombre. Para obtener más información sobre el rol vinculado a servicios, consulte [License Manager: rol de cuenta de administración](management-role.md).
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Action | ARN de recurso |
| --- | --- |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:AbortMultipartUpload | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucketMultipartUploads | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListMultipartUploadParts | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:DeleteObject | arn:aws:s3:::aws-license-manager-service-\$1/resource-sync/\$1 |
| athena:GetQueryExecution | \$1 |
| athena:GetQueryResults | \$1 |
| athena:StartQueryExecution | \$1 |
| glue:GetTable | \$1 |
| glue:GetPartition | \$1 |
| glue:GetPartitions | \$1 |
| glue:CreateTable | Véase la nota ¹ a pie de página |
| glue:UpdateTable | Véase la nota ¹ a pie de página |
| glue:DeleteTable | Véase la nota ¹ a pie de página |
| glue:UpdateJob | Véase la nota ¹ a pie de página |
| glue:UpdateCrawler | Véase la nota ¹ a pie de página |
| organizations:DescribeOrganization | \$1 |
| organizations:ListAccounts | \$1 |
| organizations:DescribeAccount | \$1 |
| organizations:ListChildren | \$1 |
| organizations:ListParents | \$1 |
| organizations:ListAccountsForParent | \$1 |
| organizations:ListRoots | \$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| ram:GetResourceShares | \$1 |
| ram:GetResourceShareAssociations | \$1 |
| ram:TagResource | \$1 |
| ram:CreateResourceShare | \$1 |
| ram:AssociateResourceShare | \$1 |
| ram:DisassociateResourceShare | \$1 |
| ram:UpdateResourceShare | \$1 |
| ram:DeleteResourceShare | \$1 |
| resource-groups:PutGroupPolicy | \$1 |
| iam:GetRole | \$1 |
| iam:PassRole | arn:aws:iam::\$1:role/LicenseManagerServiceResourceDataSyncRole\$1 |
| cloudformation:UpdateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:CreateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DeleteStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DescribeStacks | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
¹ Los siguientes son los recursos definidos para las AWS Glue acciones:
+ `arn:aws:glue:*:*:catalog`
+ `arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler`
+ `arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob`
+ `arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*`
+ `arn:aws:glue:*:*:table/license_manager_resource_sync/*`
+ `arn:aws:glue:*:*:database/license_manager_resource_inventory_db`
+ `arn:aws:glue:*:*:database/license_manager_resource_sync`
Para ver los permisos de esta política en Consola de administración de AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy).
## AWS política gestionada: AWSLicenseManagerMemberAccountRolePolicy
Esta política se asocia al rol vinculado a servicios denominado `AWSServiceRoleForAWSLicenseManagerMemberAccountRole` para permitir a License Manager llamar a las acciones de API con el objetivo de administrar las licencias en su nombre desde una cuenta de administración configurada. Para obtener más información, consulte [License Manager: rol de cuenta miembro](member-role.md).
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Action | ARN de recurso |
| --- | --- |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:GetLicenseConfiguration | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:CreateResourceDataSync | \$1 |
| ssm:DeleteResourceDataSync | \$1 |
| ssm:ListResourceDataSync | \$1 |
| ssm:ListAssociations | \$1 |
| ram:AcceptResourceShareInvitation | \$1 |
| ram:GetResourceShareInvitations | \$1 |
Para ver los permisos de esta política en Consola de administración de AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy).
## AWS política gestionada: AWSLicenseManagerConsumptionPolicy
Puede asociar la política `AWSLicenseManagerConsumptionPolicy` a las identidades de IAM. Esta política concede permisos que permiten el acceso a las acciones de la API de License Manager necesarias para consumir licencias. Para obtener más información, consulte [Uso de licencias emitidas por el vendedor en License Manager](license-usage.md).
Para ver los permisos de esta política, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy) en la Consola de administración de AWS.
## AWS política gestionada: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Esta política se asocia a la política del rol vinculado a servicios denominado `AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService` para permitir a License Manager llamar a las acciones de API con el objetivo de administrar recursos de suscripciones basadas en usuarios. Para obtener más información, consulte [License Manager: rol de suscripciones basadas en usuarios](user-based-subscription-role.md).
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Action | ARN de recurso |
| --- | --- |
| anuncios: DescribeDirectories | \$1 |
| ds: GetAuthorizedApplicationDetails | \$1 |
| ec2: CreateTags | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| ec2: DescribeInstances | \$1 |
| ec2: DescribeNetworkInterfaces | \$1 |
| ec2: DescribeSecurityGroupRules | \$1 |
| ec2: DescribeSubnets | \$1 |
| ec2: DescribeVpcPeeringConnections | \$1 |
| ec2: TerminateInstances | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| ruta 53: GetHostedZone | \$1 |
| ruta 53: ListResourceRecordSets | \$1 |
| administrador de secretos: GetSecretValue | arn:aws:secretsmanager: \$1:\$1:secret: -\$1 license-manager-user |
| sms: DescribeInstanceInformation | \$1 |
| ssm: GetCommandInvocation | \$1 |
| ssm: GetInventory | \$1 |
| ssm: ListCommandInvocations | \$1 |
| ssm: SendCommand | arn:aws:ssm: \$1::document/AWS- ² RunPowerShellScriptarn:aws:ec2:\$1:\$1:instance/\$1 ² |
¹ License Manager solo puede crear etiquetas y terminar instancias que tengan los códigos de producto [bz0vcy31ooqlzk5tsash4r1ik](https://aws.amazon.com/marketplace/pp/prodview-dzstlnjdl3izg), [77yzkpa7kvee1y1tt7wnsdwoc](https://aws.amazon.com/marketplace/pp/prodview-bh46d5p2hapns) o [d44g89hc0gp9jdzm99rznthpw](https://aws.amazon.com/marketplace/pp/prodview-zo3zltrbpgr5i).
² License Manager solo puede ejecutar un comando SSM Run Command con el documento `AWS-RunPowerShellScript` en instancias con el nombre de etiqueta `AWSLicenseManager` y un valor `UserSubscriptions`.
Para ver Consola de administración de AWS[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy)los permisos de esta política en, consulte.
## AWS política gestionada: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Esta política se asocia a la política del rol vinculado a servicios denominado `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService` para permitir a License Manager llamar a las acciones de API con el objetivo de administrar recursos de suscripciones de Linux. Para obtener más información, consulte [License Manager: rol de suscripciones de Linux](linux-subscriptions-role.md).
La política de permisos del rol permite que License Manager realice las siguientes acciones en los recursos especificados.
| Action | Condiciones | Recurso |
| --- | --- | --- |
| ec2:DescribeInstances | N/A | \$1 |
| ec2:DescribeRegions | N/A | \$1 |
| organizations:DescribeOrganization | N/A | \$1 |
| organizations:ListAccounts | N/A | \$1 |
| organizations:DescribeAccount | N/A | \$1 |
| organizations:ListChildren | N/A | \$1 |
| organizations:ListParents | N/A | \$1 |
| organizations:ListAccountsForParent | N/A | \$1 |
| organizations:ListRoots | N/A | \$1 |
| organizations:ListAWSServiceAccessForOrganization | N/A | \$1 |
| organizations:ListDelegatedAdministrators | N/A | \$1 |
| administrador de secretos: GetSecretValue | StringEquals: *«aws:ResourceTag/LicenseManagerLinuxSubscriptions«: «habilitado»* *«aws: ResourceAccount «: «\$1 \$1aws:PrincipalAccount\$1»* | arn:aws:secretsmanager:\$1:\$1:secret:\$1 |
| kms:Decrypt | StringEquals: *«aws:ResourceTag/LicenseManagerLinuxSubscriptions«: «habilitado»,* *«aws: ResourceAccount «: «\$1 \$1aws:PrincipalAccount\$1»* ** StringLike: *«kms: «: [ViaService«secretsmanager.\$1.amazonaws.com»]* | arn:aws:kms:\$1:\$1:key/\$1 |
Para ver los permisos de esta política en, consulte. Consola de administración de AWS[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy)
## License Manager actualiza las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas de License Manager desde que este servicio comenzó a rastrear estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy): actualización de una política actual | License Manager agregó permisos para descubrir los activos de licencia en las instancias mediante la ejecución de documentos SSM administrados por AWS. | 19 de noviembre de 2025 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy): actualización de una política actual | License Manager agregó los siguientes permisos para administrar las licencias y los datos de Active Directory: obtener información de rutas de Route 53, obtener información de redes y reglas de grupos de seguridad de Amazon EC2 y obtener secretos de Secrets Manager. | 7 de noviembre de 2024 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy): actualización de una política actual | License Manager agregó permisos para almacenar y recuperar secretos y usar AWS KMS claves para descifrar los secretos de AWS Secrets Manager los tokens de acceso para las suscripciones de Bring Your Own License (BYOL). | 22 de mayo de 2024 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy): política nueva | License Manager agregó un permiso para crear el rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService. Esta función proporciona permiso al License Manager para publicar AWS Organizations recursos de Amazon EC2. | 21 de diciembre de 2022 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy): actualización de una política actual | License Manager agregó el permiso ec2:DescribeVpcPeeringConnections. | 28 de noviembre de 2022 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy): política nueva | License Manager agregó un permiso para crear el rol vinculado a servicios denominado AWSLicenseManagerUserSubscriptionsServiceRolePolicy. Esta función proporciona permiso al License Manager para enumerar AWS Directory Service los recursos, utilizar las funciones de Systems Manager y gestionar los recursos de Amazon EC2 creados para las suscripciones basadas en usuarios. | 18 de julio de 2022 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy): actualización de una política actual | License Manager agregó el resource-groups:PutGroupPolicy permiso para los grupos de recursos administrados por AWS Resource Access Manager. | 27 de junio de 2022 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy): actualización de una política actual | License Manager cambió la [clave de `AWSLicenseManagerMasterAccountRolePolicy` condición](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html) de la política AWS administrada AWS Resource Access Manager de usar ram:ResourceTag aaws:ResourceTag. | 16 de noviembre de 2021 |
| [AWSLicenseManagerConsumptionPolicy](#security-iam-AWSLicenseManagerConsumptionPolicy): política nueva | License Manager agregó una nueva política que concede permisos para consumir licencias. | 11 de agosto de 2021 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy): actualización de una política actual | License Manager agregó un permiso para enumerar los administradores delegados y un permiso para crear el rol vinculado a servicios denominado AWSServiceRoleForAWSLicenseManagerMemberAccountRole. | 16 de junio de 2021 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy): actualización de una política actual | License Manager agregó un permiso para enumerar todos los recursos de License Manager, como configuraciones de licencias, licencias y concesiones. | 15 de junio de 2021 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy): actualización de una política actual | License Manager agregó un permiso para crear el rol vinculado a servicios denominado AWSServiceRoleForMarketplaceLicenseManagement. Esta función AWS Marketplace proporciona permisos para crear y administrar licencias en License Manager. Para obtener más información, consulte [Uso de roles vinculados a servicios en AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html) en la Guía para comprador de AWS Marketplace . | 9 de marzo de 2021 |
| Inicio del seguimiento de los cambios por parte de License Manager | License Manager comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 9 de marzo de 2021 |