翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS License Manager の 管理ポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の 管理ポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS 管理ポリシー: AWSLicenseManagerServiceRolePolicy
このポリシーは、`AWSServiceRoleForAWSLicenseManagerRole` という名前のサービスリンクロールにアタッチされ、License Manager がユーザーの代わりに API アクションを呼び出してライセンスを管理できるようにします。サービスにリンクされたロールの詳細については、「[コアロールのアクセス許可](license-manager-role-core.md#slr-permissions-core-role)」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| Action | リソースARN |
| --- | --- |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListAllMyBuckets | \$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| sns:Publish | arn:aws::sns:\$1:\$1:aws-license-manager-service-\$1 |
| sns:ListTopics | \$1 |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeImages | \$1 |
| ec2:DescribeHosts | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:SendCommand | arn:aws:ec2:\$1:\$1:instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1:\$1:managed-instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1::document/AWSLicenseManager-\$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListDelegatedAdministrators | \$1 |
| license-manager:GetServiceSettings | \$1 |
| license-manager:GetLicense\$1 | \$1 |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:List\$1 | \$1 |
でこのポリシーのアクセス許可を表示するには AWS マネジメントコンソール、「」を参照してください[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy)。
## AWS 管理ポリシー: AWSLicenseManagerMasterAccountRolePolicy
このポリシーは、License Manager がユーザーに代わって中央管理アカウントのライセンス管理を実行する API アクションを呼び出す`AWSServiceRoleForAWSLicenseManagerMasterAccountRole`ことができるように、 という名前のサービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「[License Manager - 管理アカウントのロール](management-role.md)」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| Action | リソースARN |
| --- | --- |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:AbortMultipartUpload | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucketMultipartUploads | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListMultipartUploadParts | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:DeleteObject | arn:aws:s3:::aws-license-manager-service-\$1/resource-sync/\$1 |
| athena:GetQueryExecution | \$1 |
| athena:GetQueryResults | \$1 |
| athena:StartQueryExecution | \$1 |
| glue:GetTable | \$1 |
| glue:GetPartition | \$1 |
| glue:GetPartitions | \$1 |
| glue:CreateTable | 脚注 ¹ を参照してください。 |
| glue:UpdateTable | 脚注 ¹ を参照してください。 |
| glue:DeleteTable | 脚注 ¹ を参照してください。 |
| glue:UpdateJob | 脚注 ¹ を参照してください。 |
| glue:UpdateCrawler | 脚注 ¹ を参照してください。 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListAccounts | \$1 |
| organizations:DescribeAccount | \$1 |
| organizations:ListChildren | \$1 |
| organizations:ListParents | \$1 |
| organizations:ListAccountsForParent | \$1 |
| organizations:ListRoots | \$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| ram:GetResourceShares | \$1 |
| ram:GetResourceShareAssociations | \$1 |
| ram:TagResource | \$1 |
| ram:CreateResourceShare | \$1 |
| ram:AssociateResourceShare | \$1 |
| ram:DisassociateResourceShare | \$1 |
| ram:UpdateResourceShare | \$1 |
| ram:DeleteResourceShare | \$1 |
| resource-groups:PutGroupPolicy | \$1 |
| iam:GetRole | \$1 |
| iam:PassRole | arn:aws:iam::\$1:role/LicenseManagerServiceResourceDataSyncRole\$1 |
| cloudformation:UpdateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:CreateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DeleteStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DescribeStacks | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
1 AWS Glue アクションに定義されているリソースは次のとおりです。
+ `arn:aws:glue:*:*:catalog`
+ `arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler`
+ `arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob`
+ `arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*`
+ `arn:aws:glue:*:*:table/license_manager_resource_sync/*`
+ `arn:aws:glue:*:*:database/license_manager_resource_inventory_db`
+ `arn:aws:glue:*:*:database/license_manager_resource_sync`
でこのポリシーのアクセス許可を表示するには AWS マネジメントコンソール、「」を参照してください[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy)。
## AWS 管理ポリシー: AWSLicenseManagerMemberAccountRolePolicy
このポリシーは、`AWSServiceRoleForAWSLicenseManagerMemberAccountRole` という名前のサービスリンクロールにアタッチされ、License Manager がユーザーの代わりに設定された管理アカウントからライセンス管理のための API アクションを呼び出せるようにします。詳細については、「[License Manager - メンバーアカウントロール](member-role.md)」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| Action | リソースARN |
| --- | --- |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:GetLicenseConfiguration | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:CreateResourceDataSync | \$1 |
| ssm:DeleteResourceDataSync | \$1 |
| ssm:ListResourceDataSync | \$1 |
| ssm:ListAssociations | \$1 |
| ram:AcceptResourceShareInvitation | \$1 |
| ram:GetResourceShareInvitations | \$1 |
でこのポリシーのアクセス許可を表示するには AWS マネジメントコンソール、「」を参照してください[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy)。
## AWS 管理ポリシー: AWSLicenseManagerConsumptionPolicy
`AWSLicenseManagerConsumptionPolicy`ポリシーは IAM アイデンティティにアタッチできます。このポリシーは、ライセンスを消費するために必要なLicense Manager APIアクションへのアクセスを許可する権限を付与します。詳細については、「[License Manager で販売者が発行したライセンスの使用](license-usage.md)」を参照してください。
このポリシーのアクセス許可を確認するには、「 AWS マネジメントコンソール」の「[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy)」を参照してください。
## AWS 管理ポリシー: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
このポリシーは、`AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService` という名前のサービスリンクロールにアタッチされ、License Manager が API アクションを呼び出してユーザーベースのサブスクリプションのリソースを管理できるようにします。詳細については、「[License Manager - ユーザーベースのサブスクリプションロール](user-based-subscription-role.md)」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| Action | リソースARN |
| --- | --- |
| ds:DescribeDirectories | \$1 |
| DS: 承認済みアプリケーションの詳細を取得 | \$1 |
| ec2:CreateTags | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeNetworkInterfaces | \$1 |
| ec2:DescribeSecurityGroupRules | \$1 |
| ec2:DescribeSubnets | \$1 |
| ec2:DescribeVpcPeeringConnections | \$1 |
| ec2:TerminateInstances | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| route53:GetHostedZone | \$1 |
| route53:ListResourceRecordSets | \$1 |
| secretsmanager:GetSecretValue | arn:aws:secretsmanager:\$1:\$1:secret:license-manager-user-\$1 |
| ssm:DescribeInstanceInformation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:GetInventory | \$1 |
| ssm:ListCommandInvocations | \$1 |
| SSM: SendCommand | arn:aws:ssm:\$1::document/AWS-RunPowerShellScript ²arn:aws:ec2:\$1:\$1:instance/\$1 ² |
¹ License Manager は、製品コード [bz0vcy31ooqlzk5tsash4r1ik](https://aws.amazon.com/marketplace/pp/prodview-dzstlnjdl3izg)、[77yzkpa7kvee1y1tt7wnsdwoc](https://aws.amazon.com/marketplace/pp/prodview-bh46d5p2hapns)、または [d44g89hc0gp9jdzm99rznthpw](https://aws.amazon.com/marketplace/pp/prodview-zo3zltrbpgr5i) のインスタンスでのみタグを作成および終了できます。
² License Manager は、タグ名が `AWSLicenseManager` で値が `UserSubscriptions` のインスタンスでのみ、`AWS-RunPowerShellScript` ドキュメントを使用して SSM 実行コマンドを実行できます。
でこのポリシーのアクセス許可を表示するには AWS マネジメントコンソール、「」を参照してください[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy)。
## AWS マネージドポリシー: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
このポリシーは、`AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService` という名前のサービスリンクロールに添付され、License Manager が API アクションを呼び出して Linux サブスクリプションのリソースを管理できるようにします。詳細については、「[license-manager - Linux サブスクリプションロール](linux-subscriptions-role.md)」を参照してください。
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを License Maneger に許可します。
| Action | 条件 | [リソース] |
| --- | --- | --- |
| ec2:DescribeInstances | 該当なし | \$1 |
| ec2:DescribeRegions | 該当なし | \$1 |
| organizations:DescribeOrganization | 該当なし | \$1 |
| organizations:ListAccounts | 該当なし | \$1 |
| organizations:DescribeAccount | 該当なし | \$1 |
| organizations:ListChildren | 該当なし | \$1 |
| organizations:ListParents | 該当なし | \$1 |
| organizations:ListAccountsForParent | 該当なし | \$1 |
| organizations:ListRoots | 該当なし | \$1 |
| organizations:ListAWSServiceAccessForOrganization | 該当なし | \$1 |
| organizations:ListDelegatedAdministrators | 該当なし | \$1 |
| secretsmanager:GetSecretValue | StringEquals: *「aws:ResourceTag/LicenseManagerLinuxSubscriptions」:「enabled*」 *「aws:ResourceAccount」:「\$1\$1aws:PrincipalAccount\$1*」 | arn:aws:secretsmanager:\$1:\$1:secret:\$1 |
| kms:Decrypt | StringEquals: *"aws:ResourceTag/LicenseManagerLinuxSubscriptions": "enabled",* *「aws:ResourceAccount」:「\$1\$1aws:PrincipalAccount\$1*」 ** StringLike: *kms:ViaService」: [「secretsmanager.\$1.amazonaws.com」]* | arn:aws:kms:\$1:\$1:key/\$1 |
でこのポリシーのアクセス許可を表示するには AWS マネジメントコンソール、「」を参照してください[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy)。
## License Manager の AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始してからの License Manager の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) - 既存ポリシーへの更新 | License Manager は、AWS が管理する SSM ドキュメントを実行してインスタンスのライセンスアセットを検出するアクセス許可を追加しました。 | 2025 年 11 月 19 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy) – 既存ポリシーへの更新 | License Manager は、ライセンスと Active Directory データを管理するための次のアクセス許可を追加しました。Route 53 からのルート情報の取得、Amazon EC2 からのネットワーク情報とセキュリティグループルールの取得、Secrets Manager からのシークレットの取得。 | 2024 年 11 月 7 日 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy) – 既存ポリシーへの更新 | License Manager に、Bring Your Own License (BYOL) サブスクリプションのシークレットを保存および取得し AWS Secrets Manager、 AWS KMS キーを使用してアクセストークンシークレットを復号するアクセス許可が追加されました。 | 2024 年 5 月 22 日 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy) - 新しいポリシー | License Manager が、AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService という名前のサービスリンクロールを作成する権限を追加しました。このロールは、 AWS Organizations および Amazon EC2 リソースを一覧表示するアクセス許可を License Manager に付与します。 | 2022 年 12 月 21 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy) – 既存ポリシーへの更新 | License Manager が ec2:DescribeVpcPeeringConnections 権限を追加しました。 | 2022 年 11 月 28 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) - 新しいポリシー | License Manager が、AWSLicenseManagerUserSubscriptionsServiceRolePolicy という名前のサービスリンクロールを作成する権限を追加しました。このロールは、リソースの一覧表示 AWS Directory Service 、Systems Manager 機能の使用、ユーザーベースのサブスクリプション用に作成された Amazon EC2 リソースの管理を行うアクセス許可を License Manager に付与します。 | 2022 年 7 月 18 日 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – 既存ポリシーへの更新 | License Manager は、 によって管理されるリソースグループのresource-groups:PutGroupPolicyアクセス許可を追加しました AWS Resource Access Manager。 | 2022 年 6 月 27 日 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – 既存ポリシーへの更新 | License Manager は、 の AWS マネージドポリシーAWSLicenseManagerMasterAccountRolePolicy条件キーを の使用から ram:ResourceTagに変更しましたaws:ResourceTag。 [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html) | 2021 年 11 月 16 日 |
| [AWSLicenseManagerConsumptionPolicy](#security-iam-AWSLicenseManagerConsumptionPolicy) - 新しいポリシー | License Manager は、ライセンスを消費する権限を付与する新しいポリシーを追加しました。 | 2021 年 8 月 11 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 既存ポリシーへの更新 | License Manager では、委任された管理者の一覧を表示する許可と、AWSServiceRoleForAWSLicenseManagerMemberAccountRole という名前のサービスリンクロールを作成する権限が追加されていました。 | 2021年6月16日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 既存ポリシーへの更新 | License Manegerは、ライセンス設定、ライセンス、権限など、すべてのLicense Maneger リソースを一覧表示する権限を追加しました。 | 2021年6月15日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 既存ポリシーへの更新 | License Manager が、AWSServiceRoleForMarketplaceLicenseManagement という名前のサービスリンクロールを作成する権限を追加しました。このロールは、License Manager でライセンスを作成および管理するためのアクセス許可 AWS Marketplace を に付与します。詳細については、AWS Marketplace 購入者ガイドの [Service-linked roles for AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html) を参照してください。 | 2021年3月9日 |
| License Maneger が変更の追跡を開始 | License Manager は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 9 日 |