As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para License Manager
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSLicenseManagerServiceRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de `AWSServiceRoleForAWSLicenseManagerRole` para permitir que o License Manager chame ações da API para gerenciar licenças para você. Para saber mais sobre a função vinculada ao serviço do , consulte [Permissões do principal perfil](license-manager-role-core.md#slr-permissions-core-role).
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
| --- | --- |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListAllMyBuckets | \$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| sns:Publish | arn:aws::sns:\$1:\$1:aws-license-manager-service-\$1 |
| sns:ListTopics | \$1 |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeImages | \$1 |
| ec2:DescribeHosts | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:SendCommand | arn:aws:ec2:\$1:\$1:instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1:\$1:managed-instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1::document/AWSLicenseManager-\$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListDelegatedAdministrators | \$1 |
| license-manager:GetServiceSettings | \$1 |
| license-manager:GetLicense\$1 | \$1 |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:List\$1 | \$1 |
Para ver as permissões dessa política no Console de gerenciamento da AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy).
## AWS política gerenciada: AWSLicenseManagerMasterAccountRolePolicy
Essa política é anexada à função vinculada ao serviço nomeada `AWSServiceRoleForAWSLicenseManagerMasterAccountRole` para permitir que o License Manager chame ações de API que realizam o gerenciamento de licenças para uma conta de gerenciamento central em seu nome. Para saber mais sobre a função vinculada ao serviço do , consulte [License Manager: perfil da conta de gerenciamento](management-role.md).
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
| --- | --- |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:AbortMultipartUpload | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucketMultipartUploads | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListMultipartUploadParts | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:DeleteObject | arn:aws:s3:::aws-license-manager-service-\$1/resource-sync/\$1 |
| athena:GetQueryExecution | \$1 |
| athena:GetQueryResults | \$1 |
| athena:StartQueryExecution | \$1 |
| glue:GetTable | \$1 |
| glue:GetPartition | \$1 |
| glue:GetPartitions | \$1 |
| glue:CreateTable | Consulte a nota de rodapé ¹ |
| glue:UpdateTable | Consulte a nota de rodapé ¹ |
| glue:DeleteTable | Consulte a nota de rodapé ¹ |
| glue:UpdateJob | Consulte a nota de rodapé ¹ |
| glue:UpdateCrawler | Consulte a nota de rodapé ¹ |
| organizations:DescribeOrganization | \$1 |
| organizations:ListAccounts | \$1 |
| organizations:DescribeAccount | \$1 |
| organizations:ListChildren | \$1 |
| organizations:ListParents | \$1 |
| organizations:ListAccountsForParent | \$1 |
| organizations:ListRoots | \$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| ram:GetResourceShares | \$1 |
| ram:GetResourceShareAssociations | \$1 |
| ram:TagResource | \$1 |
| ram:CreateResourceShare | \$1 |
| ram:AssociateResourceShare | \$1 |
| ram:DisassociateResourceShare | \$1 |
| ram:UpdateResourceShare | \$1 |
| ram:DeleteResourceShare | \$1 |
| resource-groups:PutGroupPolicy | \$1 |
| iam:GetRole | \$1 |
| iam:PassRole | arn:aws:iam::\$1:role/LicenseManagerServiceResourceDataSyncRole\$1 |
| cloudformation:UpdateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:CreateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DeleteStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DescribeStacks | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
¹ A seguir estão os recursos definidos para as AWS Glue ações:
+ `arn:aws:glue:*:*:catalog`
+ `arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler`
+ `arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob`
+ `arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*`
+ `arn:aws:glue:*:*:table/license_manager_resource_sync/*`
+ `arn:aws:glue:*:*:database/license_manager_resource_inventory_db`
+ `arn:aws:glue:*:*:database/license_manager_resource_sync`
Para ver as permissões dessa política no Console de gerenciamento da AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy).
## AWS política gerenciada: AWSLicenseManagerMemberAccountRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de `AWSServiceRoleForAWSLicenseManagerMemberAccountRole` para permitir que o License Manager chame ações de API para gerenciar licenças de uma conta de gerenciamento para você. Para obter mais informações, consulte [License Manager: perfil da conta-membro](member-role.md).
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
| --- | --- |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:GetLicenseConfiguration | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:CreateResourceDataSync | \$1 |
| ssm:DeleteResourceDataSync | \$1 |
| ssm:ListResourceDataSync | \$1 |
| ssm:ListAssociations | \$1 |
| ram:AcceptResourceShareInvitation | \$1 |
| ram:GetResourceShareInvitations | \$1 |
Para ver as permissões dessa política no Console de gerenciamento da AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy).
## AWS política gerenciada: AWSLicenseManagerConsumptionPolicy
É possível anexar a política `AWSLicenseManagerConsumptionPolicy` às suas identidades do IAM. Essa política concede permissões que permitem acesso às ações da API do License Manager necessárias para consumir licenças. Para obter mais informações, consulte [Uso da licença emitida pelo vendedor no License Manager](license-usage.md).
Para visualizar as permissões para esta política, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy) no Console de gerenciamento da AWS.
## AWS política gerenciada: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de política da `AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService` para permitir que o License Manager chame ações de API para gerenciar atributos de licenças baseadas no usuário. Para obter mais informações, consulte [License Manager: perfil de assinatura baseado no usuário](user-based-subscription-role.md).
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Atributo ARN |
| --- | --- |
| anúncios: DescribeDirectories | \$1 |
| anúncios: GetAuthorizedApplicationDetails | \$1 |
| ec2: CreateTags | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| ec2: DescribeInstances | \$1 |
| ec2: DescribeNetworkInterfaces | \$1 |
| ec2: DescribeSecurityGroupRules | \$1 |
| ec2: DescribeSubnets | \$1 |
| ec2: DescribeVpcPeeringConnections | \$1 |
| ec2: TerminateInstances | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| rota 53: GetHostedZone | \$1 |
| rota 53: ListResourceRecordSets | \$1 |
| gerente de segredos: GetSecretValue | arn:aws:secretsmanager: \$1:\$1:secret: -\$1 license-manager-user |
| sms: DescribeInstanceInformation | \$1 |
| sms: GetCommandInvocation | \$1 |
| sms: GetInventory | \$1 |
| sms: ListCommandInvocations | \$1 |
| sms: SendCommand | arn:aws:ssm: \$1:document/aws-² RunPowerShellScriptarn:aws:ec2:\$1:\$1:instance/\$1 ² |
¹ O License Manager só pode criar tags e encerrar instâncias que tenham os códigos de produto [bz0vcy31ooqlzk5tsash4r1ik](https://aws.amazon.com/marketplace/pp/prodview-dzstlnjdl3izg), [77yzkpa7kvee1y1tt7wnsdwoc](https://aws.amazon.com/marketplace/pp/prodview-bh46d5p2hapns) ou [d44g89hc0gp9jdzm99rznthpw](https://aws.amazon.com/marketplace/pp/prodview-zo3zltrbpgr5i).
² O License Manager só pode executar um comando SSM Run com o documento do `AWS-RunPowerShellScript` em instâncias com o nome da tag `AWSLicenseManager` e um valor de `UserSubscriptions`.
Para ver as permissões dessa política no Console de gerenciamento da AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy).
## AWS política gerenciada: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
Esta política é anexada à perfil vinculado ao serviço com nome de política da `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService` para permitir que o License Manager chame ações da API para gerenciar atributos de licenças Linux. Para obter mais informações, consulte [License Manager: perfil de assinaturas Linux](linux-subscriptions-role.md).
A política de permissões do perfil permite que o License Manager execute as ações a seguir nos atributos especificados.
| Ação | Condições | Recurso |
| --- | --- | --- |
| ec2:DescribeInstances | N/D | \$1 |
| ec2:DescribeRegions | N/D | \$1 |
| organizations:DescribeOrganization | N/D | \$1 |
| organizations:ListAccounts | N/D | \$1 |
| organizations:DescribeAccount | N/D | \$1 |
| organizations:ListChildren | N/D | \$1 |
| organizations:ListParents | N/D | \$1 |
| organizations:ListAccountsForParent | N/D | \$1 |
| organizations:ListRoots | N/D | \$1 |
| organizations:ListAWSServiceAccessForOrganization | N/D | \$1 |
| organizations:ListDelegatedAdministrators | N/D | \$1 |
| gerente de segredos: GetSecretValue | StringEquals: *“aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “ativado”* *“aws: ResourceAccount “: “\$1 \$1aws:PrincipalAccount\$1”* | arn:aws:secretsmanager:\$1:\$1:secret:\$1 |
| kms:Decrypt | StringEquals: *“aws:ResourceTag/LicenseManagerLinuxSubscriptions“: “ativado”,* *“aws: ResourceAccount “: “\$1 \$1aws:PrincipalAccount\$1”* ** StringLike: *“kms: “: [ViaService“secretsmanager.\$1.amazonaws.com”]* | arn:aws:kms:\$1:\$1:key/\$1 |
Para ver as permissões dessa política no Console de gerenciamento da AWS, consulte [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy).
## Atualizações do License Manager para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do License Manager desde que esse serviço começou a rastrear essas alterações.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy): atualizar para uma política existente | O License Manager adicionou permissões para descobrir ativos de licença em instâncias executando documentos SSM gerenciados pela AWS. | 19 de novembro de 2025 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy) – atualização para uma política existente | O License Manager adicionou as seguintes permissões para gerenciar o licenciamento e os dados do Active Directory: obter informações de rota do Route 53, obter informações de rede e regras de grupos de segurança do Amazon EC2 e obter segredos do Secrets Manager. | 7 de novembro de 2024 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy) – atualização para uma política existente | O License Manager adicionou permissões para armazenar e recuperar segredos e usar AWS KMS chaves para descriptografar segredos de AWS Secrets Manager token de acesso para assinaturas Bring Your Own License (BYOL). | 22 de maio de 2024 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy) – Nova política | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService. Essa função fornece ao License Manager permissão para listar AWS Organizations recursos do Amazon EC2. | 21 de dezembro de 2022 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy) – atualização para uma política existente | O License Manager adicionou a permissão do ec2:DescribeVpcPeeringConnections. | 28 de novembro de 2022 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – Nova política | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSLicenseManagerUserSubscriptionsServiceRolePolicy. Essa função fornece ao License Manager permissão para listar AWS Directory Service recursos, utilizar recursos do Systems Manager e gerenciar recursos do Amazon EC2 criados para assinaturas baseadas em usuários. | 18 de julho de 2022 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – atualização para uma política existente | O License Manager adicionou a resource-groups:PutGroupPolicy permissão para grupos de recursos gerenciados por AWS Resource Access Manager. | 27 de junho de 2022 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – atualização para uma política existente | O License Manager alterou a [chave de `AWSLicenseManagerMasterAccountRolePolicy` condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html) da política AWS AWS Resource Access Manager gerenciada de usar ram:ResourceTag paraaws:ResourceTag. | 16 de novembro de 2021 |
| [AWSLicenseManagerConsumptionPolicy](#security-iam-AWSLicenseManagerConsumptionPolicy) – Nova política | O License Manager adicionou uma nova política que concede permissões para consumir licenças. | 11 de agosto de 2021 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – atualização para uma política existente | O License Manager adicionou uma permissão para listar administradores delegados e uma permissão para criar o perfil vinculado ao serviço chamado AWSServiceRoleForAWSLicenseManagerMemberAccountRole. | 16 de junho de 2021 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – atualização para uma política existente | O License Manager adicionou uma permissão para listar todos os atributos do License Manager, como configurações de licenças, licenças e concessões. | 15 de junho de 2021 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – atualização para uma política existente | O License Manager adicionou uma permissão para criar o perfil vinculado ao serviço chamado de AWSServiceRoleForMarketplaceLicenseManagement. Essa função AWS Marketplace fornece permissões para criar e gerenciar licenças no License Manager. Para obter mais informações, consulte [perfis vinculados ao serviço para o AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html) no Guia do comprador do AWS Marketplace . | 9 de março de 2021 |
| O License Manager começou a rastrear as alterações | O License Manager começou a monitorar as alterações em suas políticas AWS gerenciadas. | 9 de março de 2021 |