本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS License Manager 的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略:AWSLicenseManagerServiceRolePolicy
此策略将附加到名为 `AWSServiceRoleForAWSLicenseManagerRole` 的服务相关角色,这样 License Manager 可以代表您调用 API 操作来管理许可证。有关服务相关角色的更多信息,请参阅 [核心角色的权限](license-manager-role-core.md#slr-permissions-core-role)。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| Action | 资源 ARN |
| --- | --- |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListAllMyBuckets | \$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| sns:Publish | arn:aws::sns:\$1:\$1:aws-license-manager-service-\$1 |
| sns:ListTopics | \$1 |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeImages | \$1 |
| ec2:DescribeHosts | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:SendCommand | arn:aws:ec2:\$1:\$1:instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1:\$1:managed-instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1::document/AWSLicenseManager-\$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListDelegatedAdministrators | \$1 |
| license-manager:GetServiceSettings | \$1 |
| license-manager:GetLicense\$1 | \$1 |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:List\$1 | \$1 |
要在中查看此策略的权限 AWS 管理控制台,请参阅[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy)。
## AWS 托管策略:AWSLicenseManagerMasterAccountRolePolicy
此策略附加`AWSServiceRoleForAWSLicenseManagerMasterAccountRole`到名为的服务相关角色,允许 License Manager 调用代表您为中央管理账户执行许可证管理的 API 操作。有关服务相关角色的更多信息,请参阅 [License Manager — 管理账户角色](management-role.md)。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| Action | 资源 ARN |
| --- | --- |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:AbortMultipartUpload | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucketMultipartUploads | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListMultipartUploadParts | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:DeleteObject | arn:aws:s3:::aws-license-manager-service-\$1/resource-sync/\$1 |
| athena:GetQueryExecution | \$1 |
| athena:GetQueryResults | \$1 |
| athena:StartQueryExecution | \$1 |
| glue:GetTable | \$1 |
| glue:GetPartition | \$1 |
| glue:GetPartitions | \$1 |
| glue:CreateTable | 请参阅脚注 ¹ |
| glue:UpdateTable | 请参阅脚注 ¹ |
| glue:DeleteTable | 请参阅脚注 ¹ |
| glue:UpdateJob | 请参阅脚注 ¹ |
| glue:UpdateCrawler | 请参阅脚注 ¹ |
| organizations:DescribeOrganization | \$1 |
| organizations:ListAccounts | \$1 |
| organizations:DescribeAccount | \$1 |
| organizations:ListChildren | \$1 |
| organizations:ListParents | \$1 |
| organizations:ListAccountsForParent | \$1 |
| organizations:ListRoots | \$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| ram:GetResourceShares | \$1 |
| ram:GetResourceShareAssociations | \$1 |
| ram:TagResource | \$1 |
| ram:CreateResourceShare | \$1 |
| ram:AssociateResourceShare | \$1 |
| ram:DisassociateResourceShare | \$1 |
| ram:UpdateResourceShare | \$1 |
| ram:DeleteResourceShare | \$1 |
| resource-groups:PutGroupPolicy | \$1 |
| iam:GetRole | \$1 |
| iam:PassRole | arn:aws:iam::\$1:role/LicenseManagerServiceResourceDataSyncRole\$1 |
| cloudformation:UpdateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:CreateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DeleteStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DescribeStacks | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
¹ 以下是为 AWS Glue 操作定义的资源:
+ `arn:aws:glue:*:*:catalog`
+ `arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler`
+ `arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob`
+ `arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*`
+ `arn:aws:glue:*:*:table/license_manager_resource_sync/*`
+ `arn:aws:glue:*:*:database/license_manager_resource_inventory_db`
+ `arn:aws:glue:*:*:database/license_manager_resource_sync`
要在中查看此策略的权限 AWS 管理控制台,请参阅[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy)。
## AWS 托管策略:AWSLicenseManagerMemberAccountRolePolicy
此策略将附加到名为 `AWSServiceRoleForAWSLicenseManagerMemberAccountRole` 的服务相关角色,这样 License Manager 可以代表您从配置的管理账户调用 API 操作来管理许可证。有关更多信息,请参阅 [License Manager — 成员账户角色](member-role.md)。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| Action | 资源 ARN |
| --- | --- |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:GetLicenseConfiguration | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:CreateResourceDataSync | \$1 |
| ssm:DeleteResourceDataSync | \$1 |
| ssm:ListResourceDataSync | \$1 |
| ssm:ListAssociations | \$1 |
| ram:AcceptResourceShareInvitation | \$1 |
| ram:GetResourceShareInvitations | \$1 |
要在中查看此策略的权限 AWS 管理控制台,请参阅[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy)。
## AWS 托管策略:AWSLicenseManagerConsumptionPolicy
您可以将 `AWSLicenseManagerConsumptionPolicy` 策略附加到您的 IAM 身份上。此策略授予的权限允许访问使用许可证所需的 License Manager API 操作。有关更多信息,请参阅 [卖家在 License Manager 中颁发的许可证使用情况](license-usage.md)。
要查看此策略的权限,请参阅 AWS 管理控制台中的 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy)。
## AWS 托管策略:AWSLicenseManagerUserSubscriptionsServiceRolePolicy
此策略将附加到名为 `AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService` 策略的服务相关角色,这样 License Manager 可以调用 API 操作来管理基于用户的订阅资源。有关更多信息,请参阅 [License Manager — 基于用户的订阅角色](user-based-subscription-role.md)。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| Action | 资源 ARN |
| --- | --- |
| ds: DescribeDirectories | \$1 |
| ds: GetAuthorizedApplicationDetails | \$1 |
| ec2: CreateTags | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| ec2: DescribeInstances | \$1 |
| ec2: DescribeNetworkInterfaces | \$1 |
| ec2: DescribeSecurityGroupRules | \$1 |
| ec2: DescribeSubnets | \$1 |
| ec2: DescribeVpcPeeringConnections | \$1 |
| ec2: TerminateInstances | arn:aws:ec2:\$1:\$1:instance/\$1 ¹ |
| 53 号公路:GetHostedZone | \$1 |
| 53 号公路:ListResourceRecordSets | \$1 |
| 秘密管理器:GetSecretValue | arn: aws: secretsmanager: \$1: \$1: secret:-\$1 license-manager-user |
| ssm:DescribeInstanceInformation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:GetInventory | \$1 |
| ssm:ListCommandInvocations | \$1 |
| ssm:SendCommand | arn: aws: ssm: \$1:: document/aws-² RunPowerShellScriptarn:aws:ec2:\$1:\$1:instance/\$1 ² |
¹ License Manager 只能在产品代码为 [bz0vcy31ooqlzk5tsash4r1ik](https://aws.amazon.com/marketplace/pp/prodview-dzstlnjdl3izg)、[77yzkpa7kvee1y1tt7wnsdwoc](https://aws.amazon.com/marketplace/pp/prodview-bh46d5p2hapns) 或 [d44g89hc0gp9jdzm99rznthpw](https://aws.amazon.com/marketplace/pp/prodview-zo3zltrbpgr5i) 的实例上创建标签并终止这些实例。
² License Manager 只能在标签名称为 `AWSLicenseManager`、值为 `UserSubscriptions` 的实例上使用 `AWS-RunPowerShellScript` 文档执行 SSM Run Command。
要在中查看此策略的权限 AWS 管理控制台,请参阅[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy)。
## AWS 托管策略:AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
此策略将附加到名为 `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService` 策略的服务相关角色,这样 License Manager 可以调用 API 操作来管理 Linux 订阅资源。有关更多信息,请参阅 [License Manager — Linux 订阅角色](linux-subscriptions-role.md)。
角色权限策略允许 License Manager 对指定的资源完成以下操作。
| Action | Conditions | 资源 |
| --- | --- | --- |
| ec2:DescribeInstances | 不适用 | \$1 |
| ec2:DescribeRegions | 不适用 | \$1 |
| organizations:DescribeOrganization | 不适用 | \$1 |
| organizations:ListAccounts | 不适用 | \$1 |
| organizations:DescribeAccount | 不适用 | \$1 |
| organizations:ListChildren | 不适用 | \$1 |
| organizations:ListParents | 不适用 | \$1 |
| organizations:ListAccountsForParent | 不适用 | \$1 |
| organizations:ListRoots | 不适用 | \$1 |
| organizations:ListAWSServiceAccessForOrganization | 不适用 | \$1 |
| organizations:ListDelegatedAdministrators | 不适用 | \$1 |
| 秘密管理器:GetSecretValue | StringEquals: *“aws:ResourceTag/”: LicenseManagerLinuxSubscriptions “已启用”* *“aws: ResourceAccount “: “\$1 \$1aws:PrincipalAccount\$1”* | arn:aws:secretsmanager:\$1:\$1:secret:\$1 |
| kms:Decrypt | StringEquals: *“aws:ResourceTag/”: LicenseManagerLinuxSubscriptions “已启用”,* *“aws: ResourceAccount “: “\$1 \$1aws:PrincipalAccount\$1”* ** StringLike: *“kms:”: [ViaService“secretsmanager.\$1.amazonaws.com”]* | arn:aws:kms:\$1:\$1:key/\$1 |
要在中查看此策略的权限 AWS 管理控制台,请参阅[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy)。
## License Manager 更新 AWS 了托管策略
查看自该服务开始跟踪这些更改以来,License Manager AWS 托管策略更新的详细信息。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy):对现有策略的更新 | License Manager 增加了通过运行 AWS 托管的 SSM 文档来发现实例上的许可证资产的权限。 | 2025 年 11 月 19 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy):对现有策略的更新 | License Manager 添加了以下权限来管理许可和 Active Directory 数据:从 Route 53 获取路线信息,从 Amazon EC2 获取网络信息和安全组规则,以及从 Secrets Manager 获取机密。 | 2024 年 11 月 7 日 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy):对现有策略的更新 | License Manager 增加了存储和检索机密以及使用 AWS KMS 密钥解密自带许可 (BYOL) 订阅的访问令牌密钥的权限。 AWS Secrets Manager | 2024 年 5 月 22 日 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy):新策略 | License Manager 添加了创建名为 AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService 的服务相关角色的权限。此角色提供许可证管理器列出 AWS Organizations 和 Amazon EC2 资源的权限。 | 2022 年 12 月 21 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy):对现有策略的更新 | License Manager 已添加 ec2:DescribeVpcPeeringConnections 权限。 | 2022 年 11 月 28 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy):新策略 | License Manager 添加了创建名为 AWSLicenseManagerUserSubscriptionsServiceRolePolicy 的服务相关角色的权限。此角色为许可证管理员提供了列出 AWS Directory Service 资源、使用系统管理器功能和管理为基于用户的订阅创建的 Amazon EC2 资源的权限。 | 2022 年 7 月 18 日 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy):对现有策略的更新 | License Manager 为管理的资源组添加了resource-groups:PutGroupPolicy权限 AWS Resource Access Manager。 | 2022 年 6 月 27 日 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy):对现有策略的更新 | License Manager 将 AWS 托管策略AWSLicenseManagerMasterAccountRolePolicy[条件密钥 AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html)从使用ram:ResourceTag更改为aws:ResourceTag。 | 2021 年 11 月 16 日 |
| [AWSLicenseManagerConsumptionPolicy](#security-iam-AWSLicenseManagerConsumptionPolicy):新策略 | License Manager 添加了一项新策略,该策略授予使用许可证的权限。 | 2021 年 8 月 11 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy):对现有策略的更新 | License Manager 添加了列出委托管理员的权限和创建名为 AWSServiceRoleForAWSLicenseManagerMemberAccountRole 的服务相关角色的权限。 | 2021 年 6 月 16 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy):对现有策略的更新 | License Manager 添加了列出所有 License Manager 资源(例如许可证配置、许可证和授予)的权限。 | 2021 年 6 月 15 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy):对现有策略的更新 | License Manager 添加了创建名为 AWSServiceRoleForMarketplaceLicenseManagement 的服务相关角色的权限。此角色 AWS Marketplace 提供在 License Manager 中创建和管理许可证的权限。有关更多信息,请参阅《AWS Marketplace 买家指南》中的 [AWS Marketplace的服务相关角色](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html)。 | 2021 年 3 月 9 日 |
| License Manager 开始跟踪更改 | License Manager 开始跟踪其 AWS 托管策略的更改。 | 2021 年 3 月 9 日 |