本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制对 AWS Marketplace 订阅的访问权限
<a name="buyer-iam-users-groups-policies"></a>

AWS IAM Identity Center 帮助您安全地创建或连接员工身份，并集中管理他们对 AWS 账户 和应用程序的访问权限。对于任何规模和类型的组织，推荐使用 IAM Identity Center AWS 进行员工身份验证和授权。有关其他配置指南，请查看 [AWS 安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-sso)。

IAM Identity Center 提供一个用户门户，在其中，您的用户可以在一个地方集中查找和访问分配给他们的 AWS 账户账户、云应用程序及自定义应用程序。IAM Identity Center 将单点登录访问权限分配给您的连接目录中的用户和组，并使用权限集来确定他们的访问级别。这将启用临时安全凭证。您可以通过分配特定的 AWS 托管角色来定义他们的 AWS Marketplace 访问级别，以便在整个 AWS 组织中委托 AWS Marketplace 订阅管理。

例如，客户 A 使用附加到角色的 `ManagedMarketplace_ViewOnly` 策略来通过联合身份验证代入角色。这意味着客户 A 只能在 AWS Marketplace中查看订阅。您可以创建具有查看订阅权限的 IAM 角色，并向客户 A 授予[代入此角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)的权限。

## 创建用于 AWS Marketplace 访问的 IAM 角色
<a name="buyer-creating-iam-role-for-marketplace-access"></a>

您可以使用 IAM 角色委派对 AWS 资源的访问权限。

**创建用于分配 AWS Marketplace 权限的 IAM 角色**

1. 打开 [IAM 控制台](https://console.aws.amazon.com/iam/)。

1. 在左侧的导航窗格中，选择**角色**，然后选择**创建角色**。

1. 选择你的 AWS 账户。

1. 从**添加权限**中，选择以下任一策略：
   + 要允许只查看订阅（但不能更改）的权限，请选择 **AWSMarketplaceRead-only**。
   + 要允许订阅和取消订阅的权限，请选择 **AWSMarketplaceManageSubscriptions**。
   + 要允许完全控制您的订阅，请选择 **AWSMarketplaceFullAccess**。

1. 选择**下一步**。

1. 对于**角色名称**，为角色输入一个名称。例如，*MarketplaceReadOnly* 或 *MarketplaceFullAccess*。然后选择**创建角色**。有关更多信息，请参阅[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。

**注意**  
指定账户的管理员可向该账户中的任何用户授予代入该角色的权限。

重复上述步骤，创建更多具有不同权限集的角色，以便每个用户角色都可以使用具有自定义权限的 IAM 角色。

您不仅限于此处描述的 AWS 托管策略中的权限。您可以使用 IAM 创建具有自定义权限的策略，然后将这些策略添加到 IAM 角色。有关更多信息，请参阅《IAM 用户指南》**中的[管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)及[添加 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。

## AWS 的托管策略 AWS Marketplace
<a name="buyer-iam-builtin-policies"></a>

您可以使用 AWS 托管策略来提供基本 AWS Marketplace 权限。然后，对于任何特定方案，您可以创建自己的策略并将其应用到具有方案特定要求的角色。您可以使用以下基本 AWS Marketplace 托管策略来控制谁拥有哪些权限。

这些链接会将您引导 [AWS 托管式策略参考](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html)``
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html)

AWS Marketplace 还为特定场景提供了专门的托管策略。有关面向 AWS Marketplace 买家的 AWS 托管政策的完整列表以及他们提供的权限的描述，请参阅[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)本节中的。

## 使用 License Manager 的权限
<a name="buyer-iam-permissions-for-license-manager"></a>

AWS Marketplace 与集成 AWS License Manager ，用于管理和共享您在组织中的账户之间订阅的产品的许可证。要在中查看您的订阅的完整详细信息 AWS Marketplace，用户必须能够列出来自的许可证信息 AWS License Manager。

要确保您的用户拥有查看有关其 AWS Marketplace 产品和订阅的所有数据所需的权限，请添加以下权限：
+ `license-manager:ListReceivedLicenses`

有关设置权限的更多信息，请参阅《IAM 用户指南》**中的[管理 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。

## 其他资源
<a name="buyer-iam-permissions-for-more-information"></a>

有关管理 IAM 角色的更多信息，请参阅《IAM 用户指南》**中的 [IAM 身份（用户、用户组和角色）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。

有关管理 IAM 权限和策略的更多信息，请参阅 IA *M 用户指南*中的[使用策略控制对 AWS 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)权限。

有关管理 AWS Data Exchange 中数据产品的 IAM 权限和策略的更多信息，请参阅 AWS Data Exchange 用户指南**中的 [AWS Data Exchange 中的身份和访问管理](https://docs.aws.amazon.com/data-exchange/latest/userguide/auth-access.html)。