本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全开启 AWS Marketplace
我们列出来自高质量卖家的软件,并积极努力保持所选产品的质量。 由于每个客户都不一样,我们的目标是提供有关所列商品的足够信息, AWS Marketplace 以便买家能够做出正确的购买决定。
**注意**
有关通过 AWS Data Exchange 购买的数据产品安全性的信息,请参阅《AWS Data Exchange 用户指南》**中的[安全性](https://docs.aws.amazon.com/data-exchange/latest/userguide/security.html)。
有关卖家安全的信息 AWS Marketplace,请参阅《*AWS Marketplace 卖家指南*》中的[AWS Marketplace 安全](https://docs.aws.amazon.com/marketplace/latest/userguide/security.html)。
## 与卖家分享的订阅用户信息
我们可能会出于以下原因与我们的卖家分享您的联系信息:
+ 如果他们需要提供客户培训和技术支持。
+ 用于软件激活、配置和内容自定义。
+ 内部补偿他们的销售团队。
此外,我们可能还会与卖家分享公司名称、完整地址和使用费用等信息,以便卖家为其销售团队提供补偿。我们还可能与卖家分享某些信息以帮助他们评估其市场营销活动的有效性。卖家可以使用该信息以及他们已拥有的信息确定其销售团队的奖励或特定买家的使用情况。
否则,我们通常不会与卖家分享客户信息,并且分享的任何信息不是个人身份信息,除非您允许我们分享此类信息,或我们认为需要向卖家提供该信息以遵守法律或法规。
# 将 IAM 策略升级到 IPv6
AWS Marketplace 客户使用 IAM 策略来设置允许的 IP 地址范围,并防止配置范围之外的任何 IP 地址能够访问 AWS Marketplace 资源。
AWS Marketplace 网站域名正在升级为该 IPv6 协议。
未更新以处理 IPv6 地址的 IP 地址筛选策略可能会导致客户端无法访问 AWS Marketplace 网站上的资源。
## 受从升级 IPv4 到影响的客户 IPv6
使用双寻址的客户会受到此次升级的影响。双寻址意味着网络同时支持 IPv4 和 IPv6。
如果您使用的是双地址,则必须更新当前配置了 IPv4 格式地址的 IAM 策略,使其包含 IPv6 格式地址。
有关访问问题的帮助,请联系 [支持](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create)。
**注意**
以下客户*不受*此次升级的影响:
*仅*使用 IPv4 网络的客户。
*仅*使用 IPv6 网络的客户。
## 什么是 IPv6?
IPv6 是旨在最终取代的下一代 IP 标准 IPv4。之前的版本使用 32 位寻址方案来支持 43 亿台设备。 IPv4 IPv6 而是使用 128 位寻址来支持大约 340 万亿亿亿美元(或第 128 功率的 2 倍)设备。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## 更新的 IAM 政策 IPv6
目前,IAM 策略用于使用 `aws:SourceIp` 筛选器设置允许的 IP 地址范围。
双寻址同时支持 IPv4 和 IPV6 流量。如果您的网络使用双寻址,则必须确保更新用于 IP 地址筛选的所有 IAM 策略以包含 IPv6 地址范围。
例如,此基于 IAM 身份的策略在条件元素中标识了允许 IPv4 的地址 CIDR 范围 192.0.2.0/24 和 203.0.113.0/24。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "aws-marketplace:*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
------
有关 IAM 基于身份的策略示例的更多信息,请参阅[《*AWS Identity and Access Management 用户*指南》中的AWS: AWS 根据源 IP 拒绝访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
为了更新此政策,策略的`Condition`元素已更新为包括 IPv6 地址范围`2001:DB8:1234:5678::/64`和`2001:cdba:3257:8593::/64`。
**注意**
请勿删除现有 IPv4 地址,因为它们是向后兼容所必需的。
```
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24", <>
"203.0.113.0/24", <>
"2001:DB8:1234:5678::/64", <>
"2001:cdba:3257:8593::/64" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
有关使用 IAM 管理访问权限的更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[托管策略与内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## 从更新 IPv4 到之后测试网络 IPv6
将 IAM 策略更新为该 IPv6 格式后,您可以测试您的网络是否正在访问 IPv6 终端节点和 AWS Marketplace 网站功能。
**Topics**
+ [使用 Linux/Unix 或 Mac OS X 测试网络](#testing-linux)
+ [使用 Windows 7 或 Windows 10 测试网络](#testing-widows)
+ [测试 AWS Marketplace 网站](#testing-website)
### 使用 Linux/Unix 或 Mac OS X 测试网络
如果您使用的是 Mac Linux/Unix OS X,则可以使用以下 curl 命令测试您的网络是否正在访问 IPv6 端点。
```
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
```
例如,如果您通过连接 IPv6,则连接的 IP 地址会显示以下信息。
```
* About to connect() to aws.amazon.com port 443 (#0)
* Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com
```
### 使用 Windows 7 或 Windows 10 测试网络
如果你使用的是 Windows 7 或 Windows 10,则可以测试你的网络是否可以通过 IPv6 或 IPv4访问双栈端点。使用以下示例中所示的 `ping` 命令。
```
ping aws.amazon.com
```
如果您通过访问终端节点,则此命令会返回 IPv6 地址 IPv6。
### 测试 AWS Marketplace 网站
更新后对 AWS Marketplace 网站功能的测试主要取决于您的政策的撰写方式和用途。通常,您应验证策略中指定的功能是否按预期运行。
以下场景可以帮助您开始测试 AWS Marketplace 网站功能。
作为 AWS Marketplace 网站上的买家,测试您是否可以完成以下任务:
+ 订阅 AWS Marketplace 产品。
+ 配置 AWS Marketplace 产品。
+ 发布或配送 AWS Marketplace 产品。
作为 AWS Marketplace 网站上的卖家,请测试您是否可以完成以下任务:
+ 管理您的现有 AWS Marketplace 产品。
+ 创建 AWS Marketplace 产品。
# 控制对 AWS Marketplace 订阅的访问权限
AWS IAM Identity Center 帮助您安全地创建或连接员工身份,并集中管理他们对 AWS 账户 和应用程序的访问权限。对于任何规模和类型的组织,推荐使用 IAM Identity Center AWS 进行员工身份验证和授权。有关其他配置指南,请查看 [AWS 安全参考架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-sso)。
IAM Identity Center 提供一个用户门户,在其中,您的用户可以在一个地方集中查找和访问分配给他们的 AWS 账户账户、云应用程序及自定义应用程序。IAM Identity Center 将单点登录访问权限分配给您的连接目录中的用户和组,并使用权限集来确定他们的访问级别。这将启用临时安全凭证。您可以通过分配特定的 AWS 托管角色来定义他们的 AWS Marketplace 访问级别,以便在整个 AWS 组织中委托 AWS Marketplace 订阅管理。
例如,客户 A 使用附加到角色的 `ManagedMarketplace_ViewOnly` 策略来通过联合身份验证代入角色。这意味着客户 A 只能在 AWS Marketplace中查看订阅。您可以创建具有查看订阅权限的 IAM 角色,并向客户 A 授予[代入此角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)的权限。
## 创建用于 AWS Marketplace 访问的 IAM 角色
您可以使用 IAM 角色委派对 AWS 资源的访问权限。
**创建用于分配 AWS Marketplace 权限的 IAM 角色**
1. 打开 [IAM 控制台](https://console.aws.amazon.com/iam/)。
1. 在左侧的导航窗格中,选择**角色**,然后选择**创建角色**。
1. 选择你的 AWS 账户。
1. 从**添加权限**中,选择以下任一策略:
+ 要允许只查看订阅(但不能更改)的权限,请选择 **AWSMarketplaceRead-only**。
+ 要允许订阅和取消订阅的权限,请选择 **AWSMarketplaceManageSubscriptions**。
+ 要允许完全控制您的订阅,请选择 **AWSMarketplaceFullAccess**。
1. 选择**下一步**。
1. 对于**角色名称**,为角色输入一个名称。例如,*MarketplaceReadOnly* 或 *MarketplaceFullAccess*。然后选择**创建角色**。有关更多信息,请参阅[创建 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**注意**
指定账户的管理员可向该账户中的任何用户授予代入该角色的权限。
重复上述步骤,创建更多具有不同权限集的角色,以便每个用户角色都可以使用具有自定义权限的 IAM 角色。
您不仅限于此处描述的 AWS 托管策略中的权限。您可以使用 IAM 创建具有自定义权限的策略,然后将这些策略添加到 IAM 角色。有关更多信息,请参阅《IAM 用户指南》**中的[管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)及[添加 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
## AWS 的托管策略 AWS Marketplace
您可以使用 AWS 托管策略来提供基本 AWS Marketplace 权限。然后,对于任何特定方案,您可以创建自己的策略并将其应用到具有方案特定要求的角色。您可以使用以下基本 AWS Marketplace 托管策略来控制谁拥有哪些权限。
这些链接会将您引导 [AWS 托管式策略参考](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html)``
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html)
AWS Marketplace 还为特定场景提供了专门的托管策略。有关面向 AWS Marketplace 买家的 AWS 托管政策的完整列表以及他们提供的权限的描述,请参阅[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)本节中的。
## 使用 License Manager 的权限
AWS Marketplace 与集成 AWS License Manager ,用于管理和共享您在组织中的账户之间订阅的产品的许可证。要在中查看您的订阅的完整详细信息 AWS Marketplace,用户必须能够列出来自的许可证信息 AWS License Manager。
要确保您的用户拥有查看有关其 AWS Marketplace 产品和订阅的所有数据所需的权限,请添加以下权限:
+ `license-manager:ListReceivedLicenses`
有关设置权限的更多信息,请参阅《IAM 用户指南》**中的[管理 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。
## 其他资源
有关管理 IAM 角色的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份(用户、用户组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
有关管理 IAM 权限和策略的更多信息,请参阅 IA *M 用户指南*中的[使用策略控制对 AWS 资源的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)权限。
有关管理 AWS Data Exchange 中数据产品的 IAM 权限和策略的更多信息,请参阅 AWS Data Exchange 用户指南**中的 [AWS Data Exchange 中的身份和访问管理](https://docs.aws.amazon.com/data-exchange/latest/userguide/auth-access.html)。
# AWS AWS Marketplace 买家托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
本部分列出了用于管理买家对 AWS Marketplace的访问的每项策略。有关卖家政策的信息,请参阅《卖家*指南》中的 AWS Marketplace AWS Marketplace 卖家AWS *[托管政策](https://docs.aws.amazon.com/marketplace/latest/userguide/security-iam-awsmanpol.html)。
**Topics**
+ [AWS 托管策略:AWSMarketplaceDeploymentServiceRolePolicy](#deployment-service-manpol)
+ [AWS 托管策略:AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess)
+ [AWS 托管策略:AWSMarketplaceImageBuildFullAccess(已弃用)](#security-iam-awsmanpol-awsmarketplaceimagebuildfullaccess)
+ [AWS 托管策略:AWSMarketplaceLicenseManagementServiceRolePolicy](#security-iam-awsmanpol-awsmarketplacelicensemanagementservicerolepolicy)
+ [AWS 托管策略:AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)
+ [AWS 托管策略:AWSMarketplaceProcurementSystemAdminFullAccess](#security-iam-awsmanpol-awsmarketplaceprocurementsystemadminfullaccess)
+ [AWS 托管策略:AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only)
+ [AWS 托管策略:AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)
+ [AWS 托管策略:AWSPrivateMarketplaceRequests](#security-iam-awsmanpol-awsprivatemarketplacerequests)
+ [AWS 托管策略:AWSServiceRoleForPrivateMarketplaceAdminPolicy](#private-marketplace-slr-manpol)
+ [AWS 托管策略:AWSVendorInsightsAssessorFullAccess](#aws-vi-assessor-full-access)
+ [AWS 托管策略:AWSVendorInsightsAssessorReadOnly](#aws-vi-assessor-read-only)
+ [AWS 托管策略:AWSServiceRoleForProcurementInsightsPolicy](#aws-procurement-insights)
+ [AWS Marketplace AWS 托管策略的更新](#buyer-security-iam-awsmanpol-updates)
## AWS 托管策略:AWSMarketplaceDeploymentServiceRolePolicy
您不能将 `AWSMarketplaceDeploymentServiceRolePolicy` 附加到您的 IAM 实体。此策略附加至服务相关角色,允许 AWS Marketplace 代表您执行操作。有关更多信息,请参阅 [将服务相关角色用于 AWS Marketplace](buyer-using-service-linked-roles.md)。
此策略向贡献者授予权限, AWS Marketplace 允许他们代表您管理与部署相关的参数,这些参数作为机密存储在[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)中。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceDeploymentServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceDeploymentServiceRolePolicy.html)**。
## AWS 托管策略:AWSMarketplaceFullAccess
您可以将 `AWSMarketplaceFullAccess` 策略附加到 IAM 身份。
该政策授予管理权限,允许买家 AWS Marketplace 和卖家完全访问和相关服务。这些权限包括订阅和取消订阅软件、管理来自的 AWS Marketplace AWS Marketplace 软件实例、在您的账户中创建和管理私有市场,以及访问亚马逊 EC2 和 Amazon EC2 Systems Manager 的权限。 AWS Marketplace CloudFormation
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html)**。
## AWS 托管策略:AWSMarketplaceImageBuildFullAccess(已弃用)
该政策向贡献者授予了允许完全访问 AWS Marketplace 私有镜像构建功能的权限。除了创建私有映像外,它还提供向映像添加标签、以及启动和终止 Amazon EC2 实例的权限。
有关更多信息,请参阅《AWS 托管式策略参考指南》**中的[弃用的 AWS 托管式策略](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies)。
## AWS 托管策略:AWSMarketplaceLicenseManagementServiceRolePolicy
您不能将 `AWSMarketplaceLicenseManagementServiceRolePolicy` 附加到您的 IAM 实体。此策略附加到允许代表您执行操作 AWS Marketplace 的服务相关角色。有关更多信息,请参阅 [将服务相关角色用于 AWS Marketplace](buyer-using-service-linked-roles.md)。
此政策授予贡献者权限, AWS Marketplace 允许他们代表您管理许可证。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceLicenseManagementServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceLicenseManagementServiceRolePolicy.html)**。
## AWS 托管策略:AWSMarketplaceManageSubscriptions
您可以将 `AWSMarketplaceManageSubscriptions` 策略附加到 IAM 身份。
此策略授予参与者权限,允许订阅和取消订阅 AWS Marketplace 产品。它还允许买家访问Express Private Offers并管理协议取消请求。
权限分为以下组:
+ `aws-marketplace`— 允许委托人查看、订阅和取消订阅产品。 AWS Marketplace
+ `aws-marketplace`— 允许委托人创建和管理私有市场请求以及查看私有产品清单。
+ `aws-marketplace`— 允许委托人管理采购订单和处理采购协议的付款请求,包括接受或拒绝付款请求以及查看协议费用。这些权限仅限于协议类型 PurchaseAgreement。
+ `aws-marketplace`— 允许委托人查看和描述目录中的变更集。 AWS Marketplace
+ `aws-marketplace`— 允许委托人创建和管理代理令牌容器,并通过变更集机制表达私密报价。这些权限仅限于特定的变更类型: CreateAgentTokenContainer RequestExpressPrivateOffer、和 ExpireToken。
+ `aws-marketplace`— 允许委托人列出和描述 AWS Marketplace 目录中的实体,例如产品、优惠和协议。
+ `aws-marketplace`— 允许委托人作为接受方管理协议取消请求,包括列出、检索、接受、拒绝取消请求和直接取消协议。这些权限仅限于 PurchaseAgreement 类型和接受方类型。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html)**。
## AWS 托管策略:AWSMarketplaceProcurementSystemAdminFullAccess
您可以将 `AWSMarketplaceProcurementSystemAdminFullAccess` 策略附加到 IAM 身份。
此策略授予参与者权限,允许管理 AWS Marketplace eProcurement 集成的各个方面,包括列出组织中的账户。有关 eProcurement 集成的更多信息,请参阅[AWS Marketplace 与采购系统集成](procurement-system-integration.md)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceProcurementSystemAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceProcurementSystemAdminFullAccess.html)**。
## AWS 托管策略:AWSMarketplaceRead-only
您可以将 `AWSMarketplaceRead-only` 策略附加到 IAM 身份。
此政策授予只读权限,允许您查看账户中的产品、私有优惠和订阅 AWS Marketplace,以及查看账户中的 Amazon EC2 和 Amazon SNS 资源。 AWS Identity and Access Management
权限分为以下组:
+ `aws-marketplace`— 允许委托人查看订阅和列出协议费用。
+ `ec2`— 允许委托人描述账户属性、地址、镜像、实例、密钥对、安全组、子网和。 VPCs
+ `iam`— 允许委托人列出角色和实例配置文件。
+ `sns`— 允许校长获取主题属性和列出主题。
+ `aws-marketplace`— 允许委托人列出和描述私有市场请求,并查看协议付款请求。
+ `aws-marketplace`— 允许委托人发布私有产品清单。
+ `aws-marketplace`— 允许委托人列出和查看协议取消请求。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html)**。
## AWS 托管策略:AWSPrivateMarketplaceAdminFullAccess
您可以将 `AWSPrivateMarketplaceAdminFullAccess` 策略附加到 IAM 身份。
这种基于身份的策略使管理员能够管理 AWS Private Marketplace 的配置和相关组织控制。此策略包括 IAM 和 Organizations 权限,授予执行以下操作的权限:
1. 管理 Private Marketplace 服务相关角色(SLR)。
1. 获取 `AWSServiceRoleForPrivateMarketplaceAdmin` 的角色信息。
1. 为 Private Marketplace 管理创建与服务相关角色。
1. 处理组织委托管理。
1. 为 Private Marketplace 注册和取消注册委托管理员。
1. 在 Organizations 中为私有市场启用 AWS 服务访问权限。
1. 管理 Private Marketplace 产品和请求。
1. 将产品与 Private Marketplace 关联和取消关联。
1. 列出并描述 Private Marketplace 请求。
1. 执行目录操作(列出实体、描述实体、管理更改集)。
1. 处理资源的 AWS Marketplace 资源标记。
1. 访问 Organizations 信息。
1. 查看组织详细信息、组织单元和账户。
1. 列出组织层次结构信息。
1. 监控 AWS 服务访问权限和委派的管理员。
此策略专为需要在 Organizations 结构中设置和管理 Private Marketplace 的管理员而设计,同时授予控制台和编程访问这些功能的权限。
该策略包含具体条件,以确保 Private Marketplace 服务主体的验证,并为 IAM 角色和组织管理设置适当的资源级权限。有关使用多个管理员的更多信息,请参阅[适用于 Private Marketplace 管理员的策略示例](it-administrator.md#creating-custom-policies-for-private-marketplace-admin)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html)**。
## AWS 托管策略:AWSPrivateMarketplaceRequests
您可以将 `AWSPrivateMarketplaceRequests` 策略附加到 IAM 身份。
此政策向投稿人授予权限,允许他们申请将产品添加到其私有市场(Private Marketplace)体验中,并允许他们查看这些请求。这些申请必须由私有市场(Private Marketplace)管理员批准或拒绝。
权限分为多个组:
1. `LegacyPrivateMarketplaceRequestsPermissions`:这些权限由传统的 Private Marketplace 使用,这些权限将被弃用。有关更多信息,请参阅 [AWS Marketplace (旧版)中的私有市场](private-marketplace.md)。
1. `PrivateMarketplaceManageRequestsPermissions`:创建和取消商品批准请求需要这些权限。
1. `PrivateMarketplaceReadRequestsPermissions`和`PrivateMarketplaceListRequestsPermissions`:列出和获取产品批准请求的详细信息需要这些权限。
1. `PrivateMarketplaceReadChangeSetPermissions`:这些权限是列出和获取更改集的详细信息以创建和取消请求所必需的。请参阅 *AWS Marketplace API 参考*中的[使用变更集](https://docs.aws.amazon.com/marketplace/latest/APIReference/catalog-apis.html#working-with-change-sets)。
1. `PrivateMarketplaceTaggingRequestsPermissions`:标记权限是可选的,允许用户标记请求。请参阅 *AWS Marketplace API 参考*中的[管理资源标签](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/managing-tags.html)。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html)**。
## AWS 托管策略:AWSServiceRoleForPrivateMarketplaceAdminPolicy
您不能将 `AWSServiceRoleForPrivateMarketplaceAdminPolicy` 附加到您的 IAM 实体。此策略附加至服务相关角色,允许 AWS Marketplace 代表您执行操作。有关更多信息,请参阅 [将服务相关角色用于 AWS Marketplace](buyer-using-service-linked-roles.md)。
此政策授予贡献者权限,允许 AWS Marketplace 他们描述和更新私有市场(Private Marketplace)资源并进行描述 AWS Organizations。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForPrivateMarketplaceAdminPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForPrivateMarketplaceAdminPolicy.html)**。
## AWS 托管策略:AWSVendorInsightsAssessorFullAccess
您可以将 `AWSVendorInsightsAssessorFullAccess` 策略附加到 IAM 身份。
此政策授予查看授权的 “ AWS Marketplace 供应商见解” 资源和管理 AWS Marketplace 供应商见解订阅的完全访问权限。这些请求必须由管理员批准或拒绝。它允许对 AWS Artifact 第三方报告进行只读访问。
AWS Marketplace Vendor Insights 确定评估者等于买方,供应商等于卖方。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorFullAccess.html)**。
## AWS 托管策略:AWSVendorInsightsAssessorReadOnly
您可以将 `AWSVendorInsightsAssessorReadOnly` 策略附加到 IAM 身份。
此政策授予查看授权 AWS Marketplace 供应商见解资源的只读访问权限。这些请求必须由管理员批准或拒绝。它允许对中的报告进行只读访问 AWS Artifact。
请求必须由管理员批准或拒绝。它允许对 AWS Artifact 第三方报告进行只读访问。
AWS Marketplace 在本指南中,Vendor Insights将评估人确定为买方和供应商等同于卖方。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorReadOnly.html)**。
## AWS 托管策略:AWSServiceRoleForProcurementInsightsPolicy
您可以将 `AWSServiceRoleForProcurementInsightsPolicy` 策略附加到 IAM 身份。
此策略授予您 AWS 组织中资源数据的`AWSServiceRoleForProcurementInsightsPolicy`访问权限。 AWS Marketplace 使用数据填充[采购见解控制面板](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html)。该控制面板可让拥有管理账户的买家查看组织中所有账户的所有协议。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForProcurementInsightsPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForProcurementInsightsPolicy.html)**。
## AWS Marketplace AWS 托管策略的更新
查看 AWS Marketplace 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 RSS feed AWS Marketplace [《 AWS Marketplace 买家指南》的文档历史记录](document-history.md)
**注意**
就本指南而言,在 V AWS Marketplace endor Insights 中,评估员等于买方,供应商等于卖方。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only)— 现有政策的更新 | AWS Marketplace 增加了列出和查看协议取消请求的权限。 | 2026年3月31日 |
| [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)— 现有政策的更新 | AWS Marketplace 增加了管理协议取消请求的权限,包括列出、检索、接受、拒绝取消请求和直接取消协议。 | 2026年3月31日 |
| [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)— 现有政策的更新 | AWS Marketplace 增加了买家访问特快专享优惠的权限。 | 2025 年 11 月 30 日 |
| [AWSPrivateMarketplaceRequests](#security-iam-awsmanpol-awsprivatemarketplacerequests)— 现有政策的更新 | AWS Marketplace 增加了创建和取消产品批准请求、列出和获取产品批准请求详情以及允许用户标记请求的权限。 | 2025 年 11 月 17 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)— 现有政策的更新 | AWS Marketplace 为 Private Marketplace 管理员添加了服务相关角色和组织集成权限。 | 2025 年 6 月 5 日 |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only)以及 [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)— 对现有政策的更新 | AWS Marketplace 更新了现有政策,删除了与已停用的 Private Image Build 交付方法相关的政策。 | 2025 年 5 月 7 日 |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only)以及 [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)— 对现有政策的更新 | AWS Marketplace 更新了现有政策,以支持在 AWS Marketplace 控制台中列出协议费用和更新采购订单。 | 2024 年 11 月 21 日 |
| 添加了 [AWSServiceRoleForProcurementInsightsPolicy](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights). | AWS Marketplace 添加了用于访问和描述 Organizations 中的数据的新策略。 AWS Marketplace 使用数据填充[采购见解控制面板](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html)。 | 2024 年 10 月 3 日 |
| 已弃用旧版政策 AWSMarketplaceImageBuildFullAccess AWS Marketplace | AWS Marketplace 已停止使用私有镜像构建交付方法,因此该AWSMarketplaceImageBuildFullAcces政策也已停止。 | 2024 年 5 月 30 日 |
| [https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#private-marketplace-slr-manpol](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#private-marketplace-slr-manpol)— 为新功能添加了政策 AWS Marketplace | AWS Marketplace 添加了一项新政策以支持管理私有市场(Private Marketplace)资源和描述 AWS Organizations。 | 2024 年 2 月 16 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)— 更新现有政策 | AWS Marketplace 更新了政策以支持读取 AWS Organizations 数据。 | 2024 年 2 月 16 日 |
| [https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#deployment-service-manpol](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#deployment-service-manpol)— 为新功能添加了政策 AWS Marketplace | AWS Marketplace 添加了支持管理与部署相关的参数的新策略。 | 2023 年 11 月 29 日 |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only)以及 [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)— 对现有政策的更新 | AWS Marketplace 更新了现有政策以允许访问私人优惠页面。 | 2023 年 1 月 19 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)— 更新现有政策 | AWS Marketplace 更新了新的基于标签的授权功能的策略。 | 2022 年 12 月 9 日 |
| [AWSVendorInsightsAssessorReadOnly](#aws-vi-assessor-read-only) AWS Marketplace 已更新 AWSVendorInsightsAssessorReadOnly | AWS Marketplace 更新AWSVendorInsightsAssessorReadOnly为添加对 AWS Artifact 第三方报告中的报告的只读访问权限(预览)。 | 2022 年 11 月 30 日 |
| [AWSVendorInsightsAssessorFullAccess](#aws-vi-assessor-full-access) AWS Marketplace 已更新 AWSVendorInsightsAssessorFullAccess | AWS Marketplace 更新`AWSVendorInsightsAssessorFullAccess`为添加协议搜索和对 AWS Artifact 第三方报告的只读访问权限(预览)。 | 2022 年 11 月 30 日 |
| [AWSVendorInsightsAssessorFullAccess](#aws-vi-assessor-full-access)和 [AWSVendorInsightsAssessorReadOnly](#aws-vi-assessor-read-only)— 中为新功能添加了政策 AWS Marketplace | AWS Marketplace 为新功能 “ AWS Marketplace 供应商见解” 添加了政策:`AWSVendorInsightsAssessorFullAccess`以及 `AWSVendorInsightsAssessorReadOnly` | 2022 年 7 月 26 日 |
| [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess)以及 AWSMarketplace ImageBuildFullAccess — 对现有政策的更新 | AWS Marketplace 删除了不需要的权限以提高安全性。 | 2022 年 3 月 4 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess) – 更新现有策略 | AWS Marketplace 已从`AWSPrivateMarketplaceAdminFullAccess`策略中移除未使用的权限。 | 2021 年 8 月 27 日 |
| [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess) – 更新现有策略 | AWS Marketplace 已从`AWSMarketplaceFullAccess`策略中移除重复的`ec2:DescribeAccountAttributes`权限。 | 2021 年 7 月 20 日 |
| AWS Marketplace 开始跟踪更改 | AWS Marketplace 开始跟踪其 AWS 托管策略的更改。 | 2021 年 4 月 20 日 |
# 将服务相关角色用于 AWS Marketplace
AWS Marketplace 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Marketplace服务相关角色由 AWS Marketplace 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。
服务相关角色使设置变得 AWS Marketplace 更加容易,因为您不必手动添加必要的权限。 AWS Marketplace 定义其服务相关角色的权限,除非另有定义,否则 AWS Marketplace 只能担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找**服务相关角色**列中显示为**是**的服务。请选择**是**与查看该服务的服务相关角色文档的链接。
# 为 创建服务相关角色AWS Marketplace
当您设置与 AWS License Manager 的集成时,AWS Marketplace 将为您创建服务相关角色。
您可以指定 AWS Marketplace 一次为组织中的所有账户创建服务相关角色,也可以一次为一个账户创建服务相关角色。只有当您的组织启用了**所有特征**时,才能跨所有帐户创建服务相关角色。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用企业中的所有特征](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
**为所有账户创建服务相关角色**
1. 在 [AWS Marketplace 控制台](https://console.aws.amazon.com/marketplace/)中,登录并选择**设置**。
1. 在 **AWS Marketplace 采购洞察集成**部分,选择**查看设置详细信息**。
1. 在**创建 AWS Marketplace 采购洞察集成**页面上,选择**在整个组织中启用可信访问**,然后选择**创建集成**。
**注意**
此设置可启用 AWS Organizations 内信任。因此,除了当前操作之外,添加到组织的未来帐户也会自动添加服务相关角色。
**为当前账户创建服务相关角色**
1. 在 [AWS Marketplace 控制台](https://console.aws.amazon.com/marketplace/)中,登录并选择**设置**。
1. 在 **AWS License Manager 集成**部分,选择**查看设置详细信息**。
1. 在**创建 AWS License Manager 集成**页面上,在**启用 AWS Marketplace 管理您的 AWS Organizations 账户许可证**下,选择**针对此账户的 AWS Marketplace 许可证管理服务相关角色**,然后选择**创建集成**。
**重要**
如果仅为当前账户创建服务相关角色,则无法在整个组织范围内启用可信访问权限,且必须为每个需要在 AWS Marketplace 中共享(授予或接收)许可证的账户重复执行这些步骤。此要求同样适用于所有未来创建的账户。
# 编辑的服务相关角色 AWS Marketplace
AWS Marketplace 不允许您编辑服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
# 删除的服务相关角色 AWS Marketplace
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果您尝试删除资源时 AWS Marketplace 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除`AWSServiceRoleForMarketplaceLicenseManagement`服务相关角色。有关更多信息,请参见 *IAM 用户指南*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Marketplace 服务相关角色支持的区域
AWS Marketplace 支持在所有提供服务 AWS 区域 的地方使用服务相关角色。有关更多信息,请参阅 [AWS Marketplace 区域和端点](https://docs.aws.amazon.com/general/latest/gr/aws-marketplace.html#aws-marketplace_region)。
# 共享 AWS Marketplace 权限的服务相关角色
要使用 AWS License Manager 将您的 AWS Marketplace 订阅共享给 AWS 组织中的其他账户,您必须为要共享的每个账户授予 AWS Marketplace 权限。通过使用 **AWSServiceRoleForMarketplaceLicenseManagement** 角色执行此操作。此角色向 AWS Marketplace 提供在 AWS License Manager 中为您在 AWS Marketplace 中订阅的产品创建和管理许可证的权限。
`AWSServiceRoleForMarketplaceLicenseManagement` 服务相关角色信任以下服务来代表您在 License Manager 中执行操作:
+ `license-management.marketplace.amazonaws.com`
`AWSMarketplaceLicenseManagementServiceRolePolicy` 可使 AWS Marketplace 对指定资源完成以下操作:
+ 操作:
+ `"organizations:DescribeOrganization"`
+ `"license-manager:ListReceivedGrants"`
+ `"license-manager:ListDistributedGrants"`
+ `"license-manager:GetGrant"`
+ `"license-manager:CreateGrant"`
+ `"license-manager:CreateGrantVersion"`
+ `"license-manager:DeleteGrant"`
+ `"license-manager:AcceptGrant"`
+ 资源:
+ 所有资源 (`"*"`)
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 用于配置和启动产品的服务相关角色 AWS Marketplace
AWS Marketplace 使用名为的服务相关角色`AWSServiceRoleForMarketplaceDeployment` AWS Marketplace 来允许代表您管理与部署相关的参数,这些参数作为密钥存储在[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)中。卖家可以在 CloudFormation 模板中引用这些秘密,您可以在配置启用了 Quick Launch 的产品时启动这些模板 AWS Marketplace。
`AWSServiceRoleForMarketplaceDeployment` 服务相关角色信任以下服务代入该角色:
+ `deployment.marketplace.amazonaws.com`
`AWSMarketplaceDeploymentServiceRolePolicy` 可使 AWS Marketplace 对您的资源完成以下操作。
**注意**
有关 AWS Marketplace 托管策略的更多信息,请参阅[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageMarketplaceDeploymentSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:PutSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:RemoveRegionsFromReplication"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:marketplace-deployment*!*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ListSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
]
},
{
"Sid": "TagMarketplaceDeploymentSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:marketplace-deployment!*",
"Condition": {
"Null": {
"aws:RequestTag/expirationDate": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"expirationDate"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 用于配置 Private Marketplace 的服务相关角色 AWS Marketplace
AWS Marketplace 使用名为的服务相关角色`AWSServiceRoleForPrivateMarketplaceAdmin`来描述和更新 Private Marketplace 资源并进行描述 AWS Organizations。
`AWSServiceRoleForPrivateMarketplaceAdmin` 服务相关角色信任以下服务代入该角色:
+ `private-marketplace.marketplace.amazonaws.com`
`AWSServiceRoleForPrivateMarketplaceAdminPolicy` 策略支持 AWS Marketplace 对指定资源执行以下操作。
**注意**
有关 AWS Marketplace 托管策略的更多信息,请参阅本指南[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)中的。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PrivateMarketplaceCatalogDescribePermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeEntity"
],
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Audience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/ProcurementPolicy/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/BrandingSettings/*"
]
},
{
"Sid": "PrivateMarketplaceCatalogDescribeChangeSetPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeChangeSet"
],
"Resource": "*"
},
{
"Sid": "PrivateMarketplaceCatalogListPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:ListChangeSets"
],
"Resource": "*"
},
{
"Sid": "PrivateMarketplaceStartChangeSetPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Condition": {
"StringEquals": {
"catalog:ChangeType": [
"AssociateAudience",
"DisassociateAudience"
]
}
},
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/ChangeSet/*"
]
},
{
"Sid": "PrivateMarketplaceOrganizationPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganizationalUnit",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren"
],
"Resource": [
"*"
]
}
]
}
```
------
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 共享采购数据的服务相关角色
AWS Marketplace 使用`AWSServiceRoleForProcurementInsightsPolicy`服务相关角色来访问和描述 AWS 组织中的数据。您必须创建此角色才能使用[采购洞察控制面板](procurement-insights.md)。
`AWSServiceRoleForProcurementInsightsPolicy` 服务相关角色信任以下服务代入该角色:
+ `procurement-insights.marketplace.amazonaws.com`
`AWSServiceRoleForProcurementInsightsPolicy` 可使 AWS Marketplace 对指定资源执行以下操作。
**注意**
有关 AWS Marketplace 托管策略的更多信息,请参阅[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProcurementInsightsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": [
"*"
]
}
]
}
```
------
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 创建 Private Marketplace 管理员
您可以创建 IT 管理员组来管理公司的 [Private Marketplace](private-marketplace.md) 设置。为您的组织启用 Private Marketplace 后,Private Marketplace 管理员可以执行许多任务,包括:
+ 查看和创建体验及受众。
+ 将产品添加到 Private Marketplace 体验中。
+ 从 Private Marketplace 体验中删除产品。
+ 配置 Private Marketplace 体验的用户界面。
+ 启用和禁用 Private Marketplace 体验。
+ 致电 AWS Marketplace Catalog API 以编程方式管理私有市场体验。
要创建多个 Private Marketplace 管理员且每个管理员只能执行一部分任务,请参阅[适用于 Private Marketplace 管理员的策略示例](#creating-custom-policies-for-private-marketplace-admin)。
**注意**
启用 Private Marketplace 是一项一次性操作,必须通过管理账户执行。有关更多信息,请参阅 [Getting started with private marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-getting-started)。
您可以将 AWS Identity and Access Management (IAM) 关联到用户、群组或角色,从而授予 (IAM) 管理您的私有市场的权限。[AWS 托管策略:AWSPrivateMarketplaceAdminFullAccess](buyer-security-iam-awsmanpol.md#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)我们建议使用组或角色。有关如何附加策略的详细信息,请参阅《IAM 用户指南》**中的[将策略附加到用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy)。
有关 `AWSPrivateMarketplaceAdminFullAccess` 策略中权限的更多信息,请参阅 [AWS 托管策略:AWSPrivateMarketplaceAdminFullAccess](buyer-security-iam-awsmanpol.md#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)。要了解其他可供使用的策略 AWS Marketplace,请登录并转至 [IAM 策略页面](https://console.aws.amazon.com/iam/home?#/policies)。 AWS 管理控制台在搜索框中输入 **Marketplace** 以查找与 AWS Marketplace关联的所有策略。
## 适用于 Private Marketplace 管理员的策略示例
您的组织可以创建多个 Private Marketplace 管理员,每个管理员只能执行一部分任务。您可以调整 AWS Identity and Access Management (IAM) 策略,为[AWS Marketplace 目录的 AWS Marketplace Catalog API 操作、资源和条件键中列出的操作指定条件键和资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplacecatalog.html#awsmarketplacecatalog-catalog_ChangeType)。M [AWS arketplace Catalog API 指南](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/api-access-control.html)中描述了使用 AWS Marketplace Catalog API 变更类型和资源调整 IAM 策略的一般机制。有关私有市场中可用的所有变更类型的列表 AWS Marketplace,请参阅[使用私有市场。](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/private-marketplace.html)
要创建客户管理型策略,请参阅[创建 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。以下是 JSON 策略示例,您可以使用它来创建只能在 Private Marketplace 中添加或删除产品的管理员。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-marketplace:AssociateProductsWithPrivateMarketplace",
"aws-marketplace:DisassociateProductsFromPrivateMarketplace",
"aws-marketplace:ListPrivateMarketplaceRequests",
"aws-marketplace:DescribePrivateMarketplaceRequests"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeEntity",
"aws-marketplace:ListEntities",
"aws-marketplace:ListChangeSets",
"aws-marketplace:DescribeChangeSet",
"aws-marketplace:CancelChangeSet"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Condition": {
"StringEquals": {
"catalog:ChangeType": [
"AllowProductProcurement",
"DenyProductProcurement"
]
}
},
"Resource": "*"
}
]
}
```
------
也可以将策略限制为管理部分 Private Marketplace 资源。以下是 JSON 策略示例,您可以使用它来创建只能管理特定 Private Marketplace 体验的管理员。此示例使用带有 `exp-1234example` 的资源字符串作为 `Experience` 标识符。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-marketplace:AssociateProductsWithPrivateMarketplace",
"aws-marketplace:DisassociateProductsFromPrivateMarketplace",
"aws-marketplace:ListPrivateMarketplaceRequests",
"aws-marketplace:DescribePrivateMarketplaceRequests"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:DescribeEntity",
"aws-marketplace:ListChangeSets",
"aws-marketplace:DescribeChangeSet",
"aws-marketplace:CancelChangeSet"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/exp-1234example"
]
}
]
}
```
------
有关如何检索实体标识符以及如何查看 Private Marketplace 资源的详细信息,请参阅[使用 Private Marketplace](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/private-marketplace.html)。