本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将服务相关角色用于 AWS Marketplace
AWS Marketplace 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Marketplace服务相关角色由 AWS Marketplace 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。
服务相关角色使设置变得 AWS Marketplace 更加容易,因为您不必手动添加必要的权限。 AWS Marketplace 定义其服务相关角色的权限,除非另有定义,否则 AWS Marketplace 只能担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找**服务相关角色**列中显示为**是**的服务。请选择**是**与查看该服务的服务相关角色文档的链接。
# 为 创建服务相关角色AWS Marketplace
当您设置与 AWS License Manager 的集成时,AWS Marketplace 将为您创建服务相关角色。
您可以指定 AWS Marketplace 一次为组织中的所有账户创建服务相关角色,也可以一次为一个账户创建服务相关角色。只有当您的组织启用了**所有特征**时,才能跨所有帐户创建服务相关角色。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用企业中的所有特征](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
**为所有账户创建服务相关角色**
1. 在 [AWS Marketplace 控制台](https://console.aws.amazon.com/marketplace/)中,登录并选择**设置**。
1. 在 **AWS Marketplace 采购洞察集成**部分,选择**查看设置详细信息**。
1. 在**创建 AWS Marketplace 采购洞察集成**页面上,选择**在整个组织中启用可信访问**,然后选择**创建集成**。
**注意**
此设置可启用 AWS Organizations 内信任。因此,除了当前操作之外,添加到组织的未来帐户也会自动添加服务相关角色。
**为当前账户创建服务相关角色**
1. 在 [AWS Marketplace 控制台](https://console.aws.amazon.com/marketplace/)中,登录并选择**设置**。
1. 在 **AWS License Manager 集成**部分,选择**查看设置详细信息**。
1. 在**创建 AWS License Manager 集成**页面上,在**启用 AWS Marketplace 管理您的 AWS Organizations 账户许可证**下,选择**针对此账户的 AWS Marketplace 许可证管理服务相关角色**,然后选择**创建集成**。
**重要**
如果仅为当前账户创建服务相关角色,则无法在整个组织范围内启用可信访问权限,且必须为每个需要在 AWS Marketplace 中共享(授予或接收)许可证的账户重复执行这些步骤。此要求同样适用于所有未来创建的账户。
# 编辑的服务相关角色 AWS Marketplace
AWS Marketplace 不允许您编辑服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
# 删除的服务相关角色 AWS Marketplace
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果您尝试删除资源时 AWS Marketplace 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除`AWSServiceRoleForMarketplaceLicenseManagement`服务相关角色。有关更多信息,请参见 *IAM 用户指南*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Marketplace 服务相关角色支持的区域
AWS Marketplace 支持在所有提供服务 AWS 区域 的地方使用服务相关角色。有关更多信息,请参阅 [AWS Marketplace 区域和端点](https://docs.aws.amazon.com/general/latest/gr/aws-marketplace.html#aws-marketplace_region)。
# 共享 AWS Marketplace 权限的服务相关角色
要使用 AWS License Manager 将您的 AWS Marketplace 订阅共享给 AWS 组织中的其他账户,您必须为要共享的每个账户授予 AWS Marketplace 权限。通过使用 **AWSServiceRoleForMarketplaceLicenseManagement** 角色执行此操作。此角色向 AWS Marketplace 提供在 AWS License Manager 中为您在 AWS Marketplace 中订阅的产品创建和管理许可证的权限。
`AWSServiceRoleForMarketplaceLicenseManagement` 服务相关角色信任以下服务来代表您在 License Manager 中执行操作:
+ `license-management.marketplace.amazonaws.com`
`AWSMarketplaceLicenseManagementServiceRolePolicy` 可使 AWS Marketplace 对指定资源完成以下操作:
+ 操作:
+ `"organizations:DescribeOrganization"`
+ `"license-manager:ListReceivedGrants"`
+ `"license-manager:ListDistributedGrants"`
+ `"license-manager:GetGrant"`
+ `"license-manager:CreateGrant"`
+ `"license-manager:CreateGrantVersion"`
+ `"license-manager:DeleteGrant"`
+ `"license-manager:AcceptGrant"`
+ 资源:
+ 所有资源 (`"*"`)
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 用于配置和启动产品的服务相关角色 AWS Marketplace
AWS Marketplace 使用名为的服务相关角色`AWSServiceRoleForMarketplaceDeployment` AWS Marketplace 来允许代表您管理与部署相关的参数,这些参数作为密钥存储在[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)中。卖家可以在 CloudFormation 模板中引用这些秘密,您可以在配置启用了 Quick Launch 的产品时启动这些模板 AWS Marketplace。
`AWSServiceRoleForMarketplaceDeployment` 服务相关角色信任以下服务代入该角色:
+ `deployment.marketplace.amazonaws.com`
`AWSMarketplaceDeploymentServiceRolePolicy` 可使 AWS Marketplace 对您的资源完成以下操作。
**注意**
有关 AWS Marketplace 托管策略的更多信息,请参阅[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageMarketplaceDeploymentSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:PutSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:RemoveRegionsFromReplication"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:marketplace-deployment*!*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ListSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
]
},
{
"Sid": "TagMarketplaceDeploymentSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:marketplace-deployment!*",
"Condition": {
"Null": {
"aws:RequestTag/expirationDate": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"expirationDate"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 用于配置 Private Marketplace 的服务相关角色 AWS Marketplace
AWS Marketplace 使用名为的服务相关角色`AWSServiceRoleForPrivateMarketplaceAdmin`来描述和更新 Private Marketplace 资源并进行描述 AWS Organizations。
`AWSServiceRoleForPrivateMarketplaceAdmin` 服务相关角色信任以下服务代入该角色:
+ `private-marketplace.marketplace.amazonaws.com`
`AWSServiceRoleForPrivateMarketplaceAdminPolicy` 策略支持 AWS Marketplace 对指定资源执行以下操作。
**注意**
有关 AWS Marketplace 托管策略的更多信息,请参阅本指南[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)中的。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PrivateMarketplaceCatalogDescribePermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeEntity"
],
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Audience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/ProcurementPolicy/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/BrandingSettings/*"
]
},
{
"Sid": "PrivateMarketplaceCatalogDescribeChangeSetPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeChangeSet"
],
"Resource": "*"
},
{
"Sid": "PrivateMarketplaceCatalogListPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:ListChangeSets"
],
"Resource": "*"
},
{
"Sid": "PrivateMarketplaceStartChangeSetPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Condition": {
"StringEquals": {
"catalog:ChangeType": [
"AssociateAudience",
"DisassociateAudience"
]
}
},
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/ChangeSet/*"
]
},
{
"Sid": "PrivateMarketplaceOrganizationPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganizationalUnit",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren"
],
"Resource": [
"*"
]
}
]
}
```
------
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 共享采购数据的服务相关角色
AWS Marketplace 使用`AWSServiceRoleForProcurementInsightsPolicy`服务相关角色来访问和描述 AWS 组织中的数据。您必须创建此角色才能使用[采购洞察控制面板](procurement-insights.md)。
`AWSServiceRoleForProcurementInsightsPolicy` 服务相关角色信任以下服务代入该角色:
+ `procurement-insights.marketplace.amazonaws.com`
`AWSServiceRoleForProcurementInsightsPolicy` 可使 AWS Marketplace 对指定资源执行以下操作。
**注意**
有关 AWS Marketplace 托管策略的更多信息,请参阅[AWS AWS Marketplace 买家托管政策](buyer-security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProcurementInsightsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": [
"*"
]
}
]
}
```
------
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。