本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS License Manager 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策: AWSLicenseManagerServiceRolePolicy
此政策會連接到名為 的服務連結角色`AWSServiceRoleForAWSLicenseManagerRole`,以允許 License Manager 呼叫 API 動作來代表您管理授權。如需服務連結角色的詳細資訊,請參閱[核心角色的許可](license-manager-role-core.md#slr-permissions-core-role)。
角色許可政策允許 License Manager 對指定的資源完成下列動作。
| Action | 資源 ARN |
| --- | --- |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-management.marketplace.amazonaws.com/AWSServiceRoleForMarketplaceLicenseManagement |
| iam:CreateServiceLinkedRole | arn:aws:iam::\$1:role/aws-service-role/license-manager.member-account.amazonaws.com/AWSServiceRoleForAWSLicenseManagerMemberAccountRole |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListAllMyBuckets | \$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| sns:Publish | arn:aws::sns:\$1:\$1:aws-license-manager-service-\$1 |
| sns:ListTopics | \$1 |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeImages | \$1 |
| ec2:DescribeHosts | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:SendCommand | arn:aws:ec2:\$1:\$1:instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1:\$1:managed-instance/\$1 |
| ssm:SendCommand | arn:aws:ssm:\$1::document/AWSLicenseManager-\$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListDelegatedAdministrators | \$1 |
| license-manager:GetServiceSettings | \$1 |
| license-manager:GetLicense\$1 | \$1 |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:List\$1 | \$1 |
若要在 中檢視此政策的許可 AWS 管理主控台,請參閱 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerServiceRolePolicy)。
## AWS 受管政策: AWSLicenseManagerMasterAccountRolePolicy
此政策會連接到名為 的服務連結角色`AWSServiceRoleForAWSLicenseManagerMasterAccountRole`,以允許 License Manager 呼叫 API 動作,以代表您為中央管理帳戶執行授權管理。如需服務連結角色的詳細資訊,請參閱[License Manager – 管理帳戶角色](management-role.md)。
角色許可政策允許 License Manager 對指定的資源完成下列動作。
| Action | 資源 ARN |
| --- | --- |
| s3:GetBucketLocation | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucket | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutLifecycleConfiguration | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutBucketPolicy | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:AbortMultipartUpload | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:PutObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:GetObject | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListBucketMultipartUploads | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:ListMultipartUploadParts | arn:aws:s3:::aws-license-manager-service-\$1 |
| s3:DeleteObject | arn:aws:s3:::aws-license-manager-service-\$1/resource-sync/\$1 |
| athena:GetQueryExecution | \$1 |
| athena:GetQueryResults | \$1 |
| athena:StartQueryExecution | \$1 |
| glue:GetTable | \$1 |
| glue:GetPartition | \$1 |
| glue:GetPartitions | \$1 |
| glue:CreateTable | 請參閱註腳 1 |
| glue:UpdateTable | 請參閱註腳 1 |
| glue:DeleteTable | 請參閱註腳 1 |
| glue:UpdateJob | 請參閱註腳 1 |
| glue:UpdateCrawler | 請參閱註腳 1 |
| organizations:DescribeOrganization | \$1 |
| organizations:ListAccounts | \$1 |
| organizations:DescribeAccount | \$1 |
| organizations:ListChildren | \$1 |
| organizations:ListParents | \$1 |
| organizations:ListAccountsForParent | \$1 |
| organizations:ListRoots | \$1 |
| organizations:ListAWSServiceAccessForOrganization | \$1 |
| ram:GetResourceShares | \$1 |
| ram:GetResourceShareAssociations | \$1 |
| ram:TagResource | \$1 |
| ram:CreateResourceShare | \$1 |
| ram:AssociateResourceShare | \$1 |
| ram:DisassociateResourceShare | \$1 |
| ram:UpdateResourceShare | \$1 |
| ram:DeleteResourceShare | \$1 |
| resource-groups:PutGroupPolicy | \$1 |
| iam:GetRole | \$1 |
| iam:PassRole | arn:aws:iam::\$1:role/LicenseManagerServiceResourceDataSyncRole\$1 |
| cloudformation:UpdateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:CreateStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DeleteStack | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
| cloudformation:DescribeStacks | arn:aws:cloudformation:\$1:\$1:stack/LicenseManagerCrossAccountCloudDiscoveryStack/\$1 |
1 以下是為 AWS Glue 動作定義的資源:
+ `arn:aws:glue:*:*:catalog`
+ `arn:aws:glue:*:*:crawler/LicenseManagerResourceSynDataCrawler`
+ `arn:aws:glue:*:*:job/LicenseManagerResourceSynDataProcessJob`
+ `arn:aws:glue:*:*:table/license_manager_resource_inventory_db/*`
+ `arn:aws:glue:*:*:table/license_manager_resource_sync/*`
+ `arn:aws:glue:*:*:database/license_manager_resource_inventory_db`
+ `arn:aws:glue:*:*:database/license_manager_resource_sync`
若要在 中檢視此政策的許可 AWS 管理主控台,請參閱 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMasterAccountRolePolicy)。
## AWS 受管政策: AWSLicenseManagerMemberAccountRolePolicy
此政策會連接到名為 的服務連結角色`AWSServiceRoleForAWSLicenseManagerMemberAccountRole`,以允許 License Manager 代表您從設定的管理帳戶呼叫授權管理的 API 動作。如需詳細資訊,請參閱[License Manager – 成員帳戶角色](member-role.md)。
角色許可政策允許 License Manager 對指定的資源完成下列動作。
| Action | 資源 ARN |
| --- | --- |
| license-manager:UpdateLicenseSpecificationsForResource | \$1 |
| license-manager:GetLicenseConfiguration | \$1 |
| ssm:ListInventoryEntries | \$1 |
| ssm:GetInventory | \$1 |
| ssm:CreateAssociation | \$1 |
| ssm:CreateResourceDataSync | \$1 |
| ssm:DeleteResourceDataSync | \$1 |
| ssm:ListResourceDataSync | \$1 |
| ssm:ListAssociations | \$1 |
| ram:AcceptResourceShareInvitation | \$1 |
| ram:GetResourceShareInvitations | \$1 |
若要在 中檢視此政策的許可 AWS 管理主控台,請參閱 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerMemberAccountRolePolicy)。
## AWS 受管政策: AWSLicenseManagerConsumptionPolicy
您可將 `AWSLicenseManagerConsumptionPolicy` 政策連接到 IAM 身分。此政策授予許可,允許存取取用授權所需的 License Manager API 動作。如需詳細資訊,請參閱[賣方在 License Manager 中發行的授權使用量](license-usage.md)。
若要檢視此政策的許可,請參閱 AWS 管理主控台中的 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSLicenseManagerConsumptionPolicy)。
## AWS 受管政策: AWSLicenseManagerUserSubscriptionsServiceRolePolicy
此政策會連接到名為 `AWSServiceRoleForAWSLicenseManagerUserSubscriptionsService`政策的服務連結角色,以允許 License Manager 呼叫 API 動作來管理以使用者為基礎的訂閱資源。如需詳細資訊,請參閱[License Manager – 以使用者為基礎的訂閱角色](user-based-subscription-role.md)。
角色許可政策允許 License Manager 對指定的資源完成下列動作。
| Action | 資源 ARN |
| --- | --- |
| ds:DescribeDirectories | \$1 |
| ds:GetAuthorizedApplicationDetails | \$1 |
| ec2:CreateTags | arn:aws:ec2:\$1:\$1:instance/\$1 1 |
| ec2:DescribeInstances | \$1 |
| ec2:DescribeNetworkInterfaces | \$1 |
| ec2:DescribeSecurityGroupRules | \$1 |
| ec2:DescribeSubnets | \$1 |
| ec2:DescribeVpcPeeringConnections | \$1 |
| ec2:TerminateInstances | arn:aws:ec2:\$1:\$1:instance/\$1 1 |
| route53:GetHostedZone | \$1 |
| route53:ListResourceRecordSets | \$1 |
| secretsmanager:GetSecretValue | arn:aws:secretsmanager:\$1:\$1:secret:license-manager-user-\$1 |
| ssm:DescribeInstanceInformation | \$1 |
| ssm:GetCommandInvocation | \$1 |
| ssm:GetInventory | \$1 |
| ssm:ListCommandInvocations | \$1 |
| ssm:SendCommand | arn:aws:ssm:\$1::document/AWS-RunPowerShellScript 2arn:aws:ec2:\$1:\$1:instance/\$1 2 |
1 License Manager 只能在產品代碼為 [bz0vcy31ooqlzk5tsash4r1ik](https://aws.amazon.com/marketplace/pp/prodview-dzstlnjdl3izg)、[77yzkpa7kvee1y1ttt7wnsdwoc](https://aws.amazon.com/marketplace/pp/prodview-bh46d5p2hapns) 或 [d44g89hc0gp9jdzm99rznthpw](https://aws.amazon.com/marketplace/pp/prodview-zo3zltrbpgr5i) 的執行個體上建立和終止標籤。
2 License Manager 只能在標籤名稱為 `AWSLicenseManager`且值為 的執行個體上執行具有 `AWS-RunPowerShellScript` 文件的 SSM Run Command`UserSubscriptions`。
若要在 中檢視此政策的許可 AWS 管理主控台,請參閱 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerUserSubscriptionsServiceRolePolicy)。
## AWS 受管政策: AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy
此政策會連接到名為 `AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService`政策的服務連結角色,以允許 License Manager 呼叫 API 動作來管理 Linux 訂閱資源。如需詳細資訊,請參閱[License Manager – Linux 訂閱角色](linux-subscriptions-role.md)。
角色許可政策允許 License Manager 對指定的資源完成下列動作。
| Action | 條件 | 資源 |
| --- | --- | --- |
| ec2:DescribeInstances | N/A | \$1 |
| ec2:DescribeRegions | N/A | \$1 |
| organizations:DescribeOrganization | N/A | \$1 |
| organizations:ListAccounts | N/A | \$1 |
| organizations:DescribeAccount | N/A | \$1 |
| organizations:ListChildren | N/A | \$1 |
| organizations:ListParents | N/A | \$1 |
| organizations:ListAccountsForParent | N/A | \$1 |
| organizations:ListRoots | N/A | \$1 |
| organizations:ListAWSServiceAccessForOrganization | N/A | \$1 |
| organizations:ListDelegatedAdministrators | N/A | \$1 |
| secretsmanager:GetSecretValue | StringEquals: *"aws:ResourceTag/LicenseManagerLinuxSubscriptions": "enabled"* *"aws:ResourceAccount": "\$1\$1aws:PrincipalAccount\$1"* | arn:aws:secretsmanager:\$1:\$1:secret:\$1 |
| kms:解密 | StringEquals: *"aws:ResourceTag/LicenseManagerLinuxSubscriptions": "enabled",* *"aws:ResourceAccount": "\$1\$1aws:PrincipalAccount\$1"* ** StringLike: *"kms:ViaService": 【 "secretsmanager.\$1.amazonaws.com" 】* | arn:aws:kms:\$1:\$1:key/\$1 |
若要在 中檢視此政策的許可 AWS 管理主控台,請參閱 [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy)。
## AWS 受管政策的 License Manager 更新
檢視自此服務開始追蹤這些變更以來, License Manager AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 更新現有政策 | License Manager 新增了許可,可透過執行 AWS 受管 SSM 文件來探索執行個體上的授權資產。 | 2025 年 11 月 19 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy) – 更新現有政策 | License Manager 新增了下列許可來管理授權和 Active Directory 資料:從 Route 53 取得路由資訊、從 Amazon EC2 取得聯網資訊和安全群組規則,以及從 Secrets Manager 取得秘密。 | 2024 年 11 月 7 日 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy) – 更新現有政策 | License Manager 新增了儲存和擷取秘密的許可 AWS Secrets Manager,以及使用 AWS KMS 金鑰解密自有授權 (BYOL) 訂閱的存取權杖秘密。 | 2024 年 5 月 22 日 |
| [AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerLinuxSubscriptionsServiceRolePolicy) – 新政策 | License Manager 新增了建立名為 之服務連結角色的許可AWSServiceRoleForAWSLicenseManagerLinuxSubscriptionsService。此角色提供 License Manager 列出 AWS Organizations 和 Amazon EC2 資源的許可。 | 2022 年 12 月 21 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerUserSubscriptionsServiceRolePolicy) – 更新現有政策 | License Manager 新增了 ec2:DescribeVpcPeeringConnections許可。 | 2022 年 11 月 28 日 |
| [AWSLicenseManagerUserSubscriptionsServiceRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – 新政策 | License Manager 新增了建立名為 之服務連結角色的許可AWSLicenseManagerUserSubscriptionsServiceRolePolicy。此角色提供 License Manager 許可,以列出 AWS Directory Service 資源、利用 Systems Manager 功能,以及管理為使用者型訂閱建立的 Amazon EC2 資源。 | 2022 年 7 月 18 日 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – 更新現有政策 | License Manager 新增由 管理之資源群組的resource-groups:PutGroupPolicy許可 AWS Resource Access Manager。 | 2022 年 6 月 27 日 |
| [AWSLicenseManagerMasterAccountRolePolicy](#security-iam-AWSLicenseManagerMasterAccountRolePolicy) – 更新現有政策 | License Manager 將 的 AWS 受管政策AWSLicenseManagerMasterAccountRolePolicy條件金鑰從使用 ram:ResourceTag 變更為 aws:ResourceTag。 [AWS Resource Access Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceaccessmanager.html) | 2021 年 11 月 16 日 |
| [AWSLicenseManagerConsumptionPolicy](#security-iam-AWSLicenseManagerConsumptionPolicy) – 新政策 | License Manager 新增了新的政策,授予使用授權的許可。 | 2021 年 8 月 11 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 更新現有政策 | License Manager 新增了列出委派管理員的許可,以及建立名為 之服務連結角色的許可AWSServiceRoleForAWSLicenseManagerMemberAccountRole。 | 2021 年 6 月 16 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 更新現有政策 | License Manager 新增了列出所有 License Manager 資源的許可,例如授權組態、授權和授權。 | 2021 年 6 月 15 日 |
| [AWSLicenseManagerServiceRolePolicy](#security-iam-AWSLicenseManagerServiceRolePolicy) – 更新現有政策 | License Manager 新增了建立名為 之服務連結角色的許可AWSServiceRoleForMarketplaceLicenseManagement。此角色提供在 License Manager 中建立和管理授權的 AWS Marketplace 許可。如需詳細資訊,請參閱 AWS Marketplace 買家指南中的 [AWS Marketplace的服務連結角色](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-using-service-linked-roles.html)。 | 2021 年 3 月 9 日 |
| License Manager 已開始追蹤變更 | License Manager 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 9 日 |