本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 上的安全性 AWS Marketplace
我們會列出來自高品質賣方的軟體,並積極努力維持我們的選擇品質。 由於每位客戶都不同,我們的目標是提供有關上所列產品的足夠資訊, AWS Marketplace 以便客戶做出良好的購買決策。
**注意**
如需 AWS Data Exchange 資料產品安全性的相關資訊,請參閱《*AWS Data Exchange 使用者指南*》中的[安全性](https://docs.aws.amazon.com/data-exchange/latest/userguide/security.html)。
如需有關 上賣方安全性的資訊 AWS Marketplace,請參閱《 *AWS Marketplace 賣方指南*》中的[AWS Marketplace 安全性](https://docs.aws.amazon.com/marketplace/latest/userguide/security.html)。
## 與賣方共用的訂閱者資訊
我們可能會基於下列原因與賣方分享您的聯絡資訊:
+ 如果他們需要提供客戶培訓和技術支援。
+ 用於啟用軟體、設定和自訂內容。
+ 在內部補償其銷售團隊。
此外,我們可能會與賣方共用公司名稱、完整地址和使用費等資訊,以便賣方補償其銷售團隊。我們也可能與賣方共用特定資訊,以協助他們評估行銷活動的有效性。賣方可以使用此資訊以及他們已經擁有的資訊,來判斷其銷售團隊的獎勵或特定買方的用量。
否則,我們通常不會與賣方共用客戶資訊,而且共用的任何資訊都無法識別個人身分,除非您已授予我們共用該資訊的許可,或者我們認為提供資訊給賣方是遵守法律或法規的必要條件。
# 將 IAM 政策升級至 IPv6
AWS Marketplace 客戶使用 IAM 政策來設定允許的 IP 地址範圍,並防止設定範圍以外的任何 IP 地址能夠存取 AWS Marketplace 資源。
AWS Marketplace 網站網域正在升級至 IPv6 通訊協定。
未更新以處理 IPv6 地址的 IP 地址篩選政策可能會導致用戶端無法存取 AWS Marketplace 網站上的資源。
## 從 IPv4 升級到 IPv6 影響的客戶
使用雙重定址的客戶會受到此升級的影響。雙重定址表示網路同時支援 IPv4 和 IPv6。
如果您使用雙定址,則必須更新目前設定 IPv4 格式地址的 IAM 政策,以包含 IPv6 格式地址。
如需協助解決存取問題,請聯絡 [支援](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create)。
**注意**
下列客戶*不受*此升級影響:
*僅*位於 IPv4 網路的客戶。
*僅*位於 IPv6 網路的客戶。
## 什麼是 IPv6?
IPv6 是新一代 IP 標準,旨在最終取代 IPv4。舊版 IPv4 使用 32 位元定址機制來支援 43 億部裝置。IPv6 改為使用 128 位元定址,以支援大約 340 兆兆億 (或 2 到第 128 個電源) 的裝置。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## 更新 IPv6 的 IAM 政策
IAM 政策目前用於使用`aws:SourceIp`篩選條件設定允許的 IP 地址範圍。
雙定址支援 IPv4 和 IPV6 流量。如果您的網路使用雙定址,您必須確保用於 IP 地址篩選的任何 IAM 政策都已更新,以包含 IPv6 地址範圍。
例如,此 IAM 身分型政策識別條件元素中允許的 IPv4 地址 CIDR 範圍 192.0.2.0/24 和 203.0.113.0/24。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "aws-marketplace:*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
------
如需 IAM 身分型政策範例的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[AWS: AWS 根據來源 IP 拒絕對 的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
若要更新此政策,政策的 `Condition`元素會更新為包含 IPv6 地址範圍`2001:DB8:1234:5678::/64`和 `2001:cdba:3257:8593::/64`。
**注意**
請勿移除現有的 IPv4 地址,因為需要它們才能回溯相容。
```
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24", <>
"203.0.113.0/24", <>
"2001:DB8:1234:5678::/64", <>
"2001:cdba:3257:8593::/64" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
如需利用 IAM 管理存取許可的詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。**
## 從 IPv4 更新至 IPv6 後測試網路
將 IAM 政策更新為 IPv6 格式後,您可以測試您的網路是否正在存取 IPv6 端點和 AWS Marketplace 網站功能。
**Topics**
+ [使用 Linux/Unix 或 Mac OS X 測試網路](#testing-linux)
+ [使用 Windows 7 或 Windows 10 測試網路](#testing-widows)
+ [測試 AWS Marketplace 網站](#testing-website)
### 使用 Linux/Unix 或 Mac OS X 測試網路
如果您使用的是 Linux/Unix 或 Mac OS X,您可以使用下列 curl 命令來測試您的網路是否正在存取 IPv6 端點。
```
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
```
例如,如果您透過 IPv6 連接,連接的 IP 地址會顯示以下資訊。
```
* About to connect() to aws.amazon.com port 443 (#0)
* Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com
```
### 使用 Windows 7 或 Windows 10 測試網路
如果您使用的是 Windows 7 或 Windows 10,您可以測試您的網路是否可以透過 IPv6 或 IPv4 存取雙堆疊端點。請使用 `ping` 指令,如下列範例所示。
```
ping aws.amazon.com
```
如果您透過 IPv6 存取端點,此命令會傳回 IPv6 地址。
### 測試 AWS Marketplace 網站
在更新後測試 AWS Marketplace 網站功能,主要取決於政策的撰寫方式及其用途。一般而言,您應該驗證政策中指定的功能是否如預期般運作。
下列案例可協助您開始測試 AWS Marketplace 網站功能。
身為 AWS Marketplace 網站上的買方,請測試您是否可以執行下列任務:
+ 訂閱 AWS Marketplace 產品。
+ 設定 AWS Marketplace 產品。
+ 啟動或履行 AWS Marketplace 產品。
身為 AWS Marketplace 網站上的賣方,測試您是否可以執行下列任務:
+ 管理您的現有 AWS Marketplace 產品。
+ 建立 AWS Marketplace 產品。
# 控制對 AWS Marketplace 訂閱的存取
AWS IAM Identity Center 可協助您安全地建立或連線人力資源身分,並集中管理其跨 AWS 帳戶 和應用程式的存取。對於任何大小和類型的 AWS 組織,IAM Identity Center 是 中建議的人力資源身分驗證和授權方法。如需其他組態指導,請檢閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-sso)。
IAM Identity Center 提供使用者入口網站,您的使用者可以在一個位置找到和存取其指派的 AWS 帳戶、角色、雲端應用程式和自訂應用程式。IAM Identity Center 會將單一登入存取權指派給連線目錄中的使用者和群組,並使用許可集來判斷其存取層級。這會啟用臨時安全登入資料。您可以透過指派特定 AWS 受管角色進行 AWS Marketplace 存取來定義其存取層級,以委派整個 AWS 組織的 AWS Marketplace 訂閱管理。
例如,客戶 A 透過聯合擔任角色,並將`ManagedMarketplace_ViewOnly`政策連接到角色。這表示客戶 A 只能檢視 中的訂閱 AWS Marketplace。您可以建立具有檢視訂閱許可的 IAM 角色,並將[擔任此角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)的許可授予客戶 A。
## 建立 IAM 角色以進行 AWS Marketplace 存取
您可以使用 IAM 角色來委派對 AWS 資源的存取。
**建立 IAM 角色以指派 AWS Marketplace 許可**
1. 開啟 [IAM 主控台](https://console.aws.amazon.com/iam/)。
1. 在左側導覽窗格中,選擇 **Roles** (角色),然後選擇 **Create role** (建立角色)。
1. 選擇您的 AWS 帳戶。
1. 從**新增許可**中,選取下列其中一個政策:
+ 若要僅允許檢視訂閱的許可,但不允許變更訂閱,請選擇 **AWSMarketplaceRead-only**。
+ 若要允許訂閱和取消訂閱的許可,請選擇 **AWSMarketplaceManageSubscriptions**。
+ 若要允許完全控制您的訂閱,請選擇 **AWSMarketplaceFullAccess**。
1. 選擇**下一步**。
1. 針對**角色名稱**,輸入角色的名稱。例如,*MarketplaceReadOnly* 或 *MarketplaceFullAccess*。然後選擇 **Create role** (建立角色)。如需詳細資訊,請參閱[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
**注意**
指定帳戶的管理員可以授予許可給該帳戶中的任何 使用者來擔任此角色。
重複上述步驟以建立具有不同許可集的更多角色,讓每個使用者角色都可以使用具有自訂許可的 IAM 角色。
您不會受限於此處所述的 AWS 受管政策中的許可。您可以使用 IAM 建立具有自訂許可的政策,然後將這些政策新增至 IAM 角色。如需詳細資訊,請參閱《[IAM 使用者指南》中的管理 IAM 政策和](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)**[新增 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
## AWS 的 受管政策 AWS Marketplace
您可以使用 AWS 受管政策來提供基本 AWS Marketplace 許可。然後,對於任何獨特的案例,您可以建立自己的政策,並將其套用至具有您案例特定需求的角色。下列基本 AWS Marketplace 受管政策可供您控制擁有哪些許可的人員。
下列連結會帶您前往 [AWS 受管政策參考](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html)``
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html)
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html)
AWS Marketplace 也針對特定案例提供專門的受管政策。如需 AWS Marketplace 買方受 AWS 管政策的完整清單,以及他們提供哪些許可的說明,請參閱本節[AWS AWS Marketplace 買方的 受管政策](buyer-security-iam-awsmanpol.md)中的 。
## 使用 License Manager 的許可
AWS Marketplace 與 整合 AWS License Manager ,以管理和共用您在組織中帳戶之間訂閱之產品的授權。若要檢視 中訂閱的完整詳細資訊 AWS Marketplace,使用者必須能夠從中列出授權資訊 AWS License Manager。
若要確保您的使用者擁有查看其 AWS Marketplace 產品和訂閱相關資料所需的許可,請新增下列許可:
+ `license-manager:ListReceivedLicenses`
如需設定許可的詳細資訊,請參閱《[IAM 使用者指南》中的管理 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)。 **
## 其他資源
如需管理 IAM 角色的詳細資訊,請參閱《IAM [使用者指南》中的 IAM 身分 (使用者、使用者群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。 **
如需管理 IAM 許可和政策的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用政策控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。
如需在 AWS Data Exchange 中管理資料產品的 IAM 許可和政策的詳細資訊,請參閱*《AWS* [Data Exchange 使用者指南》中的 AWS Data Exchange 中的身分和存取管理](https://docs.aws.amazon.com/data-exchange/latest/userguide/auth-access.html)。
# AWS AWS Marketplace 買方的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有 服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
本節列出用於管理買方存取的每個政策 AWS Marketplace。如需有關賣方政策的資訊,請參閱《 *AWS Marketplace 賣方指南*》中的[AWSAWS Marketplace 賣方的 受管政策](https://docs.aws.amazon.com/marketplace/latest/userguide/security-iam-awsmanpol.html)。
**Topics**
+ [AWS 受管政策: AWSMarketplaceDeploymentServiceRolePolicy](#deployment-service-manpol)
+ [AWS 受管政策: AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess)
+ [AWS 受管政策: AWSMarketplaceImageBuildFullAccess(已棄用)](#security-iam-awsmanpol-awsmarketplaceimagebuildfullaccess)
+ [AWS 受管政策: AWSMarketplaceLicenseManagementServiceRolePolicy](#security-iam-awsmanpol-awsmarketplacelicensemanagementservicerolepolicy)
+ [AWS 受管政策: AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions)
+ [AWS 受管政策: AWSMarketplaceProcurementSystemAdminFullAccess](#security-iam-awsmanpol-awsmarketplaceprocurementsystemadminfullaccess)
+ [AWS 受管政策: AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only)
+ [AWS 受管政策: AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)
+ [AWS 受管政策: AWSPrivateMarketplaceRequests](#security-iam-awsmanpol-awsprivatemarketplacerequests)
+ [AWS 受管政策: AWSServiceRoleForPrivateMarketplaceAdminPolicy](#private-marketplace-slr-manpol)
+ [AWS 受管政策: AWSVendorInsightsAssessorFullAccess](#aws-vi-assessor-full-access)
+ [AWS 受管政策: AWSVendorInsightsAssessorReadOnly](#aws-vi-assessor-read-only)
+ [AWS 受管政策: AWSServiceRoleForProcurementInsightsPolicy](#aws-procurement-insights)
+ [AWS Marketplace AWS 受管政策的更新](#buyer-security-iam-awsmanpol-updates)
## AWS 受管政策: AWSMarketplaceDeploymentServiceRolePolicy
您無法將 `AWSMarketplaceDeploymentServiceRolePolicy` 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 AWS Marketplace 代表您執行動作。如需詳細資訊,請參閱[使用 的服務連結角色 AWS Marketplace](buyer-using-service-linked-roles.md)。
此政策會授予參與者許可, AWS Marketplace 允許 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)代表您管理部署相關參數,這些參數會儲存為 中的秘密。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceDeploymentServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceDeploymentServiceRolePolicy.html)。
## AWS 受管政策: AWSMarketplaceFullAccess
您可將 `AWSMarketplaceFullAccess` 政策連接到 IAM 身分。
此政策授予管理許可,允許以買方和賣方身分完整存取 AWS Marketplace 和相關服務。這些許可包括訂閱和取消訂閱 AWS Marketplace 軟體、從 管理 AWS Marketplace 軟體執行個體 AWS Marketplace、在帳戶中建立和管理私有市集 CloudFormation,以及存取 Amazon EC2 和 Amazon EC2 Systems Manager 的能力。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html)。
## AWS 受管政策: AWSMarketplaceImageBuildFullAccess(已棄用)
此政策授予參與者許可,允許完整存取 AWS Marketplace 私有映像建置功能。除了建立私有映像之外,它還提供許可,以將標籤新增至映像,以及啟動和終止 Amazon EC2 執行個體。
如需詳細資訊,請參閱《[AWS 受管政策參考指南》中的已棄用](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) *AWS 受管政策*。
## AWS 受管政策: AWSMarketplaceLicenseManagementServiceRolePolicy
您無法將 `AWSMarketplaceLicenseManagementServiceRolePolicy` 連接至 IAM 實體。此政策會連接到服務連結角色, AWS Marketplace 允許 代表您執行動作。如需詳細資訊,請參閱[使用 的服務連結角色 AWS Marketplace](buyer-using-service-linked-roles.md)。
此政策會授予參與者許可, AWS Marketplace 允許 代表您管理授權。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceLicenseManagementServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceLicenseManagementServiceRolePolicy.html)。
## AWS 受管政策: AWSMarketplaceManageSubscriptions
您可將 `AWSMarketplaceManageSubscriptions` 政策連接到 IAM 身分。
此政策會授予參與者許可,以允許訂閱和取消訂閱 AWS Marketplace 產品。它還允許買方存取 Express Private Offers 和管理協議取消請求。
許可會組織為下列群組:
+ `aws-marketplace` – 允許主體檢視、訂閱和取消訂閱 AWS Marketplace 產品。
+ `aws-marketplace` – 允許主體建立和管理私有市集請求,並檢視私有產品清單。
+ `aws-marketplace` – 允許主體管理採購訂單並處理購買協議的付款請求,包括接受或拒絕付款請求和檢視協議費用。這些許可僅限於 PurchaseAgreement 類型的協議。
+ `aws-marketplace` – 允許主體檢視和描述 AWS Marketplace 目錄中的變更集。
+ `aws-marketplace` – 允許主體建立和管理代理字符容器,並透過變更集機制表達私有優惠。這些許可僅限於特定變更類型:CreateAgentTokenContainer、RequestExpressPrivateOffer 和 ExpireToken。
+ `aws-marketplace` – 允許主體列出和描述 AWS Marketplace 目錄中的實體,例如產品、優惠和協議。
+ `aws-marketplace` – 允許委託人以接受方身分管理協議取消請求,包括列出、擷取、接受、拒絕取消請求,以及直接取消協議。這些許可僅限於 PurchaseAgreement 類型和接受者方類型。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceManageSubscriptions.html)。
## AWS 受管政策: AWSMarketplaceProcurementSystemAdminFullAccess
您可將 `AWSMarketplaceProcurementSystemAdminFullAccess` 政策連接到 IAM 身分。
此政策授予管理員許可,允許管理 eProcurement 整合的所有層面 AWS Marketplace ,包括列出組織中的帳戶。如需 eProcurement 整合的詳細資訊,請參閱 [AWS Marketplace 與採購系統整合](procurement-system-integration.md) 。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceProcurementSystemAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceProcurementSystemAdminFullAccess.html)。
## AWS 受管政策: AWSMarketplaceRead-only
您可將 `AWSMarketplaceRead-only` 政策連接到 IAM 身分。
此政策授予唯讀許可,允許檢視您帳戶上的產品、私有優惠和訂閱 AWS Marketplace,以及檢視帳戶中的 Amazon EC2 AWS Identity and Access Management和 Amazon SNS 資源。
許可會組織為下列群組:
+ `aws-marketplace` – 允許主體檢視訂閱並列出協議費用。
+ `ec2` – 允許主體描述帳戶屬性、地址、影像、執行個體、金鑰對、安全群組、子網路和 VPCs。
+ `iam` – 允許主體列出角色和執行個體描述檔。
+ `sns` – 允許主體取得主題屬性並列出主題。
+ `aws-marketplace` – 允許主體列出和描述私有市集請求,並檢視協議付款請求。
+ `aws-marketplace` – 允許主體列出私有產品清單。
+ `aws-marketplace` – 允許主體列出和檢視協議取消請求。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceRead-only.html)。
## AWS 受管政策: AWSPrivateMarketplaceAdminFullAccess
您可將 `AWSPrivateMarketplaceAdminFullAccess` 政策連接到 IAM 身分。
此身分型政策可讓管理員管理 AWS Private Marketplace 組態和相關聯的組織控制。此政策包含 IAM 和 Organizations 許可。它授予執行下列動作的許可:
1. 管理 Private Marketplace 服務連結角色 (SLR)。
1. 取得 的角色資訊`AWSServiceRoleForPrivateMarketplaceAdmin`。
1. 為 Private Marketplace 管理建立服務連結角色。
1. 處理組織委派管理。
1. 註冊和取消註冊 Private Marketplace 的委派管理員。
1. 在 Organizations 中啟用 Private Marketplace AWS 的服務存取。
1. 管理 Private Marketplace 產品和請求。
1. 將產品與 Private Marketplace 建立關聯和取消關聯。
1. 列出並描述 Private Marketplace 請求。
1. 執行目錄操作 (列出實體、描述實體、管理變更集)。
1. 處理資源 AWS Marketplace 的資源標記。
1. 存取 Organizations 資訊。
1. 檢視組織詳細資訊、組織單位和帳戶。
1. 列出組織階層資訊。
1. 監控 AWS 服務存取和委派管理員。
此政策專為需要跨 Organizations 結構設定和管理 Private Marketplace 的管理員而設計,授予這些函數的主控台和程式設計存取權。
此政策包含特定條件,以確保 Private Marketplace 服務主體驗證,以及 IAM 角色和組織管理的適當資源層級許可。如需使用多個管理員的詳細資訊,請參閱 [私有市集管理員的範例政策](it-administrator.md#creating-custom-policies-for-private-marketplace-admin)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceAdminFullAccess.html)。
## AWS 受管政策: AWSPrivateMarketplaceRequests
您可將 `AWSPrivateMarketplaceRequests` 政策連接到 IAM 身分。
此政策授予參與者許可,允許存取 以請求將產品新增至其 Private Marketplace 體驗,以及檢視這些請求。這些請求必須由 Private Marketplace 管理員核准或拒絕。
許可會組織成多個群組:
1. `LegacyPrivateMarketplaceRequestsPermissions`:這些許可將由即將棄用的傳統 Private Marketplace 使用。如需詳細資訊,請參閱[中的私有市集 AWS Marketplace (舊版)](private-marketplace.md)。
1. `PrivateMarketplaceManageRequestsPermissions`:建立和取消產品核准請求需要這些許可。
1. `PrivateMarketplaceReadRequestsPermissions` 和 `PrivateMarketplaceListRequestsPermissions`:需要這些許可才能列出和取得產品核准請求的詳細資訊。
1. `PrivateMarketplaceReadChangeSetPermissions`:需要這些許可才能列出和取得變更集的詳細資訊,以建立和取消請求。請參閱 *AWS Marketplace API 參考*中的[使用變更集](https://docs.aws.amazon.com/marketplace/latest/APIReference/catalog-apis.html#working-with-change-sets)。
1. `PrivateMarketplaceTaggingRequestsPermissions`:標記許可是選用的,允許使用者標記請求。請參閱 *AWS Marketplace API 參考*中的[管理資源上的標籤](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/managing-tags.html)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateMarketplaceRequests.html)。
## AWS 受管政策: AWSServiceRoleForPrivateMarketplaceAdminPolicy
您無法將 `AWSServiceRoleForPrivateMarketplaceAdminPolicy` 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 AWS Marketplace 代表您執行動作。如需詳細資訊,請參閱[使用 的服務連結角色 AWS Marketplace](buyer-using-service-linked-roles.md)。
此政策授予參與者許可, AWS Marketplace 允許 描述和更新 Private Marketplace 資源並進行描述 AWS Organizations。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForPrivateMarketplaceAdminPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForPrivateMarketplaceAdminPolicy.html)。
## AWS 受管政策: AWSVendorInsightsAssessorFullAccess
您可將 `AWSVendorInsightsAssessorFullAccess` 政策連接到 IAM 身分。
此政策授予檢視具備權限的 AWS Marketplace Vendor Insights 資源和管理 AWS Marketplace Vendor Insights 訂閱的完整存取權。這些請求必須由管理員核准或拒絕。它允許唯讀存取 AWS Artifact 第三方報告。
AWS Marketplace Vendor Insights 識別評估者等於買方,而廠商等於賣方。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorFullAccess.html)。
## AWS 受管政策: AWSVendorInsightsAssessorReadOnly
您可將 `AWSVendorInsightsAssessorReadOnly` 政策連接到 IAM 身分。
此政策授予唯讀存取權,以檢視具備權限的 AWS Marketplace Vendor Insights 資源。這些請求必須由管理員核准或拒絕。它允許唯讀存取 中的報告 AWS Artifact。
請求必須由管理員核准或拒絕。它允許 AWS Artifact 唯讀存取第三方報告。
AWS Marketplace Vendor Insights 會將評估者識別為買方,而基於本指南的目的,廠商等於賣方。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsAssessorReadOnly.html)。
## AWS 受管政策: AWSServiceRoleForProcurementInsightsPolicy
您可將 `AWSServiceRoleForProcurementInsightsPolicy` 政策連接到 IAM 身分。
此政策會授予對 AWS 組織中資源資料的`AWSServiceRoleForProcurementInsightsPolicy`存取權。 AWS Marketplace 會使用資料來填入[採購洞察儀表板](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html)。儀表板可讓具有管理帳戶的買方檢視組織中所有帳戶的所有協議。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForProcurementInsightsPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForProcurementInsightsPolicy.html)。
## AWS Marketplace AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS Marketplace 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 上的 RSS 摘要 AWS Marketplace [AWS Marketplace 買方指南的文件歷史記錄](document-history.md)
**注意**
在 AWS Marketplace Vendor Insights 中,基於本指南的目的,評估者等於買方,而廠商等於賣方。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only) — 現有政策的更新 | AWS Marketplace 新增列出和檢視協議取消請求的許可。 | 2026 年 3 月 31 日 |
| [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions) — 現有政策的更新 | AWS Marketplace 新增管理協議取消請求的許可,包括列出、擷取、接受、拒絕取消請求,以及直接取消協議。 | 2026 年 3 月 31 日 |
| [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions) — 現有政策的更新 | AWS Marketplace 新增了買方存取 Express Private Offer 的許可。 | 2025 年 11 月 30 日 |
| [AWSPrivateMarketplaceRequests](#security-iam-awsmanpol-awsprivatemarketplacerequests) — 現有政策的更新 | AWS Marketplace 新增了許可,可建立和取消產品核准請求、列出和取得產品核准請求的詳細資訊,並允許使用者標記請求。 | 2025 年 11 月 17 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess) — 現有政策的更新 | AWS Marketplace 新增了 Private Marketplace 管理員的服務連結角色和 Organizations 整合許可。 | 2025 年 6 月 5 日 |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only) 和 [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions) — 現有政策的更新 | AWS Marketplace 更新現有政策,移除與已終止的 Private Image Build 交付方法相關的政策。 | 2025 年 5 月 7 日 |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only) 和 [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions) — 現有政策的更新 | AWS Marketplace 已更新現有政策,以支援在 AWS Marketplace 主控台中列出協議費用和更新採購訂單。 | 2024 年 11 月 21 日 |
| 新增 [AWSServiceRoleForProcurementInsightsPolicy](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#aws-procurement-insights)。 | AWS Marketplace 新增了用於存取和描述 Organizations 中資料的新政策。 AWS Marketplace 會使用資料來填入[採購洞察儀表板](https://docs.aws.amazon.com/marketplace/latest/buyerguide/procurement-insights.html)。 | 2024 年 10 月 3 日 |
| 已棄用舊版AWSMarketplaceImageBuildFullAccess AWS Marketplace 政策 | AWS Marketplace 已停止 Private Image Build 交付方法,因此AWSMarketplaceImageBuildFullAcces政策也已停止。 | 2024 年 5 月 30 日 |
| [https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#private-marketplace-slr-manpol](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#private-marketplace-slr-manpol) — 新增 中新功能的政策 AWS Marketplace | AWS Marketplace 新增了支援管理 Private Marketplace 資源和描述的新政策 AWS Organizations。 | 2024 年 2 月 16 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess) — 更新現有政策 | AWS Marketplace 已更新政策以支援讀取 AWS Organizations 資料。 | 2024 年 2 月 16 日 |
| [https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#deployment-service-manpol](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html#deployment-service-manpol) — 新增 中新功能的政策 AWS Marketplace | AWS Marketplace 新增了支援管理部署相關參數的新政策。 | 2023 年 11 月 29 日 |
| [AWSMarketplaceRead-only](#security-iam-awsmanpol-awsmarketplaceread-only) 和 [AWSMarketplaceManageSubscriptions](#security-iam-awsmanpol-awsmarketplacemanagesubscriptions) — 現有政策的更新 | AWS Marketplace 已更新現有政策,以允許存取 Private Offer 頁面。 | 2023 年 1 月 19 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess) — 更新現有政策 | AWS Marketplace 已更新新標籤型授權功能的政策。 | 2022 年 12 月 9 日 |
| [AWSVendorInsightsAssessorReadOnly](#aws-vi-assessor-read-only) AWS Marketplace 已更新 AWSVendorInsightsAssessorReadOnly | AWS Marketplace 更新AWSVendorInsightsAssessorReadOnly以新增 AWS Artifact 對第三方報告中報告的唯讀存取權 (預覽)。 | 2022 年 11 月 30 日 |
| [AWSVendorInsightsAssessorFullAccess](#aws-vi-assessor-full-access) AWS Marketplace 已更新 AWSVendorInsightsAssessorFullAccess | AWS Marketplace 更新`AWSVendorInsightsAssessorFullAccess`以新增第三方報告的協議搜尋和唯讀存取 AWS Artifact (預覽)。 | 2022 年 11 月 30 日 |
| [AWSVendorInsightsAssessorFullAccess](#aws-vi-assessor-full-access) 和 [AWSVendorInsightsAssessorReadOnly](#aws-vi-assessor-read-only) — 新增 中新功能的政策 AWS Marketplace | AWS Marketplace 新增新功能 AWS Marketplace Vendor Insights 的政策: `AWSVendorInsightsAssessorFullAccess`和 `AWSVendorInsightsAssessorReadOnly` | 2022 年 7 月 26 日 |
| [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess) 和 AWSMarketplaceImageBuildFullAccess — 現有政策的更新 | AWS Marketplace 已移除不需要的許可,以改善安全性。 | 2022 年 3 月 4 日 |
| [AWSPrivateMarketplaceAdminFullAccess](#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess) — 更新現有政策 | AWS Marketplace 已從`AWSPrivateMarketplaceAdminFullAccess`政策中移除未使用的許可。 | 2021 年 8 月 27 日 |
| [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess) — 更新至現有政策 | AWS Marketplace 已從`AWSMarketplaceFullAccess`政策中移除重複的`ec2:DescribeAccountAttributes`許可。 | 2021 年 7 月 20 日 |
| AWS Marketplace 開始追蹤變更 | AWS Marketplace 已開始追蹤其 AWS 受管政策的變更。 | 2021 年 4 月 20 日 |
# 使用 的服務連結角色 AWS Marketplace
AWS Marketplace use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Marketplace。服務連結角色由 AWS Marketplace 預先定義,且內含該服務代您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS Marketplace 輕鬆地設定,因為您不必手動新增必要的許可。 AWS Marketplace 會定義其服務連結角色的許可,除非另有定義,否則 AWS Marketplace 只能擔任其角色。已定義的許可包括信任政策和許可政策。該許可政策無法連接至其他任何 IAM 實體。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在服務**連結角色**欄中尋找具有**是**的服務。選擇有連結的**是**,以檢視該服務的服務連結角色文件。
# 為 建立服務連結角色 AWS Marketplace
AWS Marketplace 當您設定與 的整合時, 會為您建立服務連結角色 AWS License Manager。
您可以指定 一次為組織中的所有帳戶 AWS Marketplace 建立服務連結角色,也可以一次為一個帳戶建立服務連結角色。只有在您的組織已啟用**所有功能**時,才能選擇在所有帳戶中建立服務連結角色。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》[中的啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
**在所有帳戶中建立服務連結角色**
1. 在[AWS Marketplace 主控台](https://console.aws.amazon.com/marketplace/)中,登入並選擇**設定**。
1. 在**AWS Marketplace 採購洞察整合**區段中,選取**檢視設定詳細資訊**。
1. 在**建立 AWS Marketplace 採購洞見整合**頁面上,選取**在整個組織中啟用受信任存取**,然後選擇**建立整合**。
**注意**
此設定可在 內啟用信任 AWS Organizations。因此,除了目前的動作之外,新增至組織的未來帳戶也會自動新增服務連結角色。
**為目前帳戶建立服務連結角色**
1. 在[AWS Marketplace 主控台](https://console.aws.amazon.com/marketplace/)中,登入並選擇**設定**。
1. 在**AWS 授權管理員整合**區段中,選取**檢視設定詳細資訊**。
1. 在**建立 AWS 授權管理員整合**頁面的**啟用 AWS Marketplace 以管理 AWS Organizations 帳戶的授權**下,選取**AWS Marketplace 此帳戶的授權管理服務連結角色**,然後選擇**建立整合**。
**重要**
如果您僅為目前帳戶建立服務連結角色,則不會在整個組織中啟用受信任存取,而且您必須針對想要共用 (提供或接收) 授權的每個帳戶重複這些步驟 AWS Marketplace。這包括所有未來的帳戶。
# 編輯 的服務連結角色 AWS Marketplace
AWS Marketplace 不允許您編輯服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
# 刪除 的服務連結角色 AWS Marketplace
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果 AWS Marketplace 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForMarketplaceLicenseManagement`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Marketplace 服務連結角色支援的區域
AWS Marketplace 支援在所有提供服務的 AWS 區域 中使用服務連結角色。如需詳細資訊,請參閱 [AWS Marketplace 區域與端點](https://docs.aws.amazon.com/general/latest/gr/aws-marketplace.html#aws-marketplace_region)。
# 共享 權限的服務連結角色 AWS Marketplace
若要與 共用您 AWS 組織中其他帳戶的 AWS Marketplace 訂閱 AWS License Manager,您必須為要共用的每個帳戶授予 AWS Marketplace 許可。使用 **AWSServiceRoleForMarketplaceLicenseManagement** 角色來執行此操作。此角色 AWS Marketplace 提供在 中建立和管理您訂閱 AWS License Manager 之產品的授權的許可 AWS Marketplace。
`AWSServiceRoleForMarketplaceLicenseManagement` 服務連結角色信任下列服務代表您在 License Manager 中執行動作:
+ `license-management.marketplace.amazonaws.com`
允許 在指定的資源上`AWSMarketplaceLicenseManagementServiceRolePolicy` AWS Marketplace 完成下列動作:
+ 動作:
+ `"organizations:DescribeOrganization"`
+ `"license-manager:ListReceivedGrants"`
+ `"license-manager:ListDistributedGrants"`
+ `"license-manager:GetGrant"`
+ `"license-manager:CreateGrant"`
+ `"license-manager:CreateGrantVersion"`
+ `"license-manager:DeleteGrant"`
+ `"license-manager:AcceptGrant"`
+ 資源:
+ 所有資源 (`"*"`)
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 在 中設定和啟動產品的服務連結角色 AWS Marketplace
AWS Marketplace 使用名為 的服務連結角色`AWSServiceRoleForMarketplaceDeployment`, AWS Marketplace 以允許 [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)代表您管理部署相關參數,這些參數會儲存為 中的秘密。範本中的賣方可以參考這些秘密,您可以在設定在 中啟用快速啟動的產品時啟動這些 CloudFormation 秘密 AWS Marketplace。
`AWSServiceRoleForMarketplaceDeployment` 服務連結角色信任下列服務以擔任角色:
+ `deployment.marketplace.amazonaws.com`
允許 在您的 資源上`AWSMarketplaceDeploymentServiceRolePolicy` AWS Marketplace 完成下列動作。
**注意**
如需 AWS Marketplace 受管政策的詳細資訊,請參閱 [AWS AWS Marketplace 買方的 受管政策](buyer-security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageMarketplaceDeploymentSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:PutSecretValue",
"secretsmanager:DescribeSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:RemoveRegionsFromReplication"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:marketplace-deployment*!*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ListSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
]
},
{
"Sid": "TagMarketplaceDeploymentSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:marketplace-deployment!*",
"Condition": {
"Null": {
"aws:RequestTag/expirationDate": "false"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"expirationDate"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 在 中設定 Private Marketplace 的服務連結角色 AWS Marketplace
AWS Marketplace 使用名為 的服務連結角色`AWSServiceRoleForPrivateMarketplaceAdmin`來描述和更新 Private Marketplace 資源和描述 AWS Organizations。
`AWSServiceRoleForPrivateMarketplaceAdmin` 服務連結角色信任下列服務以擔任角色:
+ `private-marketplace.marketplace.amazonaws.com`
此`AWSServiceRoleForPrivateMarketplaceAdminPolicy`政策允許 對指定的資源 AWS Marketplace 執行下列動作。
**注意**
如需 AWS Marketplace 受管政策的詳細資訊,請參閱本指南[AWS AWS Marketplace 買方的 受管政策](buyer-security-iam-awsmanpol.md)中的 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PrivateMarketplaceCatalogDescribePermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeEntity"
],
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Audience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/ProcurementPolicy/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/BrandingSettings/*"
]
},
{
"Sid": "PrivateMarketplaceCatalogDescribeChangeSetPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeChangeSet"
],
"Resource": "*"
},
{
"Sid": "PrivateMarketplaceCatalogListPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:ListChangeSets"
],
"Resource": "*"
},
{
"Sid": "PrivateMarketplaceStartChangeSetPermissions",
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Condition": {
"StringEquals": {
"catalog:ChangeType": [
"AssociateAudience",
"DisassociateAudience"
]
}
},
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/*",
"arn:aws:aws-marketplace:*:*:AWSMarketplace/ChangeSet/*"
]
},
{
"Sid": "PrivateMarketplaceOrganizationPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganizationalUnit",
"organizations:ListDelegatedAdministrators",
"organizations:ListChildren"
],
"Resource": [
"*"
]
}
]
}
```
------
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 共享採購資料的服務連結角色
AWS Marketplace 使用`AWSServiceRoleForProcurementInsightsPolicy`服務連結角色來存取和描述 AWS 組織中的資料。您必須建立此角色,才能使用[採購洞察儀表板](procurement-insights.md)。
`AWSServiceRoleForProcurementInsightsPolicy` 服務連結角色信任下列服務以擔任角色:
+ `procurement-insights.marketplace.amazonaws.com`
允許 對指定的資源`AWSServiceRoleForProcurementInsightsPolicy` AWS Marketplace 執行下列動作。
**注意**
如需 AWS Marketplace 受管政策的詳細資訊,請參閱 [AWS AWS Marketplace 買方的 受管政策](buyer-security-iam-awsmanpol.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProcurementInsightsPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": [
"*"
]
}
]
}
```
------
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 建立私有市集管理員
您可以建立管理員群組來管理公司的[私有市集](private-marketplace.md)設定。為您的組織啟用私有市集之後,私有市集的管理員可以執行許多任務,包括下列項目:
+ 檢視和建立體驗和對象。
+ 將產品新增至私有市場體驗。
+ 從私有市集體驗中移除產品。
+ 設定私有市集體驗的使用者介面。
+ 啟用和停用私有市集體驗。
+ 呼叫 AWS Marketplace Catalog API 以程式設計方式管理私有市集體驗。
若要建立多個私有市集管理員,其中每個管理員僅限於一部分任務,請參閱 [私有市集管理員的範例政策](#creating-custom-policies-for-private-marketplace-admin)。
**注意**
啟用私有市集是一種一次性動作,必須從管理帳戶執行。如需詳細資訊,請參閱[私有市集入門](https://docs.aws.amazon.com/marketplace/latest/buyerguide/private-catalog-administration.html#private-marketplace-getting-started)。
您可以將 連接至[AWS 受管政策: AWSPrivateMarketplaceAdminFullAccess](buyer-security-iam-awsmanpol.md#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)使用者、群組或角色,以授予 AWS Identity and Access Management (IAM) 許可來管理私有市集。建議使用群組或角色。如需如何連接政策的詳細資訊,請參閱《*IAM 使用者指南*》中的[將政策連接至使用者群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy)。
如需`AWSPrivateMarketplaceAdminFullAccess`政策中許可的詳細資訊,請參閱 [AWS 受管政策: AWSPrivateMarketplaceAdminFullAccess](buyer-security-iam-awsmanpol.md#security-iam-awsmanpol-awsprivatemarketplaceadminfullaccess)。若要了解其他用於 的政策 AWS Marketplace,請登入 AWS 管理主控台,然後前往 [IAM 政策頁面](https://console.aws.amazon.com/iam/home?#/policies)。在搜尋方塊中,輸入 **Marketplace** 以尋找所有相關聯的政策 AWS Marketplace。
## 私有市集管理員的範例政策
您的組織可以建立多個私有市集管理員,其中每個管理員僅限於一部分的任務。您可以調整 AWS Identity and Access Management (IAM) 政策,在目錄的動作、資源和條件索引鍵中列出的 AWS Marketplace Catalog API 動作上指定條件索引鍵和資源。 [AWS Marketplace](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsmarketplacecatalog.html#awsmarketplacecatalog-catalog_ChangeType)有關使用 AWS Marketplace Catalog API 變更類型和資源來調整 IAM 政策的一般機制,請參閱 [AWS Marketplace Catalog API 指南](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/api-access-control.html)。如需私有中所有可用變更類型的清單 AWS Marketplace,請參閱[使用私有市集。](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/private-marketplace.html)
若要建立客戶受管政策,請參閱[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。以下是範例政策 JSON,您可以用來建立只能從私有市集新增或移除產品的管理員。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-marketplace:AssociateProductsWithPrivateMarketplace",
"aws-marketplace:DisassociateProductsFromPrivateMarketplace",
"aws-marketplace:ListPrivateMarketplaceRequests",
"aws-marketplace:DescribePrivateMarketplaceRequests"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:DescribeEntity",
"aws-marketplace:ListEntities",
"aws-marketplace:ListChangeSets",
"aws-marketplace:DescribeChangeSet",
"aws-marketplace:CancelChangeSet"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Condition": {
"StringEquals": {
"catalog:ChangeType": [
"AllowProductProcurement",
"DenyProductProcurement"
]
}
},
"Resource": "*"
}
]
}
```
------
也可以限制政策來管理私有市集資源的子集。以下是範例政策 JSON,您可以用來建立只能管理特定私有市集體驗的管理員。此範例使用資源字串搭配 `exp-1234example`做為`Experience`識別符。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-marketplace:AssociateProductsWithPrivateMarketplace",
"aws-marketplace:DisassociateProductsFromPrivateMarketplace",
"aws-marketplace:ListPrivateMarketplaceRequests",
"aws-marketplace:DescribePrivateMarketplaceRequests"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:DescribeEntity",
"aws-marketplace:ListChangeSets",
"aws-marketplace:DescribeChangeSet",
"aws-marketplace:CancelChangeSet"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-marketplace:StartChangeSet"
],
"Resource": [
"arn:aws:aws-marketplace:*:*:AWSMarketplace/Experience/exp-1234example"
]
}
]
}
```
------
如需如何擷取實體識別符的詳細資訊,以及檢視私有市集資源集,請參閱[使用私有市集](https://docs.aws.amazon.com/marketplace-catalog/latest/api-reference/private-marketplace.html)。