本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控制对 AWS Marketplace 订阅的访问
AWS IAM Identity Center 可帮助您安全地创建或连接员工身份,并集中管理员工跨 AWS 账户和应用程序的访问权限。对于任何规模和类型的组织,推荐在 AWS 上使用 IAM Identity Center 进行员工身份验证和授权。有关其他配置指南,请查看 AWS 安全参考架构。
IAM Identity Center 提供一个用户门户,在其中,您的用户可以在一个地方集中查找和访问分配给他们的 AWS 账户 账户、云应用程序及自定义应用程序。IAM Identity Center 将单点登录访问权限分配给您的连接目录中的用户和组,并使用权限集来确定他们的访问级别。这将启用临时安全凭证。您可以通过为 AWS Marketplace 访问分配特定的 AWS 托管角色来定义他们的访问级别,以在您的 AWS 组织中委派 AWS Marketplace 订阅管理。
例如,客户 A 使用附加到角色的 ManagedMarketplace_ViewOnly 策略来通过联合身份验证代入角色。这意味着客户 A 只能在 AWS Marketplace 中查看订阅。您可以创建具有查看订阅权限的 IAM 角色,并向客户 A 授予代入此角色的权限。
创建用于 AWS Marketplace 访问的 IAM 角色
您可以使用 IAM 角色委派对 AWS 资源的访问权限。
创建用于分配 AWS Marketplace 权限的 IAM 角色
-
打开 IAM 控制台
。 -
在左侧的导航窗格中,选择角色,然后选择创建角色。
-
选择您的 AWS 账户。
-
从添加权限中,选择以下任一策略:
-
要允许只查看订阅(但不能更改)的权限,请选择 AWSMarketplaceRead-only。
-
要允许订阅和取消订阅的权限,请选择 AWSMarketplaceManageSubscriptions。
-
要允许完全控制您的订阅,请选择 AWSMarketplaceFullAccess。
-
-
选择下一步。
-
对于角色名称,为角色输入一个名称。例如,
MarketplaceReadOnly或MarketplaceFullAccess。然后选择创建角色。有关更多信息,请参阅创建 IAM 角色。
注意
指定账户的管理员可向该账户中的任何用户授予代入该角色的权限。
重复上述步骤,创建更多具有不同权限集的角色,以便每个用户角色都可以使用具有自定义权限的 IAM 角色。
您不限于此处描述的 AWS 托管策略中的权限。您可以使用 IAM 创建具有自定义权限的策略,然后将这些策略添加到 IAM 角色。有关更多信息,请参阅《IAM 用户指南》中的管理 IAM 策略及添加 IAM 身份权限。
适用于 AWS Marketplace 的 AWS 托管策略
您可以使用 AWS 托管策略来提供基本 AWS Marketplace 权限。然后,对于任何特定方案,您可以创建自己的策略并将其应用到具有方案特定要求的角色。以下是可供您使用的基本 AWS Marketplace 管理策略,用于控制不同用户拥有哪些权限。
这些链接会将您引导 AWS 托管式策略参考。
AWS Marketplace 还为特定场景提供了专门的托管策略。有关适用于 AWS Marketplace 买家的 AWS 托管策略的完整列表以及他们提供的权限说明,请参阅本节中的 AWS 面向 AWS Marketplace 买家的托管政策。
使用 License Manager 的权限
AWS Marketplace 与 AWS License Manager 集成,可管理和共享您在组织内的账户之间订阅的产品的许可证 要查看 AWS Marketplace 中订阅的完整详细信息,用户必须能够从 AWS License Manager 列出许可证信息。
要确保您的用户拥有查看有关其 AWS Marketplace 产品和订阅的所有数据所需的权限,请添加以下权限:
-
license-manager:ListReceivedLicenses
有关设置权限的更多信息,请参阅《IAM 用户指南》中的管理 IAM policy。
其他资源
有关管理 IAM 角色的更多信息,请参阅《IAM 用户指南》中的 IAM 身份(用户、用户组和角色)。
有关管理 IAM 权限和策略的更多信息,请参阅 《IAM 用户指南》中的使用策略控制对 AWS 资源的访问权限。
有关管理 AWS Data Exchange 中数据产品的 IAM 权限和策略的更多信息,请参阅 AWS Data Exchange 用户指南中的 AWS Data Exchange 中的身份和访问管理。
