本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Marketplace 安全性
AWS 十分重视云安全性。作为 AWS 客户,您将从专为满足大多数安全敏感型企业的要求而打造的数据中心和网络架构中受益。
安全性是 AWS 和您的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云的安全性** – AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。AWS 还向您提供可安全使用的服务。作为 [AWS 合规计划](https://aws.amazon.com/compliance/programs/)的一部分,我们的安全有效性会定期由第三方审核员进行测试和验证。要了解适用于 AWS Marketplace 的合规性计划,请参阅[合规性计划范围内的 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云中的安全性**:您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 AWS Marketplace 时应用责任共担模型。以下主题说明如何配置 AWS Identity and Access Management 来管理对 AWS Marketplace 的访问权限,以实现您的安全性和合规性目标。您还可以了解如何使用其他 AWS 服务来帮助您监控和保护您的 AWS Marketplace 资源。
要详细了解与您在 AWS Marketplace 中提供的产品相关的安全策略和其他策略,请参阅以下主题:
+ [基于 AMI 的产品要求 AWS Marketplace](product-and-ami-policies.md)
+ [基于容器的产品要求 AWS Marketplace](container-product-policies.md)
+ [创建机器学习产品的要求和最佳实操](ml-listing-requirements-and-best-practices.md)
+ [适用于 SaaS 的产品指南 AWS Marketplace](saas-guidelines.md)
+ [对 AWS Marketplace 上的专业服务产品的要求](proserv-product-guidelines.md)
**注意**
要了解通过 AWS Data Exchange 购买的数据产品安全性的信息,请参阅《AWS Data Exchange 用户指南》**中的[安全性](https://docs.aws.amazon.com/data-exchange/latest/userguide/security.html)。
要了解 AWS Marketplace 中的买家安全性,请参阅《AWS Marketplace 买家指南》**中的[AWS Marketplace 上的安全性](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security.html)。
**Topics**
+ [控制访问权限 AWS Marketplace 管理门户](marketplace-management-portal-user-access.md)
+ [AWS Marketplace 卖家的政策和权限](detailed-management-portal-permissions.md)
+ [AWS AWS Marketplace 卖家托管政策](security-iam-awsmanpol.md)
+ [AWS Marketplace 商务分析服务账号权限](set-aws-iam-cas-permissions.md)
+ [Amazon SQS 权限](set-aws-iam-sqs-permissions.md)
+ [AWS Marketplace 计量和授权 API 权限](iam-user-policy-for-aws-marketplace-actions.md)
+ [使用服务相关角色进行转售授权 AWS Marketplace](using-roles-for-resale-authorization.md)
+ [使用记录 AWS Marketplace API 调用 AWS CloudTrail](cloudtrail-logging.md)
# 控制访问权限 AWS Marketplace 管理门户
AWS Identity and Access Management (IAM) AWS 服务 可帮助您控制对 AWS 资源的访问权限。如果您是管理员,则可以控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 AWS Marketplace 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
控制谁能在中执行操作的推荐方法 AWS Marketplace 管理门户 是使用 IAM 创建用户和群组。然后,您将用户添加到组并管理组。例如,如果应允许 John 查看您的产品,则为他创建用户并将其用户添加到您为进行只读访问而创建的组。您可以为该群组分配提供只读权限的策略或权限。如果您有其他用户需要只读访问权限,您可以将其添加到您创建的组,而不是为用户添加权限。如果 John 的角色发生变化而不再需要只读访问权限,您可以从组中删除 John。
*策略* 是定义应用于用户、组或角色的权限的文档。反过来,权限确定用户可以在 AWS中执行的操作。策略通常允许访问特定操作,可以选择授权允许对特定资源(如 Amazon EC2 实例、Amazon S3 存储桶等)执行操作。策略还可以显式拒绝访问。*权限* 是策略中允许或拒绝访问特定资源的语句。您可以通过以下方式声明任意权限:“A has permission to do B to C.”例如,Jane (A) 有权从 John 的 Amazon Simple Queue Service 队列 (C) 读取消息 (B)。无论 Jane 何时向 Amazon SQS 发送使用 John 的队列的请求,该服务均会检查她是否具有权限。它还进一步检查请求是否满足 John 在权限中指定的条件。
**重要**
您创建的所有用户使用其凭证进行身份验证。但是,他们使用相同的 AWS 账户。用户进行的任何更改可能影响整个账户。
AWS Marketplace 已定义权限以控制拥有这些权限的用户可以执行的操作 AWS Marketplace 管理门户。还有一些策略可以 AWS Marketplace 创建和管理这些策略,这些策略结合了多种权限。
以下资源提供有关开始使用以及使用 IAM 的更多信息。
+ [创建管理用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)
+ [IAM 安全最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console)
+ [将策略附加到 IAM 用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)
+ [IAM 身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)
+ [使用策略控制对 AWS 资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html)
下面主题提供一些用于创建用户和组以及以用户身份登录的高级指导原则。
**Topics**
+ [创建 用户](#creating-iam-users)
+ [创建或使用组](#creating-iam-groups)
+ [作为用户登录](#signing-in-using-iam-user)
## 创建 用户
要允许贵公司的人员登录 AWS Marketplace 管理门户,请为每个需要访问权限的人员创建一个用户。
**创建用户**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在导航窗格的**访问管理**下,选择**角色**,然后选择**创建角色**。
1. 在带编号的文本框中,为每个要创建的用户输入名称。
1. 清除**为每个用户生成访问密钥**旁的复选框,然后选择**创建**。
**为刚创建的每个用户分配密码**
1. 在用户列表中,选择新用户的名称。
1. 选择**安全凭证**选项卡,然后选择**管理密码**。
1. 为自动生成的密码或自定义密码选择一个选项。或者,若要求用户在下次登录时选择新密码,请选中**要求用户在下次登录时创建新密码**的复选框。选择**应用**。
1. 选择**下载凭证**,将登录凭证和账户特定的登录 URL 以逗号分隔值 (CSV) 文件保存到计算机上。然后选择**关闭**。
**注意**
要使用您刚刚创建的登录凭证登录,用户必须导航到您的账户专属登录 URL。此 URL 位于您刚刚下载的凭证文件中,也可在 IAM 控制台上找到。有关更多信息,请参阅《IAM 用户指南》**中的[IAM 用户如何登录 AWS 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_sign-in.html)。
**提示**
即使您是 AWS 账户 所有者,也可以为自己创建登录凭证。对于在 AWS Marketplace 中作为用户工作的所有人(甚至包括账户所有者),这是建议的最佳实践。有关如何为自己创建具有管理权限的用户的说明,请参阅《IAM 用户指南》中的[创建管理用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)**。
## 创建或使用组
创建用户后,请创建组,创建用于访问 AWS Marketplace 管理门户中页面的权限,将这些权限添加到组,然后将用户添加到组。
当您将权限分配到组时,就允许该组的任何成员执行特定操作。当您向组中添加新用户时,该用户自动获得分配给该组的权限。组可以拥有执行多个操作的权限。我们建议使用 [AWS Marketplace 托管策略](https://docs.aws.amazon.com/marketplace/latest/userguide/security-iam-awsmanpol.html),而不是创建您自己的策略。
**为组分配托管策略 AWS Marketplace**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**组**,然后选择要向其附加策略的组。
1. 在组的摘要页面上,在**权限**选项卡下,选择**附加策略**。
1. 在**附加策略**页上的**筛选条件:** 旁边,输入 **awsmarketplace**。
1. 选择要附加的一个或多个策略,然后选择**附加策略**。
**创建具有 AWS Marketplace 管理门户 权限的策略**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中选择**策略**,然后选择**创建策略**。
1. 在**策略生成器**旁,选中**选择**。
1. 在**编辑权限**页面上,执行以下操作:
1. 对于**效果**,选择**允许**。
1. 对于 **AWS 服务**,选择 **AWS Marketplace 管理门户**。
1. 对于**操作**,选择要允许的一个或多个权限。
1. 选择**添加声明**。
1. 选择**下一步**。
1. 在**查看策略**页面上,执行以下操作:
1. 对于**策略名称**,输入此策略的名称。请记录此策略名称,因为您在后面的步骤中需要使用它。
1. (可选)对于**描述**,输入此策略的描述。
1. 选择**创建策略**。
**创建具有适当权限的IAM 组,并将用户添加到该组中**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**组**,然后选择**创建新组**。
1. 对于**组名称:**,键入组的名称。然后选择**下一步**。
1. 在**附加策略**页面上,执行以下操作:
1. 对于**筛选条件:**,选择**客户管理型策略**。
1. 选中要附加到此组的策略名称旁边的复选框。这通常是您刚刚创建的策略。
1. 选择**下一步**。
1. 选择**创建组**。
1. 在**组**列表中找到您的新组,然后选中它旁边的复选框。选择**组操作**,然后单击**将用户添加到组**。
1. 选中要添加到组的每个用户旁边的复选框,然后选择**添加用户**。
## 作为用户登录
在 IAM 中创建用户后,用户可以使用自己的登录凭证登录。为此,他们需要使用与您的 AWS 账户相关联的唯一 URL。您可以获取登录 URL 并向用户分发。
**获取您账户的唯一登录网址**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**控制面板**。
1. 在内容窗格顶部附近,找到 **IAM 用户的登录链接:**并记下登录链接,其格式如下所示:
```
https://AWS_account_ID.signin.aws.amazon.com/console/
```
**注意**
如果您希望登录页面的 URL 包含您的公司名称(或其他友好标识符)而不是您的 AWS 账户 ID,则可以通过选择 “**自定义**” 为您的账户创建别名。有关更多信息,请参阅 *IAM 用户指南*中的[您的 AWS 账户 ID 及其别名](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_account-alias.html)。
1. 将此 URL 以及您为每个人创建的登录凭据分发给贵公司中可以与之合作的人。 AWS Marketplace指导他们在访问 AWS Marketplace之前使用您账户的唯一登录 URL 进行登录。
# AWS Marketplace 卖家的政策和权限
AWS Marketplace 提供了一组用于的托管策略 AWS Marketplace 管理门户。此外,您还可以使用个人权限来创建自己的 AWS Identity and Access Management (IAM) 策略。
您还可以提供对 **“设置”、“**联系我们**”、“****文件上传**” 和 “**见解**” 选项卡的精细访问权限。 AWS Marketplace 管理门户 精细权限可让您执行以下操作:
+ 向其他人员授予管理和使用您 AWS 账户 中的资源的权限,而无需共享您的密码或访问密钥。
+ 向多人授予对各种资源的精细权限。例如,您可以允许某些用户查看 AWS Marketplace 管理门户中的**设置**选项卡。对于其他用户,您可以允许在**设置**和**联系我们**选项卡中进行编辑。
**注意**
有关 AWS Data Exchange 中数据产品的权限和策略的更多信息,请参阅《AWS Data Exchange 用户指南》**中的 [AWS Data Exchange 中的身份和访问管理](https://docs.aws.amazon.com/data-exchange/latest/userguide/auth-access.html)。
有关买家政策和权限的更多信息,请参阅《 AWS Marketplace 买家*指南*》AWS Marketplace 中的[控制 AWS Marketplace 订阅访问](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-iam-users-groups-policies.html)权限。
## AWS Marketplace 卖家政策
您可以使用以下托管策略向用户提供对 AWS Marketplace 管理门户的受控访问权限:
**`AWSMarketplaceSellerFullAccess`**
允许完全访问所有页面 AWS Marketplace 管理门户 以及其他 AWS 服务,例如亚马逊系统映像 (AMI) 管理。
**`AWSMarketplaceSellerProductsFullAccess`**
允许完全访问 AWS Marketplace 管理门户中的[产品](https://aws.amazon.com/marketplace/management/products/)页面。
**`AWSMarketplaceSellerProductsReadOnly`**
允许只读访问 AWS Marketplace 管理门户中的[产品](https://aws.amazon.com/marketplace/management/products/)页面。
**重要**
AWS Marketplace 买家可以使用托管政策来管理他们购买的订阅。您使用的托管策略的名称以 AWS Marketplace 管理门户 开头`AWSMarketplaceSeller`。如果您搜索 IAM 中的策略,请确保搜索以 `AWSMarketplaceSeller` 为开头的策略名称。有关这些策略的更多信息,请参阅 *AWS 托管策略参考*。
AWS Marketplace 还为特定场景提供了专门的托管策略。有关 AWS Marketplace 卖家 AWS 托管政策的完整列表及其提供的权限说明,请参阅[AWS AWS Marketplace 卖家托管政策](security-iam-awsmanpol.md)。
## AWS Marketplace 卖家权限
您可以对 AWS Marketplace 管理门户使用 IAM 策略中的以下权限。
**`aws-marketplace-management:PutSellerVerificationDetails`**
允许访问以启动客户背景调查 (KYC) 流程。
**`aws-marketplace-management:GetSellerVerificationDetails`**
允许访问以在 AWS Marketplace 管理门户中查看 KYC 状态。
**`aws-marketplace-management:PutBankAccountVerificationDetails`**
允许访问以启动[银行账户验证](https://docs.aws.amazon.com/marketplace/latest/userguide/registration-process.html#completing-bank-account-verification)流程。
**`aws-marketplace-management:GetBankAccountVerificationDetails`**
允许访问以在 AWS Marketplace 管理门户中查看银行账户验证状态。
**`aws-marketplace-management:PutSecondaryUserVerificationDetails`**
允许在中添加次要用户 AWS Marketplace 管理门户。
**`aws-marketplace-management:GetSecondaryUserVerificationDetails`**
允许访问以在 AWS Marketplace 管理门户中查看次要用户状态。
**`aws-marketplace-management:GetAdditionalSellerNotificationRecipients`**
允许访问电子邮件联系人以获取 AWS Marketplace 通知。
**`aws-marketplace-management:PutAdditionalSellerNotificationRecipients`**
允许访问更新电子邮件联系人以获取 AWS Marketplace 通知。
**`tax:PutTaxInterview`**
允许访问以在 AWS Marketplace 管理门户中进行[税务](https://docs.aws.amazon.com/marketplace/latest/userguide/registration-process.html#tax-info-for-sellers)调查。
**`tax:GetTaxInterview`**
允许访问以在 AWS Marketplace 管理门户中查看税务调查状态。
**`tax:GetTaxInfoReportingDocument`**
允许 AWS Marketplace 卖家从税务控制面板查看和下载税务文件(例如 1099-K 表格)
**`payments:CreatePaymentInstrument`**
允许向添加银行账户的权限 AWS Marketplace 管理门户。
**`payments:GetPaymentInstrument`**
允许访问查看中的现有银行账户 AWS Marketplace 管理门户。
**`support:CreateCase`**
允许访问在中创建 AWS Marketplace 案例 AWS Marketplace 管理门户。
**`aws-marketplace-management:viewSupport`**
允许访问 AWS Marketplace 管理门户中的[客户支持资格](https://aws.amazon.com/marketplace/management/support/)页面。
**`aws-marketplace-management:viewReports`**
允许访问 AWS Marketplace 管理门户中的[报告](https://aws.amazon.com/marketplace/management/reports/)页面。
**`aws-marketplace:ListEntities`**
允许访问列出中的对象 AWS Marketplace 管理门户。需要访问 AWS Marketplace 管理门户中的[文件上传](https://aws.amazon.com/marketplace/management/product-load/)、[优惠](https://aws.amazon.com/marketplace/management/offers)和[合作伙伴](https://aws.amazon.com/marketplace/management/partners)页面。
要允许访问以查看**设置**选项卡,您可以使用此权限、`ListEntity` 权限和以下 Amazon 资源名称 (ARN):`arn:{partition}:{aws-marketplace}:{region}:{account-id}:AWSMarketplace/Seller/{entity-id}`。
**`aws-marketplace:DescribeEntity`**
允许访问中对象的详细信息 AWS Marketplace 管理门户。需要访问 AWS Marketplace 管理门户中的[文件上传](https://aws.amazon.com/marketplace/management/product-load/)、[优惠](https://aws.amazon.com/marketplace/management/offers)、[合作伙伴](https://aws.amazon.com/marketplace/management/partners)和[协议](https://aws.amazon.com/marketplace/management/agreements)页面。
要允许访问以查看**设置**选项卡,您可以使用此权限、`DescribeEntity` 权限和以下 ARN:`arn:{partition}:{aws-marketplace}:{region}:{account-id}:AWSMarketplace/Seller/*`。
**`aws-marketplace:StartChangeSet`**
允许在中创建产品变更的权限 AWS Marketplace 管理门户。需要在 AWS Marketplace 管理门户中的[文件上传](https://aws.amazon.com/marketplace/management/product-load/)、[优惠](https://aws.amazon.com/marketplace/management/offers)、[合作伙伴](https://aws.amazon.com/marketplace/management/partners)和[**协议**](private-offers-upgrades-and-renewals.md)页面上做出更改。
要允许访问注册为卖家 AWS Marketplace,您可以使用此权限、`catalog:ChangeType: "CreateSeller"`条件键和以下 ARN:。`arn:{partition}:{aws-marketplace}:{region}:{account-id}:AWSMarketplace/Seller/{entity-id}`
要允许访问更新中的卖家资料 AWS Marketplace,您可以使用此权限、`catalog:ChangeType: "UpdateInformation"`条件键和以下 ARN:。`arn:{partition}:{aws-marketplace}:{region}:{account-id}:AWSMarketplace/Seller/{entity-id}`
要允许访问以更新 Amazon Web Services 的支付首选项,您可以使用此权限、`catalog:ChangeType: "UpdateDisbursementPreferences"` 条件键和以下 ARN:`arn:{partition}:{aws-marketplace}:{region}:{account-id}:AWSMarketplace/Seller/{entity-id}`。
**`aws-marketplace:SearchAgreements`**
[**允许在 “协议” 页面上查看协议的高级列表,以及在 “合作伙伴” 页面上查看与渠道[**合作伙伴**](channel-partner-offers.md)之间的 ISVs 机会。**](private-offers-upgrades-and-renewals.md)
**`aws-marketplace:DescribeAgreement`**
允许在 “协议” 页面上查看高级**协议**详细信息,以及在 “合作伙伴” 页面上查看与渠道**合作伙伴**之间的 ISVs 机会。
**`aws-marketplace:GetAgreementTerms`**
允许在 “协议” 页面上查看所有**协议**条款的详细信息,以及在 “合作伙伴” 页面上查看与渠道**合作伙伴**之间的 ISVs 机会。
**`aws-marketplace:GetSellerDashboard`**
允许访问 AWS Marketplace 管理门户中的**见解**页面上的控制面板。
**`aws-marketplace:ListAssessments`**
允许访问以查看待卖家操作的评测列表。
**`aws-marketplace:DescribeAssessment`**
允许访问以查看待卖家操作的评测详细信息。
**注意**
要使用户能够访问[管理产品](https://aws.amazon.com/marketplace/management/products/)页面,您必须使用 `AWSMarketplaceSellerProductsFullAccess` 或 `AWSMarketplaceSellerProductsReadOnly` 托管权限。
您可以将上述权限组合到单个 IAM 策略中以授予您所需的权限。请见以下 示例。
## 示例 1:查看 KYC 状态的权限
要授予在中查看 KYC 状态的权限 AWS Marketplace 管理门户,请使用与以下示例类似的策略。
要授予在中查看 KYC 状态的权限 AWS Marketplace 管理门户,请使用与以下示例类似的策略。
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"aws-marketplace-management:GetSellerVerificationDetails"
],
"Resource": ["*"]
}]
}
```
------
## 示例 2:为专属优惠创建升级和续订的权限
要授予查看和使用**协议**页面为专属优惠创建升级和续订的权限,请使用与以下示例类似的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:SearchAgreements",
"aws-marketplace:DescribeAgreement",
"aws-marketplace:GetAgreementTerms",
"aws-marketplace:DescribeEntity",
"aws-marketplace:StartChangeSet"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws-marketplace:PartyType": "Proposer"
},
"ForAllValues:StringEquals": {
"aws-marketplace:AgreementType": [
"PurchaseAgreement"
]
}
}
}
]
}
```
------
## 示例 3:访问优惠页面和创建新的专属优惠的权限
要授予查看和使用**优惠**页面权限以查看现有专属优惠并创建专属优惠,请使用与以下示例类似的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:DescribeEntity",
"aws-marketplace:StartChangeSet"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 示例 4:访问设置页面的权限
要授予查看和使用**设置**页面的权限,请使用与以下示例类似的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:DescribeEntity",
"aws-marketplace:StartChangeSet"
],
"Effect": "Allow",
"Resource": "arn:aws:aws-marketplace:us-east-1:111122223333:AWSMarketplace/Seller/*"
}
]
}
```
------
## 示例 1:访问文件上传页面的权限
要授予查看和使用**文件上传**页面的权限,请使用与以下示例类似的策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:ListEntities",
"aws-marketplace:DescribeEntity",
"aws-marketplace:StartChangeSet"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 使用 IAM 组
或者,您可以创建单独的 IAM 组以授予对 AWS Marketplace 管理门户中每个页面的访问权限。一个用户可能属于多个组。因此,如果用户需要访问多个页面,则您可以将用户添加到所有适当的组。例如,创建一个 IAM 组,并授予该组访问**见解**的权限,然后创建另一个组,并授予该组访问**文件上传**页面的权限,依此类推。如果用户需要访问**见解**页面和**文件上传**页面的权限,则可以将用户添加到这两个组。
有关用户和角色的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
# AWS AWS Marketplace 卖家托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
本部分列出了用于管理卖家对 AWS Marketplace的访问的每项策略。有关买家政策的信息,请参阅《买家*指南》中的 AWS Marketplace AWS Marketplace 买*[家AWS 托管政策](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-security-iam-awsmanpol.html)。
**Topics**
+ [AWS 托管策略:AWSMarketplaceAmiIngestion](#security-iam-awsmanpol-awsmarketplaceamiingestion)
+ [AWS 托管策略:AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess)
+ [AWS 托管策略:AWSMarketplaceGetEntitlements](#security-iam-awsmanpol-awsmarketplacegetentitlements)
+ [AWS 托管策略:AWSMarketplaceMeteringFullAccess](#security-iam-awsmanpol-awsmarketplacemeteringfullaccess)
+ [AWS 托管策略:AWSMarketplaceMeteringRegisterUsage](#security-iam-awsmanpol-awsmarketplacemeteringregisterusage)
+ [AWS 托管策略:AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess)
+ [AWS 托管策略:AWSMarketplaceSellerProductsFullAccess](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess)
+ [AWS 托管策略:AWSMarketplaceSellerProductsReadOnly](#security-iam-awsmanpol-awsmarketplacesellerproductsreadonly)
+ [AWS 托管策略:AWSMarketplaceSellerOfferManagement](#security-iam-awsmanpol-awsmarketplaceselleroffermanagement)
+ [AWS 托管策略:AWSMarketplaceResaleAuthorizationServiceRolePolicy](#security-iam-awsmanpol-awsmarketplaceresaleauthorizationservicerolepolicy)
+ [AWS 托管策略:AWSVendorInsightsVendorFullAccess](#security-iam-awsmanpol-awsvendorinsightsvendorfullaccess)
+ [AWS 托管策略:AWSVendorInsightsVendorReadOnly](#security-iam-awsmanpol-awsvendorinsightsvendorreadonly)
+ [AWS Marketplace AWS 托管策略的更新](#security-iam-awsmanpol-updates)
## AWS 托管策略:AWSMarketplaceAmiIngestion
您可以使用此策略创建服务角色,然后使用该角色代表您执行操作。 AWS Marketplace 有关使用 `AWSMarketplaceAmiIngestion` 的更多信息,请参阅[授予对您的 AMI 的 AWS Marketplace 访问权限](single-ami-marketplace-ami-access.md)。
此政策授予贡献者权限, AWS Marketplace 允许他们复制您的 Amazon 系统映像 (AMIs) 以便在上架这些映像 AWS Marketplace。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceAmiIngestion.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceAmiIngestion.html)**。
## AWS 托管策略:AWSMarketplaceFullAccess
您可以将 `AWSMarketplaceFullAccess` 策略附加到 IAM 身份。
此政策授予管理权限,允许以买家身份完全访问 AWS Marketplace 和相关服务。这些权限包括以下能力:
+ 订阅和取消订阅 AWS Marketplace 软件。
+ 从中管理 AWS Marketplace 软件实例 AWS Marketplace。
+ 在您的账户中创建和管理 Private Marketplace。
+ 提供对亚马逊 EC2 和亚马逊 EC2 Systems Manager 的访问权限。 CloudFormation
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceFullAccess.html)**。
## AWS 托管策略:AWSMarketplaceGetEntitlements
您可以将 `AWSMarketplaceGetEntitlements` 策略附加到 IAM 身份。
此政策授予只读权限,允许软件即服务 (SaaS) 产品销售商检查客户是否已订阅其 AWS Marketplace SaaS 产品。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceGetEntitlements.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceGetEntitlements.html)**。
## AWS 托管策略:AWSMarketplaceMeteringFullAccess
您可以将 `AWSMarketplaceMeteringFullAccess` 策略附加到 IAM 身份。
此策略向贡献者授予权限,允许他们报告与 AWS Marketplace上具有灵活消费定价的 AMI 和容器产品相对应的计量用量。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceMeteringFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceMeteringFullAccess.html)**。
## AWS 托管策略:AWSMarketplaceMeteringRegisterUsage
您可以将 `AWSMarketplaceMeteringRegisterUsage` 策略附加到 IAM 身份。
此政策向贡献者授予权限,允许他们报告与按小时定价的容器产品相对应的计量使用量。 AWS Marketplace
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceMeteringRegisterUsage.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceMeteringRegisterUsage.html)**。
## AWS 托管策略:AWSMarketplaceSellerFullAccess
您可以将 `AWSMarketplaceSellerFullAccess` 策略附加到 IAM 身份。
该政策授予管理权限,允许他们完全访问卖家在 AWS Marketplace基于 AMI 的产品中使用的 Amazon EC2 AMI 的所有操作,包括 AWS Marketplace 管理门户和管理这些操作。
**权限详细信息**
该策略包含以下权限:
+ `aws-marketplace`— 允许委托人管理变更集、实体、协议和卖家控制面板。
+ `aws-marketplace`— 允许委托人搜索和查看以用户为卖方的购买协议及其条款。
+ `aws-marketplace`— 允许委托人发送、检索、列出和取消购买协议的协议付款请求。
+ `aws-marketplace`— 允许委托人列出发票明细项目、管理账单调整请求以及处理采购协议的协议取消请求。
+ `aws-marketplace`— 允许委托人管理资源策略和标记资源。
+ `aws-marketplace-management`— 允许委托人上传文件、查看报告和支持信息。
+ `ec2`— 允许委托人描述和修改 AMI 映像和快照。
+ `iam`— 允许委托人检索角色信息并将角色传递给资产市场服务。
+ `iam`— 允许委托人创建与服务相关的角色以进行转售授权。
+ `vendor-insights`— 允许委托人检索和列出数据源、安全配置文件和快照。
+ `payments`— 允许委托人检索和创建支付工具。
+ `tax`— 允许委托人管理税务调查、登记和检索税务文件。
+ `support`— 允许委托人创建支持案例。
+ `q`— 允许校长使用 Amazon Q 合作伙伴助手进行对话和请求。
+ `partnercentral`— 允许委托人启动和检索卖家验证状态。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerFullAccess.html)**。
## AWS 托管策略:AWSMarketplaceSellerProductsFullAccess
您可以将 `AWSMarketplaceSellerProductsFullAccess` 策略附加到 IAM 身份。
该政策向贡献者授予权限,允许他们完全访问管理产品 AWS Marketplace 管理门户、管理基于 AMI 的产品中使用的 Amazon EC2 AMI。
**权限详细信息**
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerProductsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerProductsFullAccess.html)**。
## AWS 托管策略:AWSMarketplaceSellerProductsReadOnly
您可以将 `AWSMarketplaceSellerProductsReadOnly` 策略附加到 IAM 身份。
此策略授予只读权限,允许查看 AWS Marketplace 管理门户上的产品和用在基于 AMI 的产品中的 Amazon EC2 AMI。
**权限详细信息**
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerProductsReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerProductsReadOnly.html)**。
## AWS 托管策略:AWSMarketplaceSellerOfferManagement
您可以将 `AWSMarketplaceSellerOfferManagement` 策略附加到 IAM 身份。
该政策授予卖家管理报价和查看购买协议的权限。卖家可以创建和修改报价、跟踪变更集以及监控协议生命周期事件,包括发票明细项目、账单调整和取消请求。
**权限详细信息**
该策略包含以下权限:
+ `aws-marketplace`— 允许委托人查看和跟踪提交到 AWS Marketplace的更改集的状态。
+ `aws-marketplace`— 允许委托人启动对现有优惠的更改和更改套装,或者为产品创建新优惠。
+ `aws-marketplace`— 允许委托人列出和检索有关商城实体的详细信息,包括报价、产品和转售授权。
+ `aws-marketplace`— 允许委托人搜索和查看以用户为卖方(提案人)的购买协议及其条款。
+ `aws-marketplace`— 允许委托人跟踪发票明细项目、账单调整和取消购买协议的请求。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerOfferManagement.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceSellerOfferManagement.html)**。
## AWS 托管策略:AWSMarketplaceResaleAuthorizationServiceRolePolicy
此政策附加到服务相关角色,该角色 AWS Marketplace 允许您代表您执行转售授权操作。有关使用此服务相关角色的更多信息,请参阅[使用服务相关角色进行转售授权 AWS Marketplace](using-roles-for-resale-authorization.md)。
此政策授予 AWS Marketplace 允许制造商 (ISVs) 和渠道合作伙伴使用 AWS Resource Access Manager (AWS RAM) 共享 ResaleAuthorization 资源的权限。
该政策包括 AWS Marketplace 操作权限和 AWS Resource Access Manager (RAM) 操作,以促进不同的 AWS 账户和目录之间的 ResaleAuthorization 资源共享和管理。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceResaleAuthorizationServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceResaleAuthorizationServiceRolePolicy.html)**。
## AWS 托管策略:AWSVendorInsightsVendorFullAccess
您可以将 `AWSVendorInsightsVendorFullAccess` 策略附加到 IAM 身份。
此政策授予在 AWS Marketplace 供应商洞察上创建和管理所有资源的完全访问权限。就本指南而言,在 AWS Marketplace 供应商详情中,评测者等同于买家,而供应商则等同于卖家。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsVendorFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsVendorFullAccess.html)**。
## AWS 托管策略:AWSVendorInsightsVendorReadOnly
您可以将 `AWSVendorInsightsVendorReadOnly` 策略附加到 IAM 身份。
此政策授予查看 AWS Marketplace 供应商洞察资料和相关资源的只读访问权限。就本指南而言,在 V AWS Marketplace endor Insights 中,评估员等于买方,供应商等于卖方。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsVendorReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVendorInsightsVendorReadOnly.html)**。
## AWS Marketplace AWS 托管策略的更新
查看 AWS Marketplace 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 AWS Marketplace [文档历史记录](document-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess):对现有策略的更新 | AWS Marketplace 添加了 8 个用于管理协议取消和账单调整的新操作:`aws-marketplace:ListAgreementInvoiceLineItems``aws-marketplace:ListBillingAdjustmentRequests`、`aws-marketplace:GetBillingAdjustmentRequest`、、`aws-marketplace:BatchCreateBillingAdjustmentRequest`、`aws-marketplace:ListAgreementCancellationRequests`、`aws-marketplace:GetAgreementCancellationRequest``aws-marketplace:SendAgreementCancellationRequest`、和`aws-marketplace:CancelAgreementCancellationRequest`。 | 2026年3月31日 |
| [AWSMarketplaceSellerOfferManagement](#security-iam-awsmanpol-awsmarketplaceselleroffermanagement):对现有策略的更新 | AWS Marketplace 添加了 5 个新的只读操作,用于跟踪发票明细项目、账单调整和采购协议的取消请求:`aws-marketplace:ListAgreementInvoiceLineItems``aws-marketplace:ListBillingAdjustmentRequests``aws-marketplace:GetBillingAdjustmentRequest`、、`aws-marketplace:ListAgreementCancellationRequests`、和`aws-marketplace:GetAgreementCancellationRequest`。 | 2026年3月31日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess):对现有策略的更新 | AWS Marketplace 为卖家身份验证添加了两个新的合作伙伴平台权限:`partnercentral:StartVerification`和`partnercentral:GetVerification`。 | 2026 年 2 月 27 日 |
| [AWSMarketplaceSellerProductsFullAccess](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess):对现有策略的更新 | AWS Marketplace 更新了`AWSMarketplaceSellerProductsFullAccess`政策,以支持所有 AWSMarketplace 目录、将文件放入 S3 以及访问旧版合作伙伴中心。 | 2025 年 11 月 30 日 |
| [AWSMarketplaceResaleAuthorizationServiceRolePolicy](#security-iam-awsmanpol-awsmarketplaceresaleauthorizationservicerolepolicy) - 更新的策略 | AWS Marketplace 更新了政策,以支持多目录功能并允许对 ResaleAuthorization 实体进行适当的生命周期管理。具体的更新包括: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/userguide/security-iam-awsmanpol.html) | 2025 年 7 月 24 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) – 更新的策略 | AWS Marketplace 为补充纳税资料功能添加了四个新`SellerSettings`权限:`ListSupplementalTaxRegistrations`、、`PutSupplementalTaxRegistration``DeleteSupplementalTaxRegistration`、`GetTaxRegistration`。 | 2024 年 12 月 20 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) – 更新的策略 [AWSMarketplaceSellerProductsFullAccess](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess) – 更新的策略 [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) – 更新的策略 [AWSMarketplaceSellerProductsReadOnly](#security-iam-awsmanpol-awsmarketplacesellerproductsreadonly) – 更新的策略 | AWS Marketplace 已删除`ListTasks`、`DescribeTask``UpdateTasks`、和`CompleteTasks`权限。 | 2024 年 12 月 10 日 |
| [AWSMarketplaceSellerOfferManagement](#security-iam-awsmanpol-awsmarketplaceselleroffermanagement) – 添加了新策略 | AWS Marketplace 添加了新政策:AWSMarketplaceSellerOfferManagement | 2024 年 11 月 18 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) – 更新的策略 | AWS Marketplace 添加了`UploadFiles`权限。该变更使卖家能够在 AWS Marketplace 管理门户中使用已弃用的页面。 | 2024 年 11 月 6 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) – 更新的策略 | AWS Marketplace 添加了`ListAssessments`和`DescribeAssessments`权限。这些更改 SSLv2 使用户能够访问评估数据。 | 2024 年 10 月 22 日 |
| [AWSMarketplaceSellerProductsFullAccess – 更新的策略](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess) | AWS Marketplace 添加了`ListAssessments`和`DescribeAssessments`权限。这些更改 SSLv2 使用户能够访问评估数据。 | 2024 年 10 月 22 日 |
| [AWSMarketplaceSellerProductsReadOnly](#security-iam-awsmanpol-awsmarketplacesellerproductsreadonly) – 更新的策略 | AWS Marketplace 添加了`ListAssessments`和`DescribeAssessments`权限。这些更改 SSLv2 使用户能够访问评估数据。 | 2024 年 10 月 22 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) - 更新的策略 | 更新了 `AWSMarketplaceSellerFullAccess` 文档,以反映已删除以下操作:`aws-marketplace-management:viewMarketing`、`aws-marketplace-management:viewSettings` 和 `aws-marketplace-management:uploadFiles`。此更新还包括删除了*使用精细权限*部分。 | 2024 年 6 月 4 日 |
| [AWSMarketplaceGetEntitlements](#security-iam-awsmanpol-awsmarketplacegetentitlements) - 更新的策略 | AWS Marketplace 已更新AWSMarketplaceGetEntitlementssid为在政策声明中添加。 | 2024 年 3 月 22 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) - 更新的策略 | AWS Marketplace 更新AWSMarketplaceSellerFullAccess为添加了创建服务相关角色的权限。 | 2024 年 3 月 15 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) - 更新的策略 | AWS Marketplace 更新AWSMarketplaceSellerFullAccess为添加了访问税务信息的权限。 | 2024 年 2 月 8 日 |
| [AWSVendorInsightsVendorFullAccess](https://docs.aws.amazon.com/marketplace/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsvendorinsightsvendorfullaccess):更新策略 | AWS Marketplace 已更新AWSVendorInsightsVendorFullAccess以添加更新数据源的权限。 | 2023 年 10 月 18 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) - 更新的策略 | AWS Marketplace 更新AWSMarketplaceSellerFullAccess为添加共享实体的权限。 | 2023 年 6 月 1 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) - 更新的策略 | AWS Marketplace 已更新AWSMarketplaceSellerFullAccess,添加了与账户验证、银行账户验证、案例管理和卖家通知详情相关的权限。 | 2023 年 6 月 1 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) - 更新的策略 | AWS Marketplace 更新AWSMarketplaceSellerFullAccess以添加访问卖家控制面板的权限。 | 2022 年 12 月 23 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess)、[AWSMarketplaceSellerProductsFullAccess](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess)、[AWSMarketplaceSellerProductsReadOnly](#security-iam-awsmanpol-awsmarketplacesellerproductsreadonly) – 现有策略更新 | AWS Marketplace 更新了新的基于标签的授权功能的策略。 | 2022 年 12 月 9 日 |
| AWS Marketplace 已更新 [AWSVendorInsightsVendorFullAccess](#security-iam-awsmanpol-awsvendorinsightsvendorfullaccess) | AWS Marketplace 更新AWSMarketplaceSellerProductsFullAccess以添加协议搜索、更新配置文件快照、供应商标记,并允许对 AWS Artifact 第三方报告进行只读访问(预览)。 | 2022 年 11 月 30 日 |
| AWS Marketplace 已更新 [AWSVendorInsightsVendorReadOnly](#security-iam-awsmanpol-awsvendorinsightsvendorreadonly) | AWS Marketplace 更新AWSVendorInsightsVendorReadOnly为添加列出标签的权限并允许对 AWS Artifact 第三方报告进行只读访问(预览)。 | 2022 年 11 月 30 日 |
| [AWSVendorInsightsVendorFullAccess](#security-iam-awsmanpol-awsvendorinsightsvendorfullaccess) 和 [AWSVendorInsightsVendorReadOnly](#security-iam-awsmanpol-awsvendorinsightsvendorreadonly) – 添加了新策略 | AWS Marketplace 为新功能 “ AWS Marketplace 供应商见解” 添加了政策:AWSMarketplaceSellerProductsFullAccess和AWSVendorInsightsVendorReadOnly。 | 2022 年 7 月 26 日 |
| [AWSMarketplaceSellerProductsFullAccess](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess) 和 [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) – 更新的策略 | AWS Marketplace 更新了新功能 “ AWS Marketplace 供应商见解” 的政策:AWSMarketplaceSellerProductsFullAccess和AWSMarketplaceSellerFullAccess。 | 2022 年 7 月 26 日 |
| [AWSMarketplaceSellerFullAccess](#security-iam-awsmanpol-awsmarketplacesellerfullaccess) 和 [AWSMarketplaceSellerProductsFullAccess](#security-iam-awsmanpol-awsmarketplacesellerproductsfullaccess) – 现有策略更新 | AWS Marketplace 更新了政策,使iam:PassedToService条件仅适用于iam:PassRole。 | 2021 年 11 月 22 日 |
| [AWSMarketplaceFullAccess](#security-iam-awsmanpol-awsmarketplacefullaccess) – 更新现有策略 | AWS Marketplace 从`AWSMarketplaceFullAccess`策略中删除了重复的`ec2:DescribeAccountAttributes`权限。 | 2021 年 7 月 20 日 |
| AWS Marketplace 开始跟踪更改 | AWS Marketplace 开始跟踪其 AWS 托管策略的更改。 | 2021 年 4 月 20 日 |
# AWS Marketplace 商务分析服务账号权限
使用以下 IAM 权限策略注册 AWS Marketplace 商务分析服务。
有关如何注册的说明,请按照[载入指南](https://docs.aws.amazon.com/marketplace/latest/userguide/commerce-analytics-service.html#on-boarding-guide)进行操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"aws-marketplace-management:viewReports"
],
"Resource": "*"
}
]
}
```
------
使用以下 IAM 权限策略允许用户向 AWS Marketplace Commerce Analytics Service 提出请求。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "marketplacecommerceanalytics:GenerateDataSet",
"Resource": "*"
}
]
}
```
------
有关此特征的更多信息,请参阅 [使用 AWS Marketplace 商务分析服务访问产品和客户数据](commerce-analytics-service.md)。
# Amazon SQS 权限
**重要**
S AWS Marketplace aaS 产品的 SNS 通知已被亚马逊 EventBridge 通知所取代。如果您已将现有的 SaaS 产品与 SNS 集成,它们将继续运行。新上架商品最终将过渡到使用Amazon EventBridge 而不是SNS。有关更多信息,请参阅 [通过亚马逊管理 SaaS 订阅事件 EventBridge](saas-eventbridge-integration.md)。
作为 SaaS 产品发布流程的一部分, AWS Marketplace 为您提供一个 Amazon SNS 主题,当客户的订阅或授权状态发生变化时,您可以使用该主题接收通知。您可以为该主题配置一个或多个 Amazon SQS 队列,以便队列可以对通知执行操作。例如,如果客户为其对 SaaS 产品的订阅添加了更多存储空间,则 Amazon SNS 主题可以向 Amazon SQS 队列发送消息,该队列启动流程以自动增加该客户可用的存储容量。
当您为 Amazon Simple Queue Service (Amazon SQS) 队列订阅所提供的 Amazon SNS 主题时,系统将自动添加权限,以允许该主题向队列发布消息。但是,您仍然需要一个 IAM 策略来授予 AWS Marketplace 计量和授权服务 API 用户访问队列的权限。如果服务使用相同的凭证运行,则上述这种情况可应用于同一用户。使用以下内容创建策略,并将其附加到您的用户或角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sqs:ReceiveMessage",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
],
"Effect": "Allow",
"Resource": "arn:aws:sqs:us-east-1:111122223333:YourQueueName"
}
]
}
```
------
**注意**
`Resource` 字段是您的 Amazon SQS 队列的 Amazon 资源名称 (ARN)。
有关您的 SaaS 产品的消息通知和排队的更多信息,请参阅[为 SQS 队列订阅 SNS 主题](saas-notification.md#subscribing-an-sqs-queue-to-the-sns-topic)和[访问 AWS Marketplace 计量和授权服务 APIs](saas-integration-metering-and-entitlement-apis.md)。
# AWS Marketplace 计量和授权 API 权限
软件即服务 (SaaS) 产品、Amazon 系统映像 (AMI) 产品和容器产品可以使用 AWS Marketplace Metering Service 和 AWS Marketplace Entitlement Service APIs。每种类型都需要不同的 AWS Identity and Access Management (IAM) 权限。对于您的一个或多个产品,您可以按所有使用量进行计费,并 AWS 根据您提供的计量记录向客户计费。要启用提供 AWS Marketplace 计量记录所需的集成,集成使用的服务账户需要受限的 IAM 策略才能启用访问权限。将为其发送计量信息的产品类型的策略附加到用于集成的用户或角色。
**Topics**
+ [SaaS 产品的 IAM 策略](#iam-user-policy-for-saas-products)
+ [AMI 产品的 IAM 策略](#iam-user-policy-for-ami-products)
+ [容器产品的 IAM 策略](#iam-user-policy-for-container-products)
## SaaS 产品的 IAM 策略
在以下策略中,所有 SaaS 集成都需要第一个权限 `aws-marketplace:ResolveCustomer`。 AWS Marketplace Metering Service API 需要第二个权限 `aws-marketplace:BatchMeterUsage`。 AWS Marketplace Entitlement Service API 需要第三个权限 `aws-marketplace:GetEntitlements`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:ResolveCustomer",
"aws-marketplace:BatchMeterUsage",
"aws-marketplace:GetEntitlements"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
有关 SaaS 产品的更多信息,请参阅[基于 SaaS 的产品 AWS Marketplace](saas-products.md)。
## AMI 产品的 IAM 策略
请对 AMI 产品使用以下 IAM 策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:MeterUsage"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
有关 AMI 产品的更多信息,请参阅[AWS Marketplace 中基于 AMI 的产品](ami-products.md)。
## 容器产品的 IAM 策略
请对容器产品使用以下 IAM 策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:RegisterUsage"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
有关容器产品的更多信息,请参阅[AWS Marketplace 上基于容器的产品](container-based-products.md)。
有关添加用户的更多信息,请参阅《IAM 用户指南》**中的[在您的 AWS 账户中创建用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html)。有关创建和分配策略的更多信息,请参阅[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。
此策略向您关联策略 APIs 的 IAM 角色或用户授予访问权限。有关如何为这些 API 调用启用其他账户担任角色的更多信息,请参阅 AWS Partner Network (APN) 博客 AWS 账户上的 “[如何跨多个账户最好地架构 AWS Marketplace SaaS 订阅](https://aws.amazon.com/blogs/apn/how-to-best-architect-your-aws-marketplace-saas-subscription-across-multiple-aws-accounts/)”。
# 使用服务相关角色进行转售授权 AWS Marketplace
AWS Marketplace 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Marketplace服务相关角色由服务预定义 AWS Marketplace ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置变得 AWS Marketplace 更加容易,因为您不必手动添加必要的权限。 AWS Marketplace 定义其服务相关角色的权限,除非另有定义,否则 AWS Marketplace 只能担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 AWS Marketplace 资源,因为您不会无意中删除访问资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
**Topics**
+ [的服务相关角色权限 AWS Marketplace](#slr-permissions)
+ [为创建服务相关角色 AWS Marketplace](#create-slr)
+ [编辑的服务相关角色 AWS Marketplace](#edit-slr)
+ [删除的服务相关角色 AWS Marketplace](#delete-slr)
+ [AWS Marketplace 服务相关角色支持的区域](#slr-regions)
## 的服务相关角色权限 AWS Marketplace
AWS Marketplace 使用名为的服务相关角色 **AWSServiceRoleForMarketplaceResaleAuthorization**,该角色允许访问转售授权所使用或管理 AWS Marketplace 的 AWS 服务和资源。
AWSServiceRoleForMarketplaceResaleAuthorization 服务相关角色信任以下服务来代入该角色:
+ `resale-authorization.marketplace.amazonaws.com`
名为的角色权限策略**AWSMarketplaceResaleAuthorizationServiceRolePolicy** AWS Marketplace 允许使用 AWS Resource Access Manager () 在制造商 (ISVs) 和渠道合作伙伴之间共享 ResaleAuthorization 资源。AWS RAM
有关此策略中权限的详细信息,请参阅 *AWS 托管策略参考[AWSMarketplaceResaleAuthorizationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSMarketplaceResaleAuthorizationServiceRolePolicy.html)*中的。
有关策略更新的信息,请参阅本指南中的 [AWS 托管式策略更新](https://docs.aws.amazon.com/marketplace/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates)。
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为创建服务相关角色 AWS Marketplace
您无需手动创建服务关联角色。当您在中选择服务相关角色时 AWS Marketplace 管理门户,会 AWS Marketplace 为您创建服务相关角色。
**创建服务相关角色**
1. 在 [AWS Marketplace 管理门户](https://aws.amazon.com/marketplace/management/) 中,登录管理账户并选择**设置**。
1. 在**设置**部分中,选择**服务相关角色**选项卡。
1. 在**服务相关角色**页面上,选择**转售授权的服务相关角色**或**转售授权集成**,然后选择**创建服务相关角色**或**配置集成**。
1. 在**转售授权的服务相关角色**或**创建转售授权集成**页面上,查看信息,然后选择**创建服务相关角色**或**创建集成**进行确认。
**服务相关角色**页面上会显示一条消息,表示已成功创建转售授权服务相关角色。
如果您删除了服务相关角色,可以按照这些步骤重新创建它。
## 编辑的服务相关角色 AWS Marketplace
AWS Marketplace 不允许您编辑 AWSServiceRoleForMarketplaceResaleAuthorization 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 AWS Marketplace
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。
**注意**
如果独立软件供应商 (ISVs) 没有该角色,则 AWS Resource Access Manager 不会自动与目标渠道合作伙伴共享新的转售授权。如果渠道合作伙伴没有该角色,则 AWS Resource Access Manager 不会自动接受针对他们的转售授权。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForMarketplaceResaleAuthorization服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS Marketplace 服务相关角色支持的区域
AWS Marketplace 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/aws-marketplace.html#aws-marketplace_region)。
# 使用记录 AWS Marketplace API 调用 AWS CloudTrail
AWS Marketplace 与 AWS CloudTrail一项服务集成,该服务提供用户、角色或角色所执行操作 AWS 服务 的记录 AWS Marketplace。 CloudTrail 将发出的 API 调用捕获 AWS Marketplace 为事件。捕获的调用包括来自 AWS Marketplace 控制台的调用和对 AWS Marketplace API 操作的代码调用。
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当支持的事件活动发生在中时 AWS Marketplace,该活动会与其他 CloudTrail 事件一起记录在 AWS 服务 **事件历史**记录中。您可以在 账户中查看、搜索和下载最新事件。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根凭证还是 AWS Identity and Access Management 用户凭证发出的。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关不同 CloudTrail 日志条目的更多信息以及查看示例,请参阅 API *参考中的 AWS Marketplace AWS Marketplace API* [日志记录](https://docs.aws.amazon.com/marketplace/latest/APIReference/logging.html)。