先决条件 - AWS 合作伙伴中心
用户角色和权限知道要关联哪些账户授予 IAM 权限了解角色权限为 SSO 创建权限集

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件

以下主题列出了关联 AWS 合作伙伴中心和 AWS 账户所需的先决条件。我们建议按所列顺序关注主题。

注意

由于用户界面、功能和性能问题,账户关联不支持 Firefox Extended Support 版本 (Firefox ESR)。我们建议使用普通版本的 Firefox 或 Chrome 浏览器。

用户角色和权限

要将您的 AWS 账户与 AWS 合作伙伴中心账户关联,您必须有担任以下角色的人员:

  • 具有联盟负责人或云管理员角色的 AWS 合作伙伴中心用户。有关为用户分配角色的更多信息,请参阅本指南的管理用户和角色分配后面部分。

  • 组织中负责您关联 AWS 账户的 IT 管理员。管理员创建自定义权限策略并将其分配给 IAM 用户和角色。有关自定义策略的信息,请参阅本指南的授予 IAM 权限后面部分。

在启动账户关联之前,AWS Partner Central 联盟负责人或云管理员以及组织中的 IT 管理员必须决定关联哪些账户。请使用以下标准:

  • AWS 建议关联一个专为 AWS Partner Network (APN) 互动而设的 AWS 账户。如果您有多个 AWS 账户,我们建议您关联一个符合以下条件的账户:

    • 您用于登录 AWS 合作伙伴中心

    • 代表您的全球业务

    • 充当管理任务的主帐户

  • 如果您继续销售 AWS Marketplace,则可以选择关联到 AWS Marketplace 卖家账户。如果您拥有多个 AWS Marketplace 账户,请选择您的主账户,例如交易最多的账户。

  • 中国地区的合作伙伴应创建并链接到 AWS 全球账户。

注意

如需帮助识别正确的账户,请提交支持案例。为此,请导航至 Partner S AWS upport,然后选择 “打开新案例”。

授予 IAM 权限

本节中列出的 IAM 政策授予 AWS 合作伙伴中心用户对关联 AWS 账户的有限访问权限。访问权限级别取决于分配给用户的 IAM 角色。有关权限级别的更多信息,请参阅本主题了解角色权限后面的内容。

要创建策略,您必须是负责 AWS 环境的 IT 管理员。完成后,您必须将策略分配给 IAM 用户或角色。

本节中的步骤说明了如何使用 IAM 控制台创建策略。

注意

如果您是联盟负责人或云管理员,并且已经拥有具有 AWS 管理员权限的 IAM 用户或角色,请跳至关联 AWS 合作伙伴中心和 AWS 账户

有关 AWS 合作伙伴中心角色的更多信息,请参阅本指南AWS 合作伙伴中心角色后面的内容。

创建策略

  1. 登录 IAM 控制台

  2. 访问管理下,选择策略

  3. 选择创建策略,选择 JSON,然后添加以下策略:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

  4. 选择下一步

  5. 在 “策略详细信息” 下的 “策略名称” 框中,输入策略的名称和可选描述。

  6. 查看策略权限,根据需要添加标签,然后选择创建策略

  7. 将您的 IAM 用户或角色附加到策略。有关附加的信息,请参阅 IAM 用户指南中的添加 IAM 身份权限(控制台)

了解角色权限

IT 管理员完成上一节中的步骤后,AWS Partner Central 中的联盟负责人和其他人可以分配安全策略并映射用户角色。下表列出并描述了账户关联期间创建的标准角色以及每个角色可用的任务。

标准 IAM 角色 AWS 使用的合作伙伴中心托管策略 能做到 做不到
云端管理员

  • 将 IAM 角色映射并分配给 AWS 合作伙伴中心用户

  • 完成与联盟和 ACE 队伍相同的任务
联盟小组

  • 对所有卖家操作的完全访问权限 AWS Marketplace,包括 AWS Marketplace 管理门户。您还可以管理基于 EC2 AMI 的产品中使用的亚马逊 AMI。

  • 将 AWS 客户参与机会与 AWS Marketplace 私人优惠联系起来。

  • 将 APN 解决方案与 AWS Marketplace 产品列表相关联。

  • 访问合作伙伴分析控制面板。

 将 IAM 角色映射或分配给 AWS 合作伙伴中心用户。只有联盟负责人和云管理员才能映射或分配角色。
ACE 战队

  • 创建 AWS Marketplace 私人

  • 将 AWS 客户参与机会与 AWS Marketplace 私人优惠联系起来。

  • 将 IAM 角色映射或分配给 AWS 合作伙伴中心用户。只有联盟负责人和云管理员才能映射或分配角色。

  • 使用所有 AWS Marketplace 工具和功能。

  • 使用合作伙伴分析控制面板

为 SSO 创建权限集

以下步骤说明如何使用 IAM 身份中心创建允许单点登录访问 AWS 合作伙伴中心的权限集。

有关权限集的更多信息,请参阅 AWS IAM Identity Center 用户指南中的创建权限集

  1. 登录到 IAM Identity Center 控制台

  2. 多帐户权限下,选择权限集

  3. 选择创建权限集

  4. “选择权限集类型” 页面的 “权限集类型” 下,选择 “自定义权限集”,然后选择 “下一步”。

  5. 执行以下操作:

    1. 在 “指定策略和权限边界” 页面上,选择要应用于权限集的 IAM 策略类型。

      默认情况下,您可以向权限集添加最多 10 个 AWS 托管策略和客户托管策略的任意组合。IAM 设置了这个配额。要提高该权限,请在 Service Quotas 控制台中请求增加您要向其分配权限集的每个 AWS 账户中附加到 IAM 角色的 IAM 配额托管策略

    2. 展开内联策略,添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员帐户中创建的 IAM 资源中。有关更多信息,请参阅内联策略

    3. AWS 合作伙伴中心复制并粘贴 JSON 政策以及 AWS 账户关联先决条件

  6. 指定权限集详细信息 页面中,请执行以下操作:

    1. 权限集名称 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 帐户,然后选择角色。

    2. (可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 AWS 访问门户中。

    3. (可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅为 AWS 账户设置会话持续时间

    4. (可选)指定中继状态的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅设置中继状态以快速访问 AWS 管理控制台

      注意

      中继状态 URL 必须位于 AWS 管理控制台中。例如:https://console.aws.amazon.com/ec2/

    5. 展开标签(可选),选择添加标签,然后为密钥值(可选)指定值。

      有关标签的信息,请参阅为 AWS IAM 身份中心资源添加标签

    6. 选择下一步

  7. 查看并创建页面上,查看您所做的选择,然后选择创建

    默认情况下,当您创建权限集时,不会配置该权限集(用于任何 AWS 账户)。要在账户中配置权限集,您必须为 AWS 账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 AWS IAM Identity Center 用户指南中的向 AWS 账户分配用户访问权限