先决条件 - AWS 合作伙伴中心
用户角色和权限选择正确的 AWS 账户授予 IAM 权限了解角色权限为单点登录创建权限集

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件

以下主题列出了关联 AWS 合作伙伴中心和 AWS 账户所需的先决条件。我们建议按所列顺序关注主题。

注意

由于用户界面、功能和性能问题,账户关联不支持 Firefox Extended Support 版本 (Firefox ESR)。我们建议使用普通版本的 Firefox 或 Chrome 浏览器。

用户角色和权限

要将您的 AWS 账户与 P AWS artner Central 账户关联,您需要担任以下角色的人员:

身份与访问管理 (IAM) 管理员

通过 IAM 管理用户权限。通常在 IT 安全、信息安全、专门的 IAM 团队或监管与合规组织中工作。负责实施 IAM 策略、配置 SSO 解决方案、处理合规性审查以及维护基于角色的访问控制结构。

AWS 合作伙伴中心联盟负责人或云管理员

贵公司的主要账户管理员。此人必须具有业务发展或业务领导职务以及接受 AWS 合作伙伴网络条款和条件的合法权限。联盟负责人可以委托账户关联到具有云管理员用户角色的合作伙伴中心用户。

使用下表中的信息来帮助决定应将哪个 AWS 账户与您的合作伙伴中心账户关联。

重要

选择 AWS 账户时,请考虑以下几点:

  • AWS 合作伙伴中心需要一个使用 IAM 策略来控制访问权限的 AWS 账户。

  • 关联 AWS 账户使用合作伙伴中心管理 APN 费用支付、解决方案和 APN 客户互动 (ACE) 机会跟踪。 APIs

  • AWS 合作伙伴网络功能 APIs 可通过关联 AWS 账户获得。

  • AWS ACE 机会、机会历史记录和多合作伙伴机会邀请等资源是在关联 AWS 账户中创建的,无法转移到其他 AWS 账户。

  • 您关联的 AWS 账户必须使用付费 AWS 账户套餐。注册 AWS 账户时,选择付费账户套餐。要将 AWS 账户升级到付费 AWS 账户套餐,请参阅AWS 账单用户指南中的选择 AWS 免费套餐计划

  • AWS 建议关联一个用于以下目的的 AWS 账户。

    • 管理账户,用于管理组织中所有账户的 AWS 账户信息和元数据。

    • 生产账户,用户和数据可以在其中与应用程序和服务进行交互。

    • 开发者账户或沙盒账户,开发者可以在其中编写代码。

    • 个人账户,个人可以在其中学习、实验和从事个人项目。

    • AWS Marketplace 买家账户,您从中 AWS Marketplace购买商品。

    将关联账户与您的 AWS 合作伙伴网络活动分开,可确保在不影响其他环境的情况下灵活配置特定于 AWS 合作伙伴中心。这样做还可以简化财务跟踪、税务报告和审计。

AWS 合作伙伴场景 示例 AWS 账户选项 注意事项

场景 1:您拥有由第三方管理的 AWS 账户,但未注册为 AWS Marketplace 卖家

AWS 与 AWS 分销商合作伙伴合作的合作伙伴

选项 1:创建一个 AWS 账户并链接到该账户。

选项 2:链接到现有 AWS 账户

选项 1:

  • 向该账户收取 APN 费用是否可以接受? 如果该账户位于 AWS 组织中,则 AWS 管理账户可以支付费用。

  • 这是您想要访问 AWS 合作伙伴网络功能的地方 APIs吗?

选项 2:

  • 与选项 1 相同的注意事项

  • 这是 AWS 管理、生产、开发者还是个人账户?

  • 您能否允许外部人员访问管理 AWS 合作伙伴中心互动的账户?

  • 此账户是否适合管理合作伙伴中心用户访问权限?

场景 2:您拥有 AWS 账户但未注册为 AWS Marketplace 卖家

AWS 不通过以下方式进行交易的合作伙伴 AWS Marketplace 或在不提供服务的国家/ AWS Marketplace 地区的合作伙伴

与场景 1 相同

与场景 1 相同

场景 3:您拥有自己的 AWS 账户并使用单个 Marketplace AWS Marketplace 卖家账户注册为卖家

AWS 在单一国家拥有合并产品清单或在全球开展业务的合作伙伴

选项 1:创建并链接到新 AWS 账户

选项 2:链接到现有 AWS 账户

选项 3:链接到 AWS Marketplace 卖家账户

选项 1:

  • 您需要访问需要关联的 Marketplace 卖家账户的 AWS Marketplace 功能吗?

  • 您是否计划加入 AWS ISV 加速计划? 参见计划要求

  • 您是否需要共享 Partn AWS er Central 和 Marketplace 资源,例如机会、优惠、解决方案和产品清单?

  • 将商品清单或交易最多的 AWS Marketplace 卖家账户指定为 Marketplace 主卖家账户会更好吗?

  • 向该账户收取 APN 费用是否可以接受?

选项 2:

  • 与选项 1 相同的注意事项

  • 这是 AWS 管理、生产、开发者还是个人账户?

  • 此账户是否适合管理合作伙伴中心用户访问权限?

选项 3:

  • 与选项 1 和 2 相同的注意事项

  • 您是否计划创建其他 AWS Marketplace 卖家账户? 如果是,可以将当前的 Marketplace 卖家账户指定为 Marketplace 主卖家账户吗?

场景 4:您拥有自己的 AWS 账户并注册为拥有多个 AWS Marketplace 卖家账户的卖家

AWS 在不同业务领域拥有多个产品清单或必须满足监管和合规要求的合作伙伴

与场景 3 相同

与场景 3 相同

授予 IAM 权限

本节中列出的 IAM 政策授予 AWS 合作伙伴中心用户对关联 AWS 账户的有限访问权限。访问权限级别取决于分配给用户的 IAM 角色。有关权限级别的更多信息,请参阅本主题了解角色权限后面的内容。

要创建策略,您必须是负责 AWS 环境的 IT 管理员。完成后,您必须将策略分配给 IAM 用户或角色。

本节中的步骤说明了如何使用 IAM 控制台创建策略。

注意

如果您是联盟负责人或云管理员,并且已经拥有具有 AWS 管理员权限的 IAM 用户或角色,请跳至关联 AWS 合作伙伴中心和 AWS 账户

有关 AWS 合作伙伴中心角色的更多信息,请参阅本指南AWS 合作伙伴中心角色后面的内容。

创建策略

  1. 登录 IAM 控制台

  2. 访问管理下,选择策略

  3. 选择创建策略,选择 JSON,然后添加以下策略:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

  4. 选择下一步

  5. 在 “策略详细信息” 下的 “策略名称” 框中,输入策略的名称和可选描述。

  6. 查看策略权限,根据需要添加标签,然后选择创建策略

  7. 将您的 IAM 用户或角色附加到策略。有关附加的信息,请参阅 IAM 用户指南中的添加 IAM 身份权限(控制台)

了解角色权限

IT 管理员完成上一节中的步骤后,AWS Partner Central 中的联盟负责人和其他人可以分配安全策略并映射用户角色。下表列出并描述了账户关联期间创建的标准角色以及每个角色可用的任务。

标准 IAM 角色 AWS 使用的合作伙伴中心托管策略 能做到 做不到
云端管理员

  • 将 IAM 角色映射并分配给 AWS 合作伙伴中心用户。

  • 完成与联盟和 ACE 队伍相同的任务。
联盟小组

  • 对所有卖家操作的完全访问权限 AWS Marketplace,包括 AWS Marketplace 管理门户。您还可以管理基于 EC2 AMI 的产品中使用的亚马逊 AMI。

  • 将 AWS 客户参与机会与 AWS Marketplace 私人优惠联系起来。

  • 将 APN 解决方案与 AWS Marketplace 产品列表关联。

  • 访问合作伙伴分析控制面板。

 将 IAM 角色映射或分配给 AWS 合作伙伴中心用户。只有联盟负责人和云管理员才能映射或分配角色。
ACE 战队

  • 创建 AWS Marketplace 私人优惠。

  • 将 AWS 客户参与机会与 AWS Marketplace 私人优惠联系起来。

  • 将 IAM 角色映射或分配给 AWS 合作伙伴中心用户。只有联盟负责人和云管理员才能映射或分配角色。

  • 使用所有 AWS Marketplace 工具和功能。

  • 使用合作伙伴分析控制面板。

为单点登录创建权限集

以下步骤说明如何使用 IAM 身份中心创建允许单点登录访问 AWS 合作伙伴中心的权限集。

有关权限集的更多信息,请参阅 AWS IAM Identity Center 用户指南中的创建权限集

  1. 登录到 IAM Identity Center 控制台

  2. 多帐户权限下,选择权限集

  3. 选择创建权限集

  4. “选择权限集类型” 页面的 “权限集类型” 下,选择 “自定义权限集”,然后选择 “下一步”。

  5. 执行以下操作:

    1. 在 “指定策略和权限边界” 页面上,选择要应用于权限集的 IAM 策略类型。

      默认情况下,您可以向权限集添加最多 10 个 AWS 托管策略和客户托管策略的任意组合。IAM 设置了这个配额。要提高该权限,请在 Service Quotas 控制台中请求增加您要向其分配权限集的每个 AWS 账户中附加到 IAM 角色的 IAM 配额托管策略

    2. 展开内联策略,添加自定义 JSON 格式的策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员帐户中创建的 IAM 资源中。有关更多信息,请参阅内联策略

    3. AWS 合作伙伴中心复制并粘贴 JSON 政策以及 AWS 账户关联先决条件

  6. 指定权限集详细信息 页面中,请执行以下操作:

    1. 权限集名称 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 帐户,然后选择角色。

    2. (可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 AWS 访问门户中。

    3. (可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅为 AWS 账户设置会话持续时间

    4. (可选)指定中继状态的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅设置中继状态以快速访问 AWS 管理控制台

      注意

      中继状态必须使用 AWS 管理控制台 URL。例如:https://console.aws.amazon.com/ec2/

    5. 展开标签(可选),选择添加标签,然后为密钥值(可选)指定值。

      有关标签的信息,请参阅标记 AWS IAM 身份中心资源

    6. 选择下一步

  7. 查看并创建页面上,查看您所做的选择,然后选择创建

    默认情况下,当您创建权限集时,不会配置该权限集(用于任何 AWS 账户)。要在账户中配置权限集,您必须为 AWS 账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 AWS IAM Identity Center 用户指南中的向 AWS 账户分配用户访问权限