本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用自定义策略映射用户
本节中的主题说明了如何将 AWS 合作伙伴中心用户映射到 AWS IAM 角色。Mapping 允许用户通过 AWS 合作伙伴中心和 AWS 进行单点登录访问以及其他功能,例如产品和优惠链接。
**Topics**
+ [角色映射先决条件](#role-mapping-prereqs)
+ [将 ACE 机会与 AWS Marketplace 私人优惠联系起来](#connect-ace-to-marketplace)
## 角色映射先决条件
在映射之前,必须完成以下先决条件:
+ 在 AWS 账户中创建 IAM 角色。有关更多信息,请参阅《*AWS Identity and Access Management 用户指南》*中的[使用自定义信任策略创建角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。
+ 要允许 AWS 合作伙伴中心映射 AWS IAM 角色,请向角色添加以下自定义信任策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "partnercentral-account-management.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
+ 对于具有 ACE 用户角色的 AWS 合作伙伴中心用户,请授予执行`ListEntities`和`SearchAgreements`操作的权限。有关更多信息,请参阅*AWS Marketplace 卖家指南*中的[控制 AWS Marketplace 管理门户网站的访问权限](https://docs.aws.amazon.com/marketplace/latest/userguide/marketplace-management-portal-user-access.html)。
+ [将您的 AWS 合作伙伴中心账户关联到 AWS Marketplace 账户](linking-apc-aws-marketplace.md)。
要将 IAM 角色映射到您的 AWS 合作伙伴中心用户,您必须创建具有您想要向用户提供的权限的 IAM 角色。对于云管理员用户,您只能映射在账户关联过程中在您的账户中创建的云管理员 IAM 角色。
您可以创建一个或多个 IAM 角色与您的 AWS 合作伙伴中心用户关联。角色名称必须以开头**PartnerCentralRoleFor**。除非名称以该文本开头,否则您无法选择角色。
您可以将自定义或托管策略附加到 IAM 角色。您可以将 AWS Marketplace 托管策略(例如附加`AWSMarketplaceSellerFullAccess`到 IAM 角色),并向您的 AWS 合作伙伴中心用户提供访问权限。有关创建角色的更多信息,请参阅 [IAM *用户指南中的创建 IAM* 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-console)。
## 将 ACE 机会与 AWS Marketplace 私人优惠联系起来
要让 ACE 用户能够将 AWS Marketplace 私密优惠附加到 ACE 机会,请将其映射到 AWS 合作伙伴中心中的 IA AWS M 角色。
### 先决条件
在将用户映射到 AWS Marketplace IAM 角色之前,请完成以下操作:
+ 当您将 AWS Marketplace 账户关联到 AWS 合作伙伴中心时,请至少提供分配给 ACE 用户的 IAM 角色`AWSMarketplaceSellerFullAccess`或(至少是`ListEntities`/`SearchAgreements`)。这是允许 ACE 用户向 ACE 机会添加 AWS Marketplace 私密报价所必需的。
+ (可选)要授予最低权限,请向您的 AWS 账户以及您为 ACE 经理和用户创建的 IAM 角色添加客户托管策略。以以下策略为例:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-marketplace:SearchAgreements",
"aws-marketplace:DescribeAgreement",
"aws-marketplace:GetAgreementTerms",
"aws-marketplace:ListEntities",
"aws-marketplace:DescribeEntity",
"aws-marketplace:StartChangeSet"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws-marketplace:PartyType": "Proposer"
},
"ForAllValues:StringEquals": {
"aws-marketplace:AgreementType": [
"PurchaseAgreement"
]
}
}
}
]
}
```
------
### 将用户映射到 AWS IAM 角色
使用本节中的步骤将 AWS 合作伙伴中心用户映射和取消映射到 AWS IAM 角色。
**将 AWS 合作伙伴中心用户映射到 AWS IAM 角色**
1. 以具有联盟负责人或云管理员角色的用户身份登录 [AWS 合作伙伴中心](https://partnercentral.awspartner.com/APNLogin)。
1. 在 AWS 合作伙伴中心主页的**账户关联**部分,选择**管理关联账户**。
1. 在 “**账户关联**” 页面的 “**非 Cloud 管理员用户**” 部分中,选择一个用户。
1. 选择 “**映射到 IAM 角色**”。
1. 从下拉列表中选择 IAM 角色。
1. 选择**地图角色**。
**将 AWS 合作伙伴中心用户从 IA AWS M 角色中取消映射。**
1. 以具有联盟负责人或云管理员角色的用户身份登录 [AWS 合作伙伴中心](https://partnercentral.awspartner.com/APNLogin)。
1. 在 AWS 合作伙伴中心主页的**账户关联**部分,选择**管理关联账户**。
1. 在 “**账户关联**” 页面的 “**非 Cloud 管理员用户**” 部分,选择要取消映射的用户。
1. 选择 “**取消映射角色**”。