使用者角色和許可選取正確的 AWS 帳戶授予 IAM 許可了解角色許可為單一登入建立許可集

先決條件

下列主題列出連結 AWS Partner Central 和 AWS 帳戶所需的先決條件。我們建議依照列出的順序遵循主題。

注意

由於使用者介面、功能和效能問題，帳戶連結不支援 Firefox 延伸支援版本 (Firefox ESR)。建議使用一般版本的 Firefox 或其中一個 chrome 瀏覽器。

主題

使用者角色和許可
選取正確的 AWS 帳戶
授予 IAM 許可
了解角色許可
為單一登入建立許可集

使用者角色和許可

若要將 AWS 您的帳戶與 AWS Partner Central 帳戶連結，您需要擔任下列角色的人員：

Identity and Access Management (IAM) 管理員: 透過 IAM 管理使用者許可。通常適用於 IT 安全、資訊安全、專用 IAM 團隊或控管與合規組織。負責實作 IAM 政策、設定 SSO 解決方案、處理合規審查和維護角色型存取控制結構。
AWS 合作夥伴中央聯盟主管或雲端管理員: 您公司的主要帳戶管理員。此人員必須具有業務開發或業務領導角色，以及接受 AWS Partner Network 條款與條件的法定授權。Alliance Lead 可以使用 Cloud Admin 使用者角色將連結的帳戶委派給 Partner Central 使用者。

選取正確的 AWS 帳戶

使用下表中的資訊，以協助決定您應該與 Partner Central AWS 帳戶連結的帳戶。

重要

選取 AWS 帳戶時，請考慮下列事項：

AWS Partner Central 需要使用 IAM 政策來控制存取 AWS 的帳戶。
連結 AWS 帳戶會使用 Partner Central APIs 管理 APN 費用付款、解決方案和 APN 客戶互動 (ACE) 機會追蹤。
AWS 合作夥伴網路功能和 APIs可透過連結 AWS 帳戶取得。
AWS 資源，例如 ACE 機會、機會歷史記錄和多合作夥伴機會邀請會在連結 AWS 的帳戶中建立，而且無法轉移到其他 AWS 帳戶。
您連結 AWS 的帳戶必須位於付費 AWS 帳戶計劃中。當您註冊 AWS 帳戶時，請選擇付費帳戶計劃。若要將 AWS 帳戶升級至付費 AWS 帳戶計劃，請參閱 AWS 帳單使用者指南中的選擇 AWS 免費方案計劃。
AWS 建議連結未用於下列目的 AWS 的帳戶。
- 管理帳戶，您可以在其中管理組織中所有 AWS 帳戶的帳戶資訊和中繼資料。
- 生產帳戶，其中使用者和資料會與應用程式和服務互動。
- 開發人員或沙盒帳戶，其中開發人員編寫程式碼。
- 個人帳戶，供個人學習、實驗和處理個人專案。
- 您從中採購產品的 AWS Marketplace 買方帳戶 AWS Marketplace。
將連結的帳戶與 AWS Partner Network 業務分開，可確保 AWS Partner Central 特定組態的彈性，而不會影響其他環境。這樣做也會簡化財務追蹤、稅務報告和稽核。

AWS 合作夥伴案例	範例	AWS 帳戶選項	考量
案例 1：您擁有由第三方管理 AWS 的帳戶，而且您未註冊為 AWS Marketplace 賣方	AWS 與 AWS 經銷商合作夥伴合作的合作夥伴	選項 1：建立帳戶 AWS 並連結至該帳戶。選項 2：連結至現有 AWS 帳戶	選項 1：是否可以向此帳戶收取 APN 費用？如果帳戶位於 AWS 組織， AWS 管理帳戶可以支付費用。這是您要存取 AWS 合作夥伴網路功能和 APIs的地方嗎？選項 2：與選項 1 相同的考量這是 AWS 管理、生產、開發人員還是個人帳戶？您可以允許外部人員存取管理 AWS Partner Central 業務的帳戶嗎？此帳戶是否適合管理 Partner Central 使用者存取？
案例 2：您擁有 AWS 帳戶，且未註冊為 AWS Marketplace 賣方	AWS 未透過進行交易的合作夥伴， AWS Marketplace 或 AWS Marketplace 無法使用國家/地區的合作夥伴	與案例 1 相同	與案例 1 相同
案例 3：您擁有（多個） AWS 帳戶，並註冊為具有單一 Marketplace AWS Marketplace 賣方帳戶的賣方	AWS 在單一國家/地區擁有合併產品清單或在全球營運之合作夥伴	選項 1：建立並連結至新 AWS 帳戶選項 2：連結至現有 AWS 帳戶選項 3：連結至 AWS Marketplace 賣方帳戶	選項 1：您需要存取需要連結 Marketplace 賣方帳戶 AWS Marketplace 的功能嗎？您是否計劃加入 AWS ISV Accelerate Program？請參閱程式需求。您是否需要共用 AWS Partner Central 和 Marketplace 資源，例如機會、優惠、解決方案和產品清單？將最多產品清單或交易的 AWS Marketplace 賣方帳戶指定為主要 Marketplace 賣方帳戶會比較好嗎？是否可以向此帳戶收取 APN 費用？選項 2：與選項 1 相同的考量這是 AWS 管理、生產、開發人員還是個人帳戶？此帳戶是否適合管理 Partner Central 使用者存取？選項 3：與選項 1 和 2 相同的考量您是否打算建立其他 AWS Marketplace 賣方帳戶？若是如此，是否可以將目前的 Marketplace 賣方帳戶指定為主要 Marketplace 賣方帳戶？
案例 4：您擁有（多個） AWS 帳戶，並註冊為具有多個 AWS Marketplace 賣方帳戶的賣方	AWS 在不同的業務單位下擁有多個產品清單，或必須符合法規和合規要求的合作夥伴	與案例 3 相同	與案例 3 相同

授予 IAM 許可

本節列出的 IAM 政策會授予 AWS Partner Central 使用者對連結 AWS 帳戶的有限存取權。存取層級取決於指派給使用者的 IAM 角色。如需許可層級的詳細資訊，請參閱本主題了解角色許可稍後的。

若要建立政策，您必須是負責環境 AWS 的 IT 管理員。完成後，您必須將政策指派給 IAM 使用者或角色。

本節中的步驟說明如何使用 IAM 主控台來建立政策。

注意

如果您是聯盟負責人或雲端管理員，且您已擁有具有 AWS 管理員許可的 IAM 使用者或角色，請跳至連結 AWS Partner Central 和 AWS 帳戶。

如需 AWS Partner Central 角色的詳細資訊，請參閱本指南AWS Partner Central 角色稍後的。

建立政策

登入 IAM 主控台。
在 Access management (存取管理) 下，請選擇 Policies (政策)。

選擇建立政策，選擇 JSON，然後新增下列政策：

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

選擇下一步。
在政策詳細資訊下的政策名稱方塊中，輸入政策的名稱和選用的描述。
檢閱政策許可，視需要新增標籤，然後選擇建立政策。
將您的 IAM 使用者或角色連接至政策。如需連接的資訊，請參閱《IAM 使用者指南》中的新增 IAM 身分許可（主控台）。

了解角色許可

IT 管理員完成上一節的步驟後，聯盟負責人和 AWS Partner Central 中的其他人可以指派安全政策和映射使用者角色。下表列出並說明帳戶連結期間建立的標準角色，以及每個角色可用的任務。

標準 IAM 角色	AWS 使用的 Partner Central 受管政策	可以執行	無法執行
雲端管理員	PartnerCentralAccountManagementUserRoleAssociation AWSPartnerCentralFullAccess: AWSMarketplaceSellerFullAccess:	將 IAM 角色映射並指派給 AWS Partner Central 使用者。完成與聯盟和 ACE 團隊相同的任務。
聯盟團隊	AWSPartnerCentralFullAccess AWSMarketplaceSellerFullAccess	完整存取上的所有賣方操作 AWS Marketplace，包括 AWS Marketplace 管理入口網站。您也可以管理 AMI 產品中使用的 Amazon EC2 AMI。將 AWS 客戶互動機會與 AWS Marketplace 私有優惠連結。將 APN 解決方案與 AWS Marketplace 產品清單建立關聯。存取 Partner Analytics 儀表板。	將 IAM 角色映射或指派給 AWS Partner Central 使用者。只有聯盟負責人和雲端管理員才能映射或指派角色。
ACE 團隊	AWSMarketplaceSellerOfferManagement AWSPartnerCentralOpportunityManagement	建立 AWS Marketplace 私有優惠。將 AWS 客戶互動機會與 AWS Marketplace 私有優惠連結。	將 IAM 角色映射或指派給 AWS Partner Central 使用者。只有聯盟負責人和雲端管理員可以映射或指派角色。使用所有 AWS Marketplace 工具和功能。使用 Partners Analytics 儀表板。

為單一登入建立許可集

下列步驟說明如何使用 IAM Identity Center 建立許可集，以啟用存取 AWS Partner Central 的單一登入。

如需許可集的詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》中的建立許可集。

登入 IAM Identity Center 主控台。
在多帳戶許可下，選擇許可集。
選擇 Create permission set (建立許可集合)。
在選取許可集類型頁面的許可集類型下，選擇自訂許可集，然後選擇下一步。
請執行下列操作：
1. 在指定政策和許可界限頁面上，選擇要套用至許可集的 IAM 政策類型。
  
  根據預設，您可以將最多 10 個 AWS 受管政策和客戶受管政策的任意組合新增至您的許可集。IAM 會設定此配額。若要提高配額，請在您要指派許可集的每個 AWS 帳戶中，請求增加連接到 Service Quotas 主控台中 IAM 角色的 IAM 配額受管政策。
2. 展開內嵌政策以新增自訂 JSON 格式的政策文字。內嵌政策不會對應至現有的 IAM 資源。若要建立內嵌政策，請在提供的表單中輸入自訂政策語言。IAM Identity Center 會將政策新增至其在成員帳戶中建立的 IAM 資源。如需詳細資訊，請參閱內嵌政策。
3. 從 AWS Partner Central 和 AWS 帳戶連結先決條件複製並貼上 JSON 政策
在指定許可集詳細資訊頁面上，執行下列動作：
1. 在許可集名稱下，輸入名稱以在 IAM Identity Center 中識別此許可集。您為此許可集指定的名稱會在 AWS 存取入口網站中顯示為可用角色。使用者登入 AWS 存取入口網站，選擇 AWS 帳戶，然後選擇角色。
2. (選用) 您也可以輸入描述。描述只會出現在 IAM Identity Center 主控台中，而不會出現在 AWS 存取入口網站中。
3. （選用）指定工作階段持續時間的值。此值決定在主控台將使用者登出其工作階段之前，使用者可登入的時間長度。如需詳細資訊，請參閱設定 AWS 帳戶的工作階段持續時間。
4. （選用）指定轉送狀態的值。此值用於聯合程序，以重新導向帳戶內的使用者。如需詳細資訊，請參閱設定轉送狀態以快速存取 AWS 管理主控台。
  
  注意
  您必須針對轉送狀態使用 AWS 管理主控台 URL。例如：https://console.aws.amazon.com/ec2/
5. 展開標籤（選用），選擇新增標籤，然後指定索引鍵和值的值（選用）。
  
  如需標籤的相關資訊，請參閱標記 AWS IAM Identity Center 資源。
6. 選擇下一步。
在檢閱和建立頁面上，檢閱您所做的選擇，然後選擇建立。

根據預設，當您建立許可集時，不會佈建許可集（用於任何 AWS 帳戶）。若要在 AWS 帳戶中佈建許可集，您必須將 IAM Identity Center 存取權指派給帳戶中的使用者和群組，然後將許可集套用至這些使用者和群組。如需詳細資訊，請參閱《AWS IAM Identity Center 使用者指南》中的將使用者存取權指派給 AWS 帳戶。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

連結 AWS Partner Central 和 AWS 帳戶

連結帳戶