Temporäre IAM-Delegation für Partner AWS - AWS Identitäts- und Zugriffsverwaltung
-ÜbersichtFunktionsweiseQualifikation des PartnersOnboarding-ProzessFragebogen für Partner

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Temporäre IAM-Delegation für Partner AWS

-Übersicht

Die temporäre IAM-Delegierung ermöglicht es AWS Kunden, AWS Partnerprodukte mithilfe interaktiver, geführter Workflows nahtlos in ihre AWS Umgebung zu and/or integrieren. Kunden können AWS Partnern begrenzten, temporären Zugriff auf die Konfiguration der erforderlichen AWS Dienste gewähren, wodurch Reibungsverluste beim Onboarding reduziert und die Amortisierungszeit beschleunigt werden.

Die temporäre IAM-Delegierung ermöglicht Partnern:

  • Optimieren Sie das Kunden-Onboarding mit automatisierter Ressourcenbereitstellung

  • Reduzieren Sie die Komplexität der Integration, indem Sie manuelle Konfigurationsschritte vermeiden

  • Schaffen Sie Vertrauen durch transparente, vom Kunden genehmigte Berechtigungen

  • Ermöglichen Sie den laufenden Betrieb mit langfristigen Zugriffsmustern mithilfe von Berechtigungsgrenzen

Funktionsweise

  1. Partner erstellt eine Delegierungsanfrage — Partner erstellen eine Anfrage, in der sie angeben, welche Berechtigungen sie benötigen und für wie lange

  2. Kundenrezensionen in der AWS Konsole — Der Kunde sieht genau, welche Berechtigungen der Partner anfordert und warum

  3. Kunde stimmt zu — Der Kunde genehmigt die Anfrage und gibt ein Exchange-Token frei. Das Token wird zu diesem angegebenen SNS-Thema an den Partner gesendet.

  4. Der Partner erhält temporäre Anmeldeinformationen — Die Partner tauschen das Token gegen temporäre AWS Anmeldeinformationen ein

  5. Partner konfiguriert Ressourcen — Partner verwenden die Anmeldeinformationen, um die erforderlichen Ressourcen im Kundenkonto einzurichten

Qualifikation des Partners

Um sich für eine vorübergehende Delegationsintegration zu qualifizieren, muss ein Partner die folgenden Anforderungen erfüllen:

  • Teilnahme an ISV Accelerate — Sie müssen für das ISV Accelerate-Programm (ISVA) angemeldet sein.

  • AWS Marketplace-Angebot — Ihr Produkt muss im AWS Marketplace mit dem Badge „Bereitgestellt am AWS“ angeboten werden.

Onboarding-Prozess

Gehen Sie wie folgt vor, um die temporäre Delegierung in Ihr Produkt zu integrieren:

  1. Schritt 1: Überprüfen Sie die Anforderungen

    Lesen Sie sich diese Dokumentation durch, um mehr über die Qualifikationsanforderungen zu erfahren, und füllen Sie den unten stehenden Fragebogen für Partner aus.

  2. Schritt 2: Reichen Sie Ihre Onboarding-Anfrage ein

    Senden Sie eine E-Mail an aws-iam-partner-onboarding @amazon .com oder wenden Sie sich an Ihren AWS Vertreter. Fügen Sie Ihren ausgefüllten Partnerfragebogen mit allen erforderlichen Feldern aus der folgenden Tabelle bei.

  3. Schritt 3: AWS Validierung und Überprüfung

    AWS wird:

    • Bestätigen Sie, dass Sie die Qualifikationskriterien erfüllen

    • Überprüfen Sie Ihre Richtlinienvorlagen und Genehmigungsgrenzen

    • Geben Sie Feedback zu Ihren eingereichten Artefakten

  4. Schritt 4: Verfeinern Sie Ihre Richtlinien

    Reagieren Sie auf AWS Feedback und reichen Sie bei Bedarf aktualisierte Richtlinienvorlagen oder Genehmigungsgrenzen ein.

  5. Schritt 5: Registrierung abschließen

    Nach der Genehmigung AWS wird:

    • Aktivieren Sie den API-Zugriff für Ihre angegebenen Konten

    • Teilen Sie dies ARNs für Ihre Richtlinienvorlage und die Rechtegrenze (falls zutreffend)

    Sie erhalten eine Bestätigung, wenn das Onboarding abgeschlossen ist. Sie können dann GetDelegatedAccessToken von Ihren registrierten Konten aus auf die temporäre Delegierung APIs zugreifen und mit der Integration von Workflows für Delegierungsanfragen in Ihr Produkt beginnen. CreateDelegationRequest

Fragebogen für Partner

In der folgenden Tabelle sind die Informationen aufgeführt, die für das Onboarding von Partnern erforderlich sind:

Informationen Description Erforderlich
AccountID von Partner Central Konto-ID Ihres bei AWS Partner Central registrierten AWS Kontos. Ja
PartnerId Von Partner Central bereitgestellte AWS Partner-ID. Nein
AWS Marketplace-Produkt-ID Von AWS Partner Central bereitgestellte Produkt-ID für Ihr Produkt. Ja
AWS KontoIDs Die Liste Ihres AWS Kontos IDs , mit dem Sie die temporäre Delegierung anrufen möchten APIs. Dies sollte sowohl Ihre Produktions- als auch Ihre Nicht-Produktions-/Testkonten enthalten. Ja
Name des Partners Dieser Name wird Kunden in der AWS Management Console angezeigt, wenn sie Ihre temporäre Delegierungsanfrage prüfen. Ja
Kontakt-E-Mail (s) Eine oder mehrere E-Mail-Adressen, über die wir Sie bezüglich Ihrer Integration kontaktieren können. Ja
Anforderer oder Domain Ihre Domain (z. B. www.example.com) Ja
Beschreibung der Integration Kurze Beschreibung des Anwendungsfalls, den Sie mit dieser Funktion behandeln möchten. Sie können Referenzlinks zu Ihrer Dokumentation oder anderem öffentlichen Material hinzufügen. Ja
Architekturdiagramm Architekturdiagramm, das Ihre Anwendungsfälle für die Integration veranschaulicht. Nein
Richtlinienvorlage Sie müssen mindestens eine Richtlinienvorlage für diese Funktion registrieren. Die Richtlinienvorlage definiert die temporären Berechtigungen, die Sie für AWS Kundenkonten beantragen möchten. Weitere Informationen finden Sie im Abschnitt Richtlinienvorlage. Ja
Name der Richtlinienvorlage Name der Richtlinienvorlage, die Sie registrieren möchten. Ja
Berechtigungsgrenze Wenn Sie mithilfe temporärer Berechtigungen IAM-Rollen in Kundenkonten erstellen möchten, müssen Sie bei IAM eine Berechtigungsgrenze registrieren. Den IAM-Rollen, die Sie erstellen, werden Berechtigungsgrenzen zugewiesen, um die maximalen Berechtigungen für die Rolle zu begrenzen. Sie können ausgewählte AWS verwaltete Richtlinien als Berechtigungsgrenze verwenden oder eine neue benutzerdefinierte Berechtigungsgrenze (JSON) registrieren. Weitere Informationen finden Sie im Abschnitt Berechtigungsgrenze. Nein
Name der Berechtigungsgrenze Der Name Ihrer Erlaubnisgrenze. <partner_domain><policy_name><date>Das Format lautet: arn:aws:iam: :partner:policy/permission_boundary//_ Der Richtlinienname muss das Erstellungsdatum als Suffix enthalten. Der Name kann nicht aktualisiert werden, sobald die Berechtigungsgrenze erstellt wurde. Wenn Sie eine vorhandene AWS verwaltete Richtlinie verwenden, geben Sie stattdessen den ARN der verwalteten Richtlinie an. Nein
Beschreibung der Zulässigkeitsgrenze Beschreibung der Genehmigungsgrenze. Diese Beschreibung kann nicht aktualisiert werden, sobald die Berechtigungsgrenze erstellt wurde. Nein