Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Temporäre IAM-Delegation
## -Übersicht
Die vorübergehende Delegierung beschleunigt das Onboarding und vereinfacht die Verwaltung von Produkten von Amazon und AWS Partnern, die in Ihre AWS Konten integriert werden können. Anstatt mehrere AWS Dienste manuell zu konfigurieren, können Sie temporäre, eingeschränkte Berechtigungen delegieren, sodass der Produktanbieter Einrichtungsaufgaben in Ihrem Namen innerhalb von Minuten mithilfe automatisierter Bereitstellungsworkflows erledigen kann. Sie behalten die administrative Kontrolle in Bezug auf Genehmigungsanforderungen und Berechtigungsgrenzen, während die Berechtigungen von Produktanbietern nach Ablauf der genehmigten Dauer automatisch ablaufen, ohne dass eine manuelle Bereinigung erforderlich ist. Wenn das Produkt für den laufenden Betrieb dauerhaften Zugriff benötigt, kann der Anbieter mithilfe einer temporären Delegierung eine IAM-Rolle mit einer Berechtigungsgrenze erstellen, die die maximalen Berechtigungen der Rolle festlegt. Alle Aktivitäten der Produktanbieter werden AWS CloudTrail zur Einhaltung von Vorschriften und zur Sicherheitsüberwachung nachverfolgt.
**Anmerkung**
Temporäre Delegierungsanfragen können nur von Amazon-Produkten und qualifizierten AWS Partnern erstellt werden, die den Onboarding-Prozess für Funktionen abgeschlossen haben. Kunden überprüfen und genehmigen diese Anfragen, können sie jedoch nicht direkt erstellen. Wenn Sie ein AWS Partner sind, der die temporäre IAM-Delegierung in Ihr Produkt integrieren möchte, finden Sie Anweisungen zur Einführung und [Integration im Partnerintegrationsleitfaden](access_policies-temporary-delegation-partner-guide.md).
## So funktioniert die temporäre Delegierung
Die vorübergehende Delegierung ermöglicht es Amazon und AWS Partnern, temporären, eingeschränkten Zugriff auf Ihr Konto zu beantragen. Nach Ihrer Zustimmung können sie delegierte Berechtigungen verwenden, um in Ihrem Namen Maßnahmen zu ergreifen. Delegierungsanfragen definieren spezifische Berechtigungen für AWS Dienste und Aktionen, die der Produktanbieter benötigt, um Ressourcen in Ihrem AWS Konto bereitzustellen oder zu konfigurieren. Diese Berechtigungen sind nur für eine begrenzte Zeit verfügbar und laufen automatisch nach der in der Anfrage angegebenen Dauer ab.
**Anmerkung**
Die maximale Dauer für delegierten Zugriff beträgt 12 Stunden. Root-Benutzer können jedoch nur Delegierungsanfragen mit einer Dauer von 4 Stunden oder weniger genehmigen. Wenn in einer Anfrage mehr als 4 Stunden angegeben sind, müssen Sie für die Genehmigung der Anfrage eine Identität verwenden, die kein Root-Benutzer ist. Einzelheiten finden Sie unter [Betafunktion zur Simulation von Genehmigungen.](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)
Für laufende Aufgaben, wie das Lesen aus einem Amazon S3 S3-Bucket, können Delegierungsanfragen die Erstellung einer IAM-Rolle beinhalten, die den kontinuierlichen Zugriff auf Ressourcen und Aktionen nach Ablauf des temporären Zugriffs ermöglicht. Produktanbieter müssen jeder IAM-Rolle, die durch temporäre Delegierung erstellt wurde, eine Berechtigungsgrenze zuweisen. Berechtigungsgrenzen beschränken die maximalen Berechtigungen einer Rolle, gewähren jedoch keine eigenständigen Berechtigungen. Sie können die Berechtigungsgrenze im Rahmen der Anfrage überprüfen, bevor Sie sie genehmigen. Einzelheiten finden Sie unter [Grenzen der Berechtigungen](access_policies_boundaries.md).
Das Verfahren funktioniert folgendermaßen:
1. Sie melden sich bei einem Amazon- oder AWS Partnerprodukt an, um es in Ihre AWS Umgebung zu integrieren.
1. Der Produktanbieter initiiert in Ihrem Namen eine Delegierungsanfrage und leitet Sie zur AWS Management Console weiter.
1. Sie überprüfen die angeforderten Berechtigungen und entscheiden, ob Sie die Anfrage genehmigen, ablehnen oder an Ihren Administrator weiterleiten möchten.
1. Sobald Sie oder Ihr Administrator die Anfrage genehmigt haben, kann der Produktanbieter die temporären Anmeldeinformationen des Genehmigers abrufen, um die erforderlichen Aufgaben auszuführen.
1. Der Zugriff auf den Produktanbieter läuft nach dem angegebenen Zeitraum automatisch ab. Jede IAM-Rolle, die durch die temporäre Delegierungsanfrage erstellt wurde, bleibt jedoch über diesen Zeitraum hinaus bestehen, sodass der Produktanbieter weiterhin auf Ressourcen und Aktionen für laufende Verwaltungsaufgaben zugreifen kann.
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/IAM/latest/UserGuide/images/delegation-flow.png)
**Anmerkung**
Sie können Berechtigungen nur dann an einen Produktanbieter delegieren, wenn Sie über Berechtigungen für die Dienste und Aktionen verfügen, die in der temporären Delegierungsanfrage enthalten sind. Wenn Sie keinen Zugriff auf die angeforderten Dienste und Aktionen haben, erhält der Produktanbieter diese Berechtigungen nicht, wenn Sie die Anfrage genehmigen.
Wenn die Berechtigungsprüfung zeigt, dass sie wahrscheinlich erfolgreich sein wird, können Sie die temporäre Delegierungsanfrage genehmigen und mit dem Workflow fortfahren.
Wenn die Berechtigungsprüfung ergibt, dass Sie möglicherweise nicht über ausreichende Berechtigungen verfügen, leiten Sie die Anfrage zur Genehmigung an Ihren Administrator weiter. Wir empfehlen, Ihren Administrator mithilfe der von Ihnen bevorzugten Methode, z. B. per E-Mail oder Ticket, über diese Anfrage zu informieren.
Sobald Ihr Administrator die Anfrage genehmigt hat, hängt das weitere Vorgehen von der Konfiguration des Produktanbieters ab:
+ Wenn der Produktanbieter sofortigen Zugriff angefordert hat, erhält er automatisch temporäre Berechtigungen, und die Zugriffsdauer beginnt.
+ Wenn der Produktanbieter die Freigabe durch den Eigentümer (ursprünglichen Empfänger) angefordert hat, müssen Sie zu der Anfrage zurückkehren, um den temporären Kontozugriff explizit freizugeben, bevor die Zugriffsdauer beginnt. Produktanbieter verwenden diese Option in der Regel, wenn sie zusätzliche Eingaben von Ihnen benötigen, z. B. Informationen zur Ressourcenauswahl oder zur Konfiguration, um die erforderliche Aufgabe abzuschließen.
# Initiieren Sie eine vorübergehende Delegierungsanfrage
Sie können eine temporäre Delegierungsanfrage nur von unterstützten Amazon- oder AWS Partnerprodukten aus stellen. Während eines Workflows, der eine vorübergehende Delegierung unterstützt, werden Sie aufgefordert, dem Produktanbieter temporäre, eingeschränkte Berechtigungen zur Konfiguration der erforderlichen AWS Ressourcen in Ihrem Konto zu erteilen. Dieser automatisierte Ansatz sorgt für ein optimiertes Benutzererlebnis, da Sie diese Ressourcen nicht mehr manuell konfigurieren müssen.
Sie können die Details der Delegierungsanfrage überprüfen, z. B. die spezifischen IAM-Rollen, -Richtlinien und AWS -Dienste, die der Produktanbieter benötigt, bevor Sie den Zugriff gewähren. Sie können die Anfrage entweder selbst genehmigen, sofern Sie über ausreichende Berechtigungen verfügen, oder die Anfrage zur Genehmigung an Ihren Kontoadministrator weiterleiten. Der gesamte Zugriff durch Produktanbieter ist zeitlich begrenzt und kann bei Bedarf überwacht und widerrufen werden.
**Um eine vorübergehende Delegierungsanfrage zu initiieren**
1. Navigieren Sie zur Konsole eines unterstützten Produkts von Amazon oder AWS Partnern, das eine Integration mit Ihrem AWS Konto erfordert.
1. Wählen Sie *Mit temporärer IAM-Delegierung bereitstellen* aus. Beachten Sie, dass der Optionsname je nach unterstütztem Produkt variieren kann. Einzelheiten finden Sie in der Dokumentation des Produktanbieters.
**Anmerkung**
Wenn Sie noch nicht bei der AWS Management Console angemeldet sind, öffnet sich ein neues Fenster mit der AWS Anmeldeseite. Wir empfehlen Ihnen, sich bei Ihrem AWS Konto anzumelden, bevor Sie die temporäre Delegierungsanfrage von der Produktkonsole aus starten. Weitere Informationen dazu, wie Sie sich je nach Benutzertyp und den AWS Ressourcen, auf die Sie zugreifen möchten, anmelden können, finden Sie im [AWS Anmelde-Benutzerhandbuch](docs---aws.amazon.com.rproxy.govskope.casignin/latest/userguide/what-is-sign-in.html).
1. Überprüfen Sie die Anfragedetails, um den Produktnamen und das AWS Konto des Produktanbieters zu bestätigen. Sie können auch die AWS Identität überprüfen, die der Produktanbieter verwendet, um Aktionen in Ihrem Namen durchzuführen.
1. Überprüfen Sie die *Zugriffsdetails* für die Berechtigungen, die vorübergehend delegiert werden, wenn Sie diese Anfrage genehmigen.
+ Der Abschnitt „*Zusammenfassung der Berechtigungen*“ bietet eine allgemeine, von KI generierte Übersicht, anhand derer Sie verstehen können, auf welche Kategorien von AWS Diensten zugegriffen werden kann und welche Arten von Aktionen in den einzelnen Diensten ausgeführt werden können.
+ Wählen Sie „*JSON anzeigen*“, um bestimmte Berechtigungen zu überprüfen, die der Produktanbieter in Ihrem AWS Konto bereitstellen muss, einschließlich des Zugriffsumfangs und der Ressourcenbeschränkungen.
+ Wenn der Produktanbieter im Rahmen einer temporären Delegierungsanfrage eine IAM-Rolle erstellt, muss der Rolle eine Berechtigungsgrenze zugewiesen werden. Diese IAM-Rollen verfügen über Berechtigungen, die auch nach Ablauf der angeforderten Zugriffsdauer den Zugriff auf Ressourcen und Aktionen ermöglichen. Wählen Sie *Details anzeigen*, um die Berechtigungsgrenze zu überprüfen, die die maximalen Berechtigungen definiert, die die Rolle haben kann. Der Produktanbieter wendet bei der Erstellung zusätzliche Richtlinien auf die Rolle an, die ihre tatsächlichen Berechtigungen definieren. Je nachdem, wie der Produktanbieter sie definiert, können diese Richtlinien enger gefasst oder weiter gefasst sein als die Grenze. Die Berechtigungsgrenze garantiert jedoch, dass die effektiven Berechtigungen der Rolle niemals den Wert überschreiten, den Sie bei der Genehmigung von Anfragen sehen, unabhängig davon, welche Richtlinien mit der Rolle verknüpft sind. Weitere Informationen finden Sie unter [Berechtigungsgrenzen](access_policies_boundaries.md).
1. Überprüfen Sie die Ergebnisse der Berechtigungssimulation. Die Funktion zur Berechtigungssimulation vergleicht die Berechtigungen Ihrer Identität automatisch mit denen, die in der Anfrage enthalten sind. Auf der Grundlage dieser Analyse wird eine Empfehlung angezeigt, die angibt, ob Sie die Anfrage mit Ihrer aktuellen Identität genehmigen oder an einen Administrator weiterleiten sollten. Einzelheiten finden Sie unter [Betafunktion zur Simulation von Genehmigungen](#temporary-delegation-permission-simulation).
1. Wählen Sie im Dialogfeld aus, wie Sie vorgehen möchten.
+ Wählen Sie *Zugriff zulassen* aus, wenn Ihre Identität über ausreichende Berechtigungen verfügt, damit der Produktanbieter die Onboarding-Verfahren in Ihrem Namen durchführen kann. Wenn Sie diese Option auswählen, beginnt die Zugriffsdauer des Produktanbieters, sobald Sie den Zugriff gewähren.
+ Wählen Sie *Genehmigung anfordern* aus, wenn Ihre Identität nicht über ausreichende Berechtigungen verfügt, damit der Produktanbieter die Onboarding-Verfahren in Ihrem Namen durchführen kann. Wählen Sie dann *Genehmigungsanfrage erstellen* aus. Wenn Sie diese Option auswählen, wird ein Link für eine temporäre Delegierungsanfrage erstellt, den Sie mit Ihrem Kontoadministrator teilen können. Ihr Administrator kann auf die AWS Management Console zugreifen oder den Zugriffslink zur Überprüfung temporärer Delegierungsanfragen verwenden, um die Anfrage zu genehmigen und dem Antragsteller den temporären Zugriff zur Verfügung zu stellen.
**Anmerkung**
Um dem Produktanbieter Zugriff zu gewähren, sind zwei Aktionen erforderlich: Annahme der Delegierungsanfrage (`AcceptDelegationRequest`) und Freigabe des Exchange-Token (`SendDelegatedToken`). Die AWS Management Console führt beide Schritte automatisch aus, wenn Sie eine Anfrage genehmigen. Wenn Sie die API AWS CLI oder verwenden, müssen Sie beide Schritte separat ausführen.
## Fähigkeit zur Simulation von Berechtigungen — Beta
Wenn Sie eine temporäre Delegierungsanfrage erhalten, können Sie diese entweder selbst genehmigen oder sie zur Genehmigung an Ihren Kontoadministrator weiterleiten. Sie können Berechtigungen nur dann an einen Produktanbieter delegieren, wenn Sie über Berechtigungen für die Dienste und Aktionen verfügen, die in der temporären Delegierungsanfrage enthalten sind. Wenn Sie keinen Zugriff auf die angeforderten Dienste und Aktionen haben, erhält der Produktanbieter diese Berechtigungen auch dann nicht, wenn sie in der Anfrage enthalten sind.
Beispielsweise erfordert eine temporäre Delegierungsanfrage die Fähigkeit, einen Amazon S3 S3-Bucket zu erstellen, Instances in Amazon EC2 zu starten und zu beenden und eine IAM-Rolle zu übernehmen. Die Identität, die die Anfrage genehmigt, kann Instances in Amazon starten und stoppen und eine IAM-Rolle übernehmen EC2, hat aber keine Berechtigung, einen Amazon S3 S3-Bucket zu erstellen. Wenn diese Identität die Anfrage genehmigt, kann der Produktanbieter keinen Amazon S3 S3-Bucket erstellen, obwohl diese Berechtigungen in der temporären Delegierungsanfrage enthalten waren.
Da Sie nur Berechtigungen delegieren können, die Sie bereits besitzen, ist es wichtig, vor der Genehmigung zu prüfen, ob Sie über die angeforderten Berechtigungen verfügen. Die Beta-Funktion zur Berechtigungssimulation hilft bei dieser Bewertung, indem sie Ihre Berechtigungen mit denen vergleicht, die in der Anfrage enthalten sind. Aus der Bewertung geht hervor, ob Sie die Anfrage mit Ihrer aktuellen Identität genehmigen können oder ob Sie sie an einen Administrator weiterleiten müssen. Wenn durch die Analyse nicht bestätigt werden kann, dass Sie über ausreichende Berechtigungen verfügen, leiten Sie die Anfrage zur Prüfung an einen Administrator weiter. Diese Bewertung basiert auf einer simulierten Berechtigungsanalyse und kann von Ihrer AWS Live-Umgebung abweichen. Prüfen Sie daher die angeforderten Berechtigungen sorgfältig, bevor Sie fortfahren.
## Nächste Schritte
Nachdem Sie eine temporäre Delegierungsanfrage gestellt haben, können Sie die Anfrage während ihres gesamten Lebenszyklus verwalten und überwachen. Die folgenden Verfahren helfen Ihnen dabei, den temporären Zugriff zu verfolgen, zu genehmigen und zu kontrollieren:
+ [Temporäre Delegierungsanfragen überprüfen](temporary-delegation-review-requests.md) — Überwachen Sie den Status Ihrer Zugriffsanfragen und sehen Sie sich detaillierte Informationen zu Anträgen auf Genehmigung oder Ablehnung temporärer Delegierungsanfragen an.
+ [Temporären Delegierungszugriff widerrufen](temporary-delegation-revoke-access.md) — Beenden Sie aktive temporäre Delegierungssitzungen sofort, bevor sie auf natürliche Weise ablaufen.
# Temporäre Delegierungsanfragen überprüfen
Nachdem Sie eine temporäre Delegierungsanfrage initiiert haben, können Sie Anfragen in der IAM-Konsole überwachen, genehmigen und ablehnen. Die Seite Temporäre Delegierungsanfragen bietet eine zentrale Ansicht aller Anfragen, einschließlich der Anfragen, deren Genehmigung noch aussteht, abgeschlossen oder abgelehnt wurde. Als Administrator können Sie diese Anfragen überprüfen, um Produktanbietern Zugriff auf AWS Ressourcen zu gewähren oder sie auf der Grundlage der Sicherheitsrichtlinien, Geschäftsanforderungen oder Compliance-Standards Ihres Unternehmens abzulehnen. Diese Transparenz hilft Ihnen, den Lebenszyklus des Zugriffs auf Produktanbieter nachzuverfolgen und den Überblick über temporäre Berechtigungen zu behalten.
**Anmerkung**
Sie benötigen die iam: AcceptDelegationRequest -Berechtigung, um temporäre Delegierungsanfragen genehmigen zu können.
**Um eine vorübergehende Delegierungsanfrage zu genehmigen**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
1. Wählen Sie im Navigationsbereich auf der linken Seite *Temporäre Delegierungsanfragen* aus.
1. Auf der Hauptseite wird eine Liste Ihrer temporären Delegierungsanfragen mit den folgenden Informationen angezeigt:
+ *Anfrage-ID* — Eindeutige Kennung für die Anfrage
+ *Status* — Aktueller Status (Ausstehend, Genehmigt, Abgelehnt, Gemeinsam genutzt, Abgelaufen)
+ *Anforderer* — Produktanbieter, der mit der Anfrage verknüpft ist
+ *Initiiert von* — IAM-Principal des Kontos, der die Anfrage für den Produktanbieter initiiert hat
+ *Anfrage erstellt* — Wann die Anfrage eingereicht wurde
+ *Anfrage läuft ab* — Wann die Anfrage abgelaufen ist oder ablaufen wird
1. (Optional) Verwenden Sie die Filteroptionen, um Anfragen nach Status anzuzeigen:
+ *Alle Anfragen* — Sehen Sie sich alle Ihre Anfragen unabhängig vom Status an
+ *Ausstehend* — Zeigt Anfragen an, deren Genehmigung durch den Administrator noch aussteht
+ *Genehmigt — Genehmigte* Anfragen anzeigen
+ *Geteilt* — Zeigt Anfragen an, für die der Zugriff geteilt wurde
+ *Abgelehnt* — Zeigt abgelehnte Anfragen mit Ablehnungsgründen an
1. Um detaillierte Informationen zu einer bestimmten Anfrage einzusehen oder um eine ausstehende Genehmigungsanfrage zu überprüfen, wählen Sie die Anforderungs-ID.
1. Überprüfen Sie die detaillierten Informationen zur Anfrage:
+ Informationen zum Produktanbieter
+ Grund und Begründung der Anfrage
+ Gewünschte Dauer
+ Angeforderte AWS Berechtigungen
1. Wenn Sie ein Administrator sind, der eine ausstehende Anfrage überprüft, wählen Sie eine der folgenden Optionen:
+ Um die Anfrage zu genehmigen, wählen Sie *Genehmigen*. Im Genehmigungsdialogfeld können Sie sich die Ergebnisse der Berechtigungssimulation ansehen. Weitere Informationen finden Sie unter [Betafunktion der Berechtigungssimulation](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Nachdem Sie die Zugriffsdauer und Ihre AWS Identität bestätigt haben, wählen Sie *Genehmigen*, um den Zugriff zu gewähren. Wenn der Produktanbieter sofortigen Zugriff angefordert hat, erhält er automatisch temporäre Berechtigungen und die Zugriffsdauer beginnt. Andernfalls benachrichtigen Sie die Person, die die Anfrage gestellt hat, über die Freigabe des Zugriffs für den Produktanbieter.
+ Um die Anfrage abzulehnen, wählen Sie *Ablehnen*.
+ Geben Sie im Ablehnungsdialogfeld einen klaren Grund für die Ablehnung an, damit der Antragsteller versteht, warum seine Anfrage abgelehnt wurde.
+ Wählen Sie *Ablehnen*, um den Zugriff zu verweigern.
1. Die Anforderungsliste wird automatisch aktualisiert und zeigt die aktuellsten Statusinformationen an. Sie können die Seite auch manuell aktualisieren, um nach Statusaktualisierungen zu suchen.
# Temporären Delegierungszugriff widerrufen
Zugriffssitzungen für Produktanbieter sind zwar so konzipiert, dass sie nach ihrer genehmigten Dauer automatisch ablaufen, in bestimmten Situationen müssen Sie den Zugriff jedoch möglicherweise sofort beenden. Der Widerruf des aktiven Zugriffs für Produktanbieter bietet einen Notfallkontrollmechanismus, wenn Sicherheitsbedenken auftreten, wenn die Arbeit des Produktanbieters vorzeitig abgeschlossen ist oder wenn sich die Geschäftsanforderungen ändern. Sowohl Anforderungsinitiatoren als auch Administratoren können den Zugriff entziehen, um die Sicherheit und die betriebliche Kontrolle aufrechtzuerhalten.
**Um den temporären Delegierungszugriff zu entziehen**
1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
1. Wählen Sie im Navigationsbereich auf der linken Seite *Temporäre Delegierungsanfragen* aus.
1. Suchen Sie die Anforderungs-ID für die Zugriffssitzung, die Sie widerrufen möchten.
1. Wählen Sie *Aktionen* und dann *Zugriff widerrufen* aus.
1. Wählen Sie im Dialogfeld *Zugriff widerrufen* aus, um zu bestätigen, dass Sie die Zugriffssitzung sofort beenden möchten.
Nach dem Widerrufen des Zugriffs kann der Produktanbieter nicht mehr auf Ihre AWS Ressourcen zugreifen. Der Widerruf wird zu AWS CloudTrail Prüfungszwecken protokolliert.
**Wichtig**
Durch den Widerruf des Zugriffs wird die Zugriffssitzung des Produktanbieters sofort beendet. Alle laufenden Arbeiten oder Prozesse, die den Zugriff nutzen, werden unterbrochen. Stellen Sie sicher, dass durch den Widerruf kritische Abläufe nicht gestört werden.
**Anmerkung**
Sie können den Zugriff für Anfragen, die mit einem Root-Benutzer genehmigt wurden, nicht widerrufen. AWS empfiehlt, dass Sie keinen Root-Benutzer verwenden, um Delegierungsanfragen zu genehmigen. Verwenden Sie stattdessen eine IAM-Rolle mit den entsprechenden Berechtigungen.
## Verwaltung von Berechtigungen für Delegierungsanfragen
Administratoren können IAM-Prinzipalen Berechtigungen zur Verwaltung von Delegierungsanfragen von Produktanbietern gewähren. Dies ist nützlich, wenn Sie Genehmigungsberechtigungen an bestimmte Benutzer oder Teams in Ihrer Organisation delegieren möchten oder wenn Sie kontrollieren möchten, wer bestimmte Aktionen bei Delegierungsanfragen ausführen kann.
Die folgenden IAM-Berechtigungen sind für die Verwaltung von Delegierungsanfragen verfügbar:
| Berechtigung | Description |
| --- | --- |
| iam: AssociateDelegationRequest | Ordnen Sie Ihrem Konto eine nicht zugewiesene Delegierungsanfrage zu AWS |
| ich bin: GetDelegationRequest | Details einer Delegierungsanfrage anzeigen |
| Ich bin: UpdateDelegationRequest | Leiten Sie eine Delegierungsanfrage zur Genehmigung an einen Administrator weiter |
| Ich bin: AcceptDelegationRequest | Genehmigen Sie eine Delegierungsanfrage |
| ich bin: SendDelegationToken | Geben Sie das Exchange-Token nach der Genehmigung an den Produktanbieter weiter |
| Ich bin: RejectDelegationRequest | Eine Delegierungsanfrage ablehnen |
| ich bin: ListDelegationRequests | Listen Sie Delegierungsanfragen für Ihr Konto auf |
**Anmerkung**
Standardmäßig erhalten IAM-Principals, die eine Delegierungsanfrage initiieren, automatisch Berechtigungen zur Verwaltung dieser speziellen Anfrage. Sie können sie ihrem Konto zuordnen, Anforderungsdetails einsehen, eine Anfrage ablehnen, sie zur Genehmigung an einen Administrator weiterleiten, das Exchange-Token nach Genehmigung durch den Administrator an den Produktanbieter weitergeben und Delegierungsanfragen auflisten, deren Eigentümer sie sind.
# Benachrichtigungen
Die temporäre IAM-Delegierung ist in AWS Benutzerbenachrichtigungen integriert, sodass Sie über Änderungen des Status von Delegierungsanfragen auf dem Laufenden bleiben. Benachrichtigungen sind besonders nützlich für Administratoren, die Delegierungsanfragen prüfen und genehmigen müssen.
Mit AWS Benutzerbenachrichtigungen können Sie Benachrichtigungen so konfigurieren, dass sie über mehrere Kanäle zugestellt werden, darunter E-Mail, Amazon Simple Notification Service (SNS), AWS Chatbot für Slack oder Microsoft Teams und die AWS Console Mobile Application. Dadurch wird sichergestellt, dass die richtigen Personen zur richtigen Zeit benachrichtigt werden, was eine schnellere Reaktion auf ausstehende Genehmigungen oder die Kenntnis von Zugangsänderungen ermöglicht. Sie können auch an die Bedürfnisse und Sicherheitsanforderungen Ihres Unternehmens anpassen, welche Ereignisse Benachrichtigungen auslösen.
## Verfügbare Benachrichtigungsereignisse
Sie können Benachrichtigungen für die folgenden temporären IAM-Delegierungsereignisse abonnieren:
+ Temporäre IAM-Delegierungsanfrage wurde erstellt
+ Temporäre IAM-Delegierungsanfrage wurde zugewiesen
+ Temporärer IAM-Delegierungsantrag steht noch aus
+ Antrag auf vorübergehende IAM-Delegierung abgelehnt
+ Antrag auf vorübergehende IAM-Delegierung akzeptiert
+ Antrag auf vorübergehende IAM-Delegierung abgeschlossen
+ Die temporäre IAM-Delegierungsanfrage ist abgelaufen
## Konfigurieren von -Benachrichtigungen
So konfigurieren Sie Benachrichtigungen für temporäre IAM-Delegierungsereignisse:
1. Öffnen Sie die Konsole AWS für Benutzerbenachrichtigungen
1. Erstellen oder aktualisieren Sie eine Benachrichtigungskonfiguration
1. Wählen Sie AWS IAM als Dienst aus
1. Wählen Sie aus, über welche Ereignisse im Zusammenhang mit Delegierungsanfragen Sie informiert werden möchten
1. Konfiguriere deine Lieferkanäle (E-Mail, AWS Chatbot usw.)
Detaillierte Anweisungen zur Konfiguration von AWS Benutzerbenachrichtigungen, einschließlich der Einrichtung von Zustellungskanälen und der Verwaltung von Benachrichtigungsregeln, finden Sie in der Dokumentation zu AWS Benutzerbenachrichtigungen.
# CloudTrail
Alle Aktionen, die von Produktanbietern mit temporärem delegiertem Zugriff ausgeführt werden, werden automatisch angemeldet AWS CloudTrail. Dies bietet vollständige Transparenz und Überprüfbarkeit der Aktivitäten der Produktanbieter in Ihrem AWS Konto. Sie können feststellen, welche Maßnahmen von den Produktanbietern ergriffen wurden, wann sie durchgeführt wurden und von welchem Konto des Produktanbieters sie ausgeführt wurden.
Damit Sie zwischen Aktionen Ihrer eigenen IAM-Principals und Aktionen von Produktanbietern mit delegiertem Zugriff unterscheiden können, enthalten CloudTrail Ereignisse ein neues Feld, das `invokedByDelegate` unter dem Element aufgerufen wird. `userIdentity` Dieses Feld enthält die AWS Konto-ID des Produktanbieters, sodass Sie alle delegierten Aktionen einfach filtern und überprüfen können.
## CloudTrail Struktur der Veranstaltung
Das folgende Beispiel zeigt ein CloudTrail Ereignis für eine Aktion, die von einem Produktanbieter mithilfe von temporärem delegiertem Zugriff ausgeführt wurde:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Das `invokedByDelegate` Feld enthält die AWS Konto-ID des Produktanbieters, der die Aktion mit delegiertem Zugriff ausgeführt hat. In diesem Beispiel hat das Konto 444455556666 (der Produktanbieter) eine Aktion im Konto 111122223333 (das Kundenkonto) ausgeführt.