Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Initiieren Sie eine vorübergehende Delegierungsanfrage
Sie können eine temporäre Delegierungsanfrage nur von unterstützten Amazon- oder AWS Partnerprodukten aus stellen. Während eines Workflows, der eine vorübergehende Delegierung unterstützt, werden Sie aufgefordert, dem Produktanbieter temporäre, eingeschränkte Berechtigungen zur Konfiguration der erforderlichen AWS Ressourcen in Ihrem Konto zu erteilen. Dieser automatisierte Ansatz sorgt für ein optimiertes Benutzererlebnis, da Sie diese Ressourcen nicht mehr manuell konfigurieren müssen.
Sie können die Details der Delegierungsanfrage überprüfen, z. B. die spezifischen IAM-Rollen, -Richtlinien und AWS -Dienste, die der Produktanbieter benötigt, bevor Sie den Zugriff gewähren. Sie können die Anfrage entweder selbst genehmigen, sofern Sie über ausreichende Berechtigungen verfügen, oder die Anfrage zur Genehmigung an Ihren Kontoadministrator weiterleiten. Der gesamte Zugriff durch Produktanbieter ist zeitlich begrenzt und kann bei Bedarf überwacht und widerrufen werden.
Um eine vorübergehende Delegierungsanfrage zu initiieren
Navigieren Sie zur Konsole eines unterstützten Produkts von Amazon oder AWS Partnern, das eine Integration mit Ihrem AWS Konto erfordert.
Wählen Sie Mit temporärer IAM-Delegierung bereitstellen aus. Beachten Sie, dass der Optionsname je nach unterstütztem Produkt variieren kann. Einzelheiten finden Sie in der Dokumentation des Produktanbieters.
Anmerkung
Wenn Sie noch nicht bei der AWS Management Console angemeldet sind, öffnet sich ein neues Fenster mit der AWS Anmeldeseite. Wir empfehlen Ihnen, sich bei Ihrem AWS Konto anzumelden, bevor Sie die temporäre Delegierungsanfrage von der Produktkonsole aus starten. Weitere Informationen dazu, wie Sie sich je nach Benutzertyp und den AWS Ressourcen, auf die Sie zugreifen möchten, anmelden können, finden Sie im AWS Anmelde-Benutzerhandbuch.
Überprüfen Sie die Anfragedetails, um den Produktnamen und das AWS Konto des Produktanbieters zu bestätigen. Sie können auch die AWS Identität überprüfen, die der Produktanbieter verwendet, um Aktionen in Ihrem Namen durchzuführen.
Überprüfen Sie die Zugriffsdetails für die Berechtigungen, die vorübergehend delegiert werden, wenn Sie diese Anfrage genehmigen.
Der Abschnitt „Zusammenfassung der Berechtigungen“ bietet eine allgemeine, von KI generierte Übersicht, anhand derer Sie verstehen können, auf welche Kategorien von AWS Diensten zugegriffen werden kann und welche Arten von Aktionen in den einzelnen Diensten ausgeführt werden können.
Wählen Sie „JSON anzeigen“, um bestimmte Berechtigungen zu überprüfen, die der Produktanbieter in Ihrem AWS Konto bereitstellen muss, einschließlich des Zugriffsumfangs und der Ressourcenbeschränkungen.
Wenn der Produktanbieter im Rahmen einer temporären Delegierungsanfrage eine IAM-Rolle erstellt, muss der Rolle eine Berechtigungsgrenze zugewiesen werden. Diese IAM-Rollen verfügen über Berechtigungen, die auch nach Ablauf der angeforderten Zugriffsdauer den Zugriff auf Ressourcen und Aktionen ermöglichen. Wählen Sie Details anzeigen, um die Berechtigungsgrenze zu überprüfen, die die maximalen Berechtigungen definiert, die die Rolle haben kann. Der Produktanbieter wendet bei der Erstellung zusätzliche Richtlinien auf die Rolle an, die ihre tatsächlichen Berechtigungen definieren. Je nachdem, wie der Produktanbieter sie definiert, können diese Richtlinien enger gefasst oder weiter gefasst sein als die Grenze. Die Berechtigungsgrenze garantiert jedoch, dass die effektiven Berechtigungen der Rolle niemals den Wert überschreiten, den Sie bei der Genehmigung von Anfragen sehen, unabhängig davon, welche Richtlinien mit der Rolle verknüpft sind. Weitere Informationen finden Sie unter Berechtigungsgrenzen.
Überprüfen Sie die Ergebnisse der Berechtigungssimulation. Die Funktion zur Berechtigungssimulation vergleicht die Berechtigungen Ihrer Identität automatisch mit denen, die in der Anfrage enthalten sind. Auf der Grundlage dieser Analyse wird eine Empfehlung angezeigt, die angibt, ob Sie die Anfrage mit Ihrer aktuellen Identität genehmigen oder an einen Administrator weiterleiten sollten. Einzelheiten finden Sie unter Betafunktion zur Simulation von Genehmigungen.
Wählen Sie im Dialogfeld aus, wie Sie vorgehen möchten.
Wählen Sie Zugriff zulassen aus, wenn Ihre Identität über ausreichende Berechtigungen verfügt, damit der Produktanbieter die Onboarding-Verfahren in Ihrem Namen durchführen kann. Wenn Sie diese Option auswählen, beginnt die Zugriffsdauer des Produktanbieters, sobald Sie den Zugriff gewähren.
Wählen Sie Genehmigung anfordern aus, wenn Ihre Identität nicht über ausreichende Berechtigungen verfügt, damit der Produktanbieter die Onboarding-Verfahren in Ihrem Namen durchführen kann. Wählen Sie dann Genehmigungsanfrage erstellen aus. Wenn Sie diese Option auswählen, wird ein Link für eine temporäre Delegierungsanfrage erstellt, den Sie mit Ihrem Kontoadministrator teilen können. Ihr Administrator kann auf die AWS Management Console zugreifen oder den Zugriffslink zur Überprüfung temporärer Delegierungsanfragen verwenden, um die Anfrage zu genehmigen und dem Antragsteller den temporären Zugriff zur Verfügung zu stellen.
Anmerkung
Um dem Produktanbieter Zugriff zu gewähren, sind zwei Aktionen erforderlich: Annahme der Delegierungsanfrage (AcceptDelegationRequest) und Freigabe des Exchange-Token (SendDelegatedToken). Die AWS Management Console führt beide Schritte automatisch aus, wenn Sie eine Anfrage genehmigen. Wenn Sie die API AWS CLI oder verwenden, müssen Sie beide Schritte separat ausführen.
Fähigkeit zur Simulation von Berechtigungen — Beta
Wenn Sie eine temporäre Delegierungsanfrage erhalten, können Sie diese entweder selbst genehmigen oder sie zur Genehmigung an Ihren Kontoadministrator weiterleiten. Sie können Berechtigungen nur dann an einen Produktanbieter delegieren, wenn Sie über Berechtigungen für die Dienste und Aktionen verfügen, die in der temporären Delegierungsanfrage enthalten sind. Wenn Sie keinen Zugriff auf die angeforderten Dienste und Aktionen haben, erhält der Produktanbieter diese Berechtigungen auch dann nicht, wenn sie in der Anfrage enthalten sind.
Beispielsweise erfordert eine temporäre Delegierungsanfrage die Fähigkeit, einen Amazon S3 S3-Bucket zu erstellen, Instances in Amazon EC2 zu starten und zu beenden und eine IAM-Rolle zu übernehmen. Die Identität, die die Anfrage genehmigt, kann Instances in Amazon starten und stoppen und eine IAM-Rolle übernehmen EC2, hat aber keine Berechtigung, einen Amazon S3 S3-Bucket zu erstellen. Wenn diese Identität die Anfrage genehmigt, kann der Produktanbieter keinen Amazon S3 S3-Bucket erstellen, obwohl diese Berechtigungen in der temporären Delegierungsanfrage enthalten waren.
Da Sie nur Berechtigungen delegieren können, die Sie bereits besitzen, ist es wichtig, vor der Genehmigung zu prüfen, ob Sie über die angeforderten Berechtigungen verfügen. Die Beta-Funktion zur Berechtigungssimulation hilft bei dieser Bewertung, indem sie Ihre Berechtigungen mit denen vergleicht, die in der Anfrage enthalten sind. Aus der Bewertung geht hervor, ob Sie die Anfrage mit Ihrer aktuellen Identität genehmigen können oder ob Sie sie an einen Administrator weiterleiten müssen. Wenn durch die Analyse nicht bestätigt werden kann, dass Sie über ausreichende Berechtigungen verfügen, leiten Sie die Anfrage zur Prüfung an einen Administrator weiter. Diese Bewertung basiert auf einer simulierten Berechtigungsanalyse und kann von Ihrer AWS Live-Umgebung abweichen. Prüfen Sie daher die angeforderten Berechtigungen sorgfältig, bevor Sie fortfahren.
Nächste Schritte
Nachdem Sie eine temporäre Delegierungsanfrage gestellt haben, können Sie die Anfrage während ihres gesamten Lebenszyklus verwalten und überwachen. Die folgenden Verfahren helfen Ihnen dabei, den temporären Zugriff zu verfolgen, zu genehmigen und zu kontrollieren:
Temporäre Delegierungsanfragen überprüfen — Überwachen Sie den Status Ihrer Zugriffsanfragen und sehen Sie sich detaillierte Informationen zu Anträgen auf Genehmigung oder Ablehnung temporärer Delegierungsanfragen an.
Temporären Delegierungszugriff widerrufen — Beenden Sie aktive temporäre Delegierungssitzungen sofort, bevor sie auf natürliche Weise ablaufen.
