Deine Integration verstehen - AWS Identitäts- und Zugriffsverwaltung
1. Benutzererfahrung und Workflow-Design2. API-Integration3. Konfiguration und Orchestrierung von Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deine Integration verstehen

Nach Abschluss des Onboarding-Prozesses können Sie Ihre Integration mit der temporären IAM-Delegierung aufbauen. Eine vollständige Integration umfasst in der Regel drei Hauptkategorien von Aufgaben:

1. Benutzererfahrung und Workflow-Design

Schaffen Sie in der Partneranwendung ein Frontend-Erlebnis, das Kunden durch den temporären Delegierungsworkflow führt. Die Partneranwendung sollte:

  • Präsentieren Sie einen klaren Onboarding- oder Konfigurationsablauf, bei dem Kunden temporären Zugriff gewähren können. Benennen Sie diese Aktion deutlich, z. B. „Mit temporärer IAM-Delegierung bereitstellen“.

  • Leiten Sie Kunden über den von der API zurückgegebenen Konsolenlink zur AWS Management Console weiter, um die Delegierungsanfrage zu überprüfen und zu genehmigen CreateDelegationRequest

  • Geben Sie angemessene Nachrichten darüber, welche Berechtigungen angefordert werden und warum. Kunden können diese Nachricht auf der Seite mit den Details zur Delegierungsanfrage sehen.

  • Bearbeiten Sie die Rückkehr des Kunden zu Ihrem Antrag, nachdem er die Genehmigung in abgeschlossen hat AWS.

2. API-Integration

Verwenden Sie die temporäre IAM-Delegierung APIs , um Delegierungsanfragen zu senden und zu verwalten. Sobald Ihre AWS Konten registriert sind, können Sie auf Folgendes APIs zugreifen:

  • IAM CreateDelegationRequest — Erstellt eine Delegierungsanfrage für das AWS Konto eines Kunden. Diese API gibt einen Konsolenlink zurück, zu dem Sie Kunden weiterleiten, um die Anfrage zu überprüfen und zu genehmigen.

  • AWS STS GetDelegatedAccessToken— Ruft temporäre AWS Anmeldeinformationen ab, nachdem ein Kunde Ihre Delegierungsanfrage genehmigt hat. Verwenden Sie diese Anmeldeinformationen, um Aktionen im Kundenkonto durchzuführen.

Ihre Integration sollte den gesamten Lebenszyklus von Delegierungsanfragen abwickeln, einschließlich der Erstellung von Anfragen, der Überwachung ihres Status und des Abrufs temporärer Anmeldeinformationen, wenn sie genehmigt wurden.

3. Konfiguration und Orchestrierung von Ressourcen

Sobald Sie temporäre Anmeldeinformationen erhalten haben, orchestrieren Sie die erforderlichen Workflows, um die Ressourcen im Kundenkonto zu konfigurieren. AWS Dies kann Folgendes beinhalten:

  • APIs Direkter Aufruf des AWS Dienstes zur Erstellung und Konfiguration von Ressourcen

  • Bereitstellung der Infrastruktur mithilfe von AWS CloudFormation Vorlagen

  • Erstellung von IAM-Rollen für den laufenden Zugriff (erfordert die Verwendung von Berechtigungsgrenzen)

Ihre Orchestrierungslogik sollte idempotent sein und Fehler ordnungsgemäß behandeln, da Kunden ihre Delegierungsgenehmigungen möglicherweise erneut versuchen oder ändern müssen.