Descripción de la integración
Tras completar el proceso de incorporación, puede crear su integración con la delegación temporal de IAM. Una integración completa suele implicar tres categorías principales de trabajo:
1. Diseño del flujo de trabajo y la experiencia de usuario
Cree una experiencia de frontend en la aplicación del socio que guíe a los clientes a través del flujo de trabajo de la delegación temporal. La aplicación del socio debe:
Presentar un flujo claro de incorporación o configuración en el que los clientes puedan conceder acceso temporal. Etiquete esta acción de forma clara, como “Implementar con delegación temporal de IAM”.
Redirigir a los clientes a la Consola de administración de AWS para revisar y aprobar la solicitud de delegación mediante el enlace de la consola devuelto por la API CreateDelegationRequest
Proporcionar los mensajes adecuados sobre los permisos que se solicitan y por qué. Los clientes pueden ver este mensaje en la página de detalles de la solicitud de delegación.
Gestionar la devolución del cliente a su aplicación una vez que haya completado la aprobación en AWS.
2. Integración de la API
Utilice las API de delegación temporal de IAM para enviar y administrar las solicitudes de delegación. Cuando sus cuentas de AWS estén registradas, podrá acceder a las siguientes API:
IAM CreateDelegationRequest: crea una solicitud de delegación para la cuenta de AWS de un cliente. Esta API devuelve un enlace de la consola al que redirige a los clientes para que revisen y aprueben la solicitud.
AWS STS GetDelegatedAccessToken: recupera las credenciales temporales de AWS después de que un cliente apruebe su solicitud de delegación. Utilice estas credenciales para llevar a cabo acciones en la cuenta del cliente.
Su integración debe gestionar todo el ciclo de vida de las solicitudes de delegación, incluida la creación de las solicitudes, la supervisión de su estado y la recuperación de las credenciales temporales una vez aprobadas.
3. Configuración y orquestación de los recursos
Cuando obtenga las credenciales temporales, orqueste los flujos de trabajo necesarios para configurar los recursos en la cuenta de AWS del cliente. Esto puede incluir lo siguiente:
Llamar directamente a las API de servicios de AWS para crear y configurar recursos
Implementar la infraestructura mediante plantillas de AWS CloudFormation
Crear roles de IAM para el acceso continuo (requiere usar límites de permisos)
Su lógica de orquestación debe ser idempotente y gestionar los errores sin problemas, ya que es posible que los clientes tengan que volver a intentarlo o modificar sus aprobaciones de delegación.
