Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Délégation temporaire de l'IAM pour les partenaires AWS
Présentation de
La délégation temporaire IAM permet aux AWS clients d' and/or intégrer facilement les produits AWS partenaires dans leur AWS environnement grâce à des flux de travail interactifs et guidés. Les clients peuvent accorder aux AWS partenaires un accès temporaire limité pour configurer les AWS services requis, réduisant ainsi les difficultés liées à l'intégration et accélérant le délai de rentabilisation.
La délégation temporaire IAM permet aux partenaires de :
Simplifiez l'intégration des clients grâce au provisionnement automatisé des ressources
Réduisez la complexité de l'intégration en éliminant les étapes de configuration manuelles
Instaurez la confiance grâce à des autorisations transparentes approuvées par le client
Permettre des opérations continues avec des modèles d'accès à long terme en utilisant des limites d'autorisation
Comment ça marche
Le partenaire crée une demande de délégation - Les partenaires créent une demande en spécifiant les autorisations dont ils ont besoin et pour combien de temps
Avis clients dans AWS la console : le client voit exactement quelles autorisations le partenaire demande et pourquoi
Approbation du client : le client approuve la demande et libère un jeton d'échange. Le jeton est envoyé au partenaire sur cette rubrique SNS spécifiée.
Le partenaire reçoit des informations d'identification temporaires - Les partenaires échangent le jeton contre des AWS informations d'identification temporaires
Le partenaire configure les ressources - Les partenaires utilisent les informations d'identification pour configurer les ressources requises dans le compte du client
Qualification des partenaires
Pour bénéficier de l'intégration par délégation temporaire, un partenaire doit satisfaire aux exigences suivantes :
Participation à ISV Accelerate — Vous devez être inscrit au programme ISV Accelerate (ISVA
). AWS Mise en vente sur le Marketplace : votre produit doit être mis en AWS vente sur le Marketplace avec un badge « AWS Deployed on ».
Processus d'intégration
Procédez comme suit pour intégrer la délégation temporaire dans votre produit :
Étape 1 : Réviser les exigences
Consultez cette documentation pour comprendre les exigences de qualification et remplissez le questionnaire destiné aux partenaires ci-dessous.
Étape 2 : Soumettez votre demande d'intégration
Envoyez un e-mail à aws-iam-partner-onboarding @amazon .com ou contactez votre AWS représentant. Incluez votre questionnaire destiné aux partenaires dûment rempli avec tous les champs obligatoires du tableau ci-dessous.
Étape 3 : AWS validation et révision
AWS sera :
Validez que vous répondez aux critères de qualification
Passez en revue vos modèles de politiques et vos limites d'autorisation
Donnez votre avis sur les artefacts que vous avez soumis
Étape 4 : Affinez vos politiques
Répondez aux AWS commentaires et soumettez des modèles de politiques ou des limites d'autorisation mis à jour selon les besoins.
Étape 5 : Compléter l'enregistrement
Une fois approuvé, AWS il devra :
Activez l'accès à l'API pour les comptes que vous avez spécifiés
Partagez ARNs pour votre modèle de politique et votre limite d'autorisations (le cas échéant)
Vous recevrez une confirmation lorsque l'intégration sera terminée. Vous pouvez ensuite accéder à la délégation temporaire APIs, CreateDelegationRequest GetDelegatedAccessToken depuis vos comptes enregistrés, et commencer à intégrer les flux de travail des demandes de délégation dans votre produit.
Questionnaire aux partenaires
Le tableau suivant répertorie les informations requises pour l'intégration des partenaires :
| Informations | Description | Obligatoire |
|---|---|---|
| Partner Central AccountID | Numéro de compte de votre AWS compte enregistré sur AWS Partner Central |
Oui |
| PartnerId | ID de partenaire fourni par AWS Partner Central |
Non |
| AWS Identifiant du produit Marketplace | Identifiant de produit pour votre produit fourni par AWS Partner Central |
Oui |
| AWS accountIDs | La liste de votre AWS compte IDs que vous souhaitez utiliser pour appeler la délégation temporaire APIs. Cela doit inclure à la fois vos comptes de production et vos comptes hors production/test. | Oui |
| Nom du partenaire | Ce nom est affiché aux clients dans la console AWS de gestion lorsqu'ils examinent votre demande de délégation temporaire. | Oui |
| Email (s) de contact | Une ou plusieurs adresses e-mail que nous pouvons utiliser pour vous contacter au sujet de votre intégration. | Oui |
| Domaine du demandeur | Votre domaine (par exemple, www.example.com) | Oui |
| Description de l'intégration | Brève description du cas d'utilisation que vous souhaitez traiter à l'aide de cette fonctionnalité. Vous pouvez inclure des liens de référence vers votre documentation ou d'autres documents publics. | Oui |
| Diagramme d’architecture | Schéma d'architecture illustrant vos cas d'utilisation de l'intégration. | Non |
| Modèle de stratégie | Vous devez enregistrer au moins un modèle de politique pour cette fonctionnalité. Le modèle de politique définit les autorisations temporaires que vous souhaitez demander pour les AWS comptes des clients. Pour plus d'informations, consultez la section Modèle de politique. | Oui |
| Nom du modèle de politique | Nom du modèle de politique que vous souhaitez enregistrer. | Oui |
| Limite d'autorisations | Si vous souhaitez créer des rôles IAM dans les comptes des clients à l'aide d'autorisations temporaires, vous devez enregistrer une limite d'autorisation auprès d'IAM. Des limites d'autorisation seront associées aux rôles IAM que vous créez afin de limiter le maximum d'autorisations sur le rôle. Vous pouvez utiliser les politiques AWS gérées sélectionnées comme limite d'autorisation ou enregistrer une nouvelle limite d'autorisation personnalisée (JSON). Pour plus d'informations, consultez la section Limite des autorisations. | Non |
| Nom de la limite d'autorisation | Le nom de votre limite d'autorisation. <partner_domain><policy_name><date>Le format est le suivant : arn:aws:iam : :partner:policy/permission_boundary//_ Le nom de la politique doit inclure la date de création sous forme de suffixe. Le nom ne peut pas être mis à jour une fois la limite d'autorisation créée. Si vous utilisez une stratégie AWS gérée existante, fournissez plutôt l'ARN de la politique gérée. | Non |
| Description des limites d'autorisation | Description de la limite d'autorisation. Cette description ne peut pas être mise à jour une fois la limite d'autorisation créée. | Non |
