Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Délégation temporaire de l'IAM
Présentation de
La délégation temporaire accélère l'intégration et simplifie la gestion des produits Amazon et de AWS ses partenaires qui s'intègrent à vos AWS comptes. Au lieu de configurer manuellement plusieurs AWS services, vous pouvez déléguer des autorisations limitées temporaires qui permettent au fournisseur du produit d'effectuer les tâches de configuration en votre nom en quelques minutes grâce à des flux de travail de déploiement automatisés. Vous conservez le contrôle administratif en ce qui concerne les exigences d'approbation et les limites d'autorisation, tandis que les autorisations des fournisseurs de produits expirent automatiquement après la durée approuvée, sans qu'aucun nettoyage manuel ne soit nécessaire. Si le produit nécessite un accès permanent pour les opérations en cours, le fournisseur peut utiliser la délégation temporaire pour créer un rôle IAM avec une limite d'autorisation qui définit les autorisations maximales du rôle. Toutes les activités des fournisseurs de produits sont suivies à des AWS CloudTrail fins de surveillance de la conformité et de la sécurité.
Note
Les demandes de délégation temporaire ne peuvent être créées que par les produits Amazon et les AWS partenaires qualifiés qui ont terminé le processus d'intégration des fonctionnalités. Les clients examinent et approuvent ces demandes, mais ne peuvent pas les créer directement. Si vous êtes un AWS partenaire qui souhaite intégrer la délégation temporaire IAM à votre produit, consultez le Guide d'intégration des partenaires pour obtenir des instructions d'intégration et d'intégration.
Comment fonctionne la délégation temporaire
La délégation temporaire permet à Amazon et à AWS ses partenaires de demander un accès temporaire et limité à votre compte. Après votre approbation, ils peuvent utiliser des autorisations déléguées pour prendre des mesures en votre nom. Les demandes de délégation définissent les autorisations spécifiques relatives aux AWS services et aux actions dont le fournisseur du produit a besoin pour déployer ou configurer les ressources de votre AWS compte. Ces autorisations ne sont disponibles que pour une durée limitée et expirent automatiquement après la durée spécifiée dans la demande.
Note
La durée maximale de l'accès délégué est de 12 heures. Toutefois, les utilisateurs root ne peuvent approuver que les demandes de délégation d'une durée inférieure ou égale à 4 heures. Si une demande indique plus de 4 heures, vous devez utiliser une identité autre que root pour approuver la demande. Pour plus de détails, consultez la section Fonctionnalité bêta de simulation des autorisations.
Pour les tâches en cours, telles que la lecture depuis un compartiment Amazon S3, les demandes de délégation peuvent inclure la création d'un rôle IAM qui permet un accès continu aux ressources et aux actions après l'expiration de l'accès temporaire. Les fournisseurs de produits doivent associer une limite d'autorisation à tout rôle IAM créé par le biais d'une délégation temporaire. Les limites d'autorisation limitent les autorisations maximales d'un rôle, mais n'accordent pas d'autorisations à elles seules. Vous pouvez consulter la limite d'autorisation dans le cadre de la demande avant de l'approuver. Pour plus de détails, consultez la section Limites des autorisations.
Le processus fonctionne comme suit :
Vous vous connectez à un produit Amazon ou AWS partenaire pour l'intégrer à votre AWS environnement.
Le fournisseur du produit lance une demande de délégation en votre nom et vous redirige vers la console de AWS gestion.
Vous passez en revue les autorisations demandées et déterminez s'il convient d'approuver, de refuser ou de transmettre la demande à votre administrateur.
Une fois que vous ou votre administrateur avez approuvé la demande, le fournisseur du produit peut obtenir les informations d'identification temporaires de l'approbateur pour effectuer les tâches requises.
L'accès du fournisseur de produits expire automatiquement après la période spécifiée. Cependant, tout rôle IAM créé par le biais de la demande de délégation temporaire est conservé au-delà de cette période, ce qui permet au fournisseur du produit de continuer à accéder aux ressources et aux actions pour les tâches de gestion en cours.
Note
Vous ne pouvez déléguer des autorisations à un fournisseur de produits que si vous êtes autorisé à accéder aux services et aux actions inclus dans la demande de délégation temporaire. Si vous n'avez pas accès aux services et aux actions demandés, le fournisseur du produit ne reçoit pas ces autorisations lorsque vous approuvez la demande.
Si la vérification des autorisations indique qu'elle est susceptible de réussir, vous pouvez approuver la demande de délégation temporaire et poursuivre le flux de travail.
Si la vérification des autorisations indique que vous ne disposez peut-être pas des autorisations suffisantes, transmettez la demande à votre administrateur pour approbation. Nous vous recommandons d'informer votre administrateur de cette demande en utilisant la méthode que vous préférez, telle qu'un e-mail ou un ticket.
Une fois que votre administrateur a approuvé la demande, la suite dépend de la configuration du fournisseur du produit :
Si le fournisseur du produit a demandé un accès immédiat, il reçoit automatiquement des autorisations temporaires et la durée d'accès commence à courir.
Si le fournisseur du produit a demandé la libération par le propriétaire (destinataire initial), vous devez revenir à la demande de partage explicite de l'accès temporaire au compte avant le début de la durée d'accès. Les fournisseurs de produits utilisent généralement cette option lorsqu'ils ont besoin d'informations supplémentaires de votre part, telles que la sélection des ressources ou les détails de configuration, pour effectuer la tâche requise.
Gestion des autorisations pour les demandes de délégation
Les administrateurs peuvent accorder aux principaux IAM des autorisations leur permettant de gérer les demandes de délégation des fournisseurs de produits. Cela est utile lorsque vous souhaitez déléguer le pouvoir d'approbation à des utilisateurs ou à des équipes spécifiques de votre organisation, ou lorsque vous devez contrôler qui peut effectuer des actions spécifiques sur les demandes de délégation.
Les autorisations IAM suivantes sont disponibles pour gérer les demandes de délégation :
| Autorisations | Description |
|---|---|
| iam : AssociateDelegationRequest | Associer une demande de délégation non attribuée à votre compte AWS |
| iam : GetDelegationRequest | Afficher les détails d'une demande de délégation |
| iam : UpdateDelegationRequest | Transférer une demande de délégation à un administrateur pour approbation |
| iam : AcceptDelegationRequest | Approuver une demande de délégation |
| iam : SendDelegationToken | Communiquez le jeton d'échange au fournisseur du produit après approbation |
| iam : RejectDelegationRequest | Refuser une demande de délégation |
| iam : ListDelegationRequests | Répertoriez les demandes de délégation pour votre compte |
Note
Par défaut, les responsables IAM qui initient une demande de délégation sont automatiquement autorisés à gérer cette demande spécifique. Ils peuvent l'associer à leur compte, consulter les détails de la demande, rejeter une demande, la transmettre à un administrateur pour approbation, communiquer le jeton d'échange au fournisseur du produit après approbation de l'administrateur et répertorier les demandes de délégation dont ils sont propriétaires.
