Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Délégation temporaire de l'IAM
## Présentation de
La délégation temporaire accélère l'intégration et simplifie la gestion des produits Amazon et de AWS ses partenaires qui s'intègrent à vos AWS comptes. Au lieu de configurer manuellement plusieurs AWS services, vous pouvez déléguer des autorisations limitées temporaires qui permettent au fournisseur du produit d'effectuer les tâches de configuration en votre nom en quelques minutes grâce à des flux de travail de déploiement automatisés. Vous conservez le contrôle administratif en ce qui concerne les exigences d'approbation et les limites d'autorisation, tandis que les autorisations des fournisseurs de produits expirent automatiquement après la durée approuvée, sans qu'aucun nettoyage manuel ne soit nécessaire. Si le produit nécessite un accès permanent pour les opérations en cours, le fournisseur peut utiliser la délégation temporaire pour créer un rôle IAM avec une limite d'autorisation qui définit les autorisations maximales du rôle. Toutes les activités des fournisseurs de produits sont suivies à des AWS CloudTrail fins de surveillance de la conformité et de la sécurité.
**Note**
Les demandes de délégation temporaire ne peuvent être créées que par les produits Amazon et les AWS partenaires qualifiés qui ont terminé le processus d'intégration des fonctionnalités. Les clients examinent et approuvent ces demandes, mais ne peuvent pas les créer directement. Si vous êtes un AWS partenaire qui souhaite intégrer la délégation temporaire IAM à votre produit, consultez le [Guide d'intégration des partenaires pour obtenir des instructions d'intégration](access_policies-temporary-delegation-partner-guide.md) et d'intégration.
## Comment fonctionne la délégation temporaire
La délégation temporaire permet à Amazon et à AWS ses partenaires de demander un accès temporaire et limité à votre compte. Après votre approbation, ils peuvent utiliser des autorisations déléguées pour prendre des mesures en votre nom. Les demandes de délégation définissent les autorisations spécifiques relatives aux AWS services et aux actions dont le fournisseur du produit a besoin pour déployer ou configurer les ressources de votre AWS compte. Ces autorisations ne sont disponibles que pour une durée limitée et expirent automatiquement après la durée spécifiée dans la demande.
**Note**
La durée maximale de l'accès délégué est de 12 heures. Toutefois, les utilisateurs root ne peuvent approuver que les demandes de délégation d'une durée inférieure ou égale à 4 heures. Si une demande indique plus de 4 heures, vous devez utiliser une identité autre que root pour approuver la demande. Pour plus de détails, consultez la section [Fonctionnalité bêta de simulation des autorisations](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).
Pour les tâches en cours, telles que la lecture depuis un compartiment Amazon S3, les demandes de délégation peuvent inclure la création d'un rôle IAM qui permet un accès continu aux ressources et aux actions après l'expiration de l'accès temporaire. Les fournisseurs de produits doivent associer une limite d'autorisation à tout rôle IAM créé par le biais d'une délégation temporaire. Les limites d'autorisation limitent les autorisations maximales d'un rôle, mais n'accordent pas d'autorisations à elles seules. Vous pouvez consulter la limite d'autorisation dans le cadre de la demande avant de l'approuver. Pour plus de détails, consultez la section [Limites des autorisations](access_policies_boundaries.md).
Le processus fonctionne comme suit :
1. Vous vous connectez à un produit Amazon ou AWS partenaire pour l'intégrer à votre AWS environnement.
1. Le fournisseur du produit lance une demande de délégation en votre nom et vous redirige vers la console de AWS gestion.
1. Vous passez en revue les autorisations demandées et déterminez s'il convient d'approuver, de refuser ou de transmettre la demande à votre administrateur.
1. Une fois que vous ou votre administrateur avez approuvé la demande, le fournisseur du produit peut obtenir les informations d'identification temporaires de l'approbateur pour effectuer les tâches requises.
1. L'accès du fournisseur de produits expire automatiquement après la période spécifiée. Cependant, tout rôle IAM créé par le biais de la demande de délégation temporaire est conservé au-delà de cette période, ce qui permet au fournisseur du produit de continuer à accéder aux ressources et aux actions pour les tâches de gestion en cours.
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/delegation-flow.png)
**Note**
Vous ne pouvez déléguer des autorisations à un fournisseur de produits que si vous êtes autorisé à accéder aux services et aux actions inclus dans la demande de délégation temporaire. Si vous n'avez pas accès aux services et aux actions demandés, le fournisseur du produit ne reçoit pas ces autorisations lorsque vous approuvez la demande.
Si la vérification des autorisations indique qu'elle est susceptible de réussir, vous pouvez approuver la demande de délégation temporaire et poursuivre le flux de travail.
Si la vérification des autorisations indique que vous ne disposez peut-être pas des autorisations suffisantes, transmettez la demande à votre administrateur pour approbation. Nous vous recommandons d'informer votre administrateur de cette demande en utilisant la méthode que vous préférez, telle qu'un e-mail ou un ticket.
Une fois que votre administrateur a approuvé la demande, la suite dépend de la configuration du fournisseur du produit :
+ Si le fournisseur du produit a demandé un accès immédiat, il reçoit automatiquement des autorisations temporaires et la durée d'accès commence à courir.
+ Si le fournisseur du produit a demandé la libération par le propriétaire (destinataire initial), vous devez revenir à la demande de partage explicite de l'accès temporaire au compte avant le début de la durée d'accès. Les fournisseurs de produits utilisent généralement cette option lorsqu'ils ont besoin d'informations supplémentaires de votre part, telles que la sélection des ressources ou les détails de configuration, pour effectuer la tâche requise.
# Lancer une demande de délégation temporaire
Vous pouvez lancer une demande de délégation temporaire uniquement à partir de produits Amazon ou AWS partenaires compatibles. Au cours d'un flux de travail qui prend en charge la délégation temporaire, vous serez invité à accorder au fournisseur du produit des autorisations limitées temporaires pour configurer les AWS ressources requises dans votre compte. Cette approche automatisée fournit une expérience plus rationalisée en vous évitant de configurer ces ressources manuellement.
Vous pouvez consulter les détails des demandes de délégation, tels que les rôles, politiques et AWS services IAM spécifiques dont le fournisseur de produits a besoin avant d'accorder l'accès. Vous pouvez soit approuver la demande vous-même si vous disposez des autorisations suffisantes, soit la transmettre à l'administrateur de votre compte pour approbation. Tous les accès des fournisseurs de produits sont limités dans le temps et peuvent être surveillés et révoqués selon les besoins.
**Pour lancer une demande de délégation temporaire**
1. Accédez à la console d'un produit pris en charge par Amazon ou AWS ses partenaires qui nécessite une intégration à votre AWS compte.
1. Sélectionnez *Déployer avec délégation temporaire IAM*. Notez que le nom de l'option peut varier selon les produits pris en charge. Reportez-vous à la documentation du fournisseur du produit pour plus de détails.
**Note**
Si vous n'êtes pas encore connecté à la console AWS de gestion, une nouvelle fenêtre s'ouvre sur la page de AWS connexion. Nous vous recommandons de vous connecter à votre AWS compte avant de lancer la demande de délégation temporaire depuis la console du produit. Pour plus d'informations sur la procédure de connexion en fonction de votre type d'utilisateur et des AWS ressources auxquelles vous souhaitez accéder, consultez le [guide de l'utilisateur de AWS connexion](docs---aws.amazon.com.rproxy.govskope.casignin/latest/userguide/what-is-sign-in.html).
1. Vérifiez les détails de la demande pour confirmer le nom du produit et le AWS compte du fournisseur du produit. Vous pouvez également vérifier l' AWS identité que le fournisseur du produit utilisera pour effectuer des actions en votre nom.
1. Passez en revue les *détails d'accès* pour les autorisations qui seront temporairement déléguées en approuvant cette demande.
+ La section *Récapitulatif des autorisations* fournit une vue d'ensemble de haut niveau générée par l'IA qui peut vous aider à comprendre quelles catégories de AWS services sont accessibles et quels types d'actions peuvent être effectuées dans chaque service.
+ Choisissez *View JSON* pour consulter les autorisations spécifiques que le fournisseur du produit doit déployer dans votre AWS compte, notamment l'étendue d'accès et les limites de ressources.
+ Si le fournisseur du produit crée un rôle IAM dans le cadre d'une demande de délégation temporaire, une limite d'autorisation doit être attachée au rôle. Ces rôles IAM disposent d'autorisations qui continuent à autoriser l'accès aux ressources et aux actions après l'expiration de la durée d'accès demandée. Choisissez *Afficher les détails* pour passer en revue la limite d'autorisation, qui définit les autorisations maximales que le rôle peut avoir. Le fournisseur du produit appliquera des politiques supplémentaires au rôle lors de sa création afin de définir ses autorisations réelles. Ces politiques peuvent sembler plus ciblées ou plus larges que les limites, selon la façon dont le fournisseur du produit les définit. Cependant, la limite d'autorisation garantit que les autorisations effectives du rôle ne dépasseront jamais ce que vous voyez lors de l'approbation de la demande, quelles que soient les politiques associées au rôle. Pour plus d'informations, consultez la section [Limites des autorisations](access_policies_boundaries.md).
1. Passez en revue les résultats de la simulation des autorisations. La fonctionnalité de simulation des autorisations évalue automatiquement les autorisations de votre identité par rapport à celles incluses dans la demande. Sur la base de cette analyse, une recommandation s'affiche indiquant s'il convient d'approuver la demande avec votre identité actuelle ou de la transmettre à un administrateur. Pour plus de détails, consultez la section [Fonctionnalité bêta de simulation des autorisations](#temporary-delegation-permission-simulation).
1. Dans la boîte de dialogue, sélectionnez la manière dont vous souhaitez procéder.
+ Sélectionnez *Autoriser l'accès* lorsque votre identité dispose d'autorisations suffisantes pour permettre au fournisseur du produit d'effectuer les procédures d'intégration en votre nom. Lorsque vous sélectionnez cette option, la durée d'accès du fournisseur du produit commence une fois que vous avez fourni l'accès.
+ Sélectionnez *Demander une approbation* si votre identité ne dispose pas des autorisations suffisantes pour permettre au fournisseur du produit d'effectuer les procédures d'intégration en votre nom. Choisissez ensuite *Créer une demande d'approbation*. Lorsque vous sélectionnez cette option, un lien de demande de délégation temporaire est créé que vous pouvez partager avec l'administrateur de votre compte. Votre administrateur peut accéder à la console AWS de gestion ou utiliser le lien d'accès pour examiner les demandes de délégation temporaire afin d'approuver la demande et de partager l'accès temporaire avec le demandeur.
**Note**
L'octroi de l'accès au fournisseur de produits nécessite deux actions : accepter la demande de délégation (`AcceptDelegationRequest`) et libérer le jeton d'échange (`SendDelegatedToken`). La console AWS de gestion exécute les deux étapes automatiquement lorsque vous approuvez une demande. Si vous utilisez l'API AWS CLI or, vous devez exécuter les deux étapes séparément.
## Fonctionnalité de simulation des autorisations -bêta
Lorsque vous recevez une demande de délégation temporaire, vous pouvez l'approuver vous-même ou la transmettre à l'administrateur de votre compte pour approbation. Vous ne pouvez déléguer des autorisations à un fournisseur de produits que si vous êtes autorisé à accéder aux services et aux actions inclus dans la demande de délégation temporaire. Si vous n'avez pas accès aux services et aux actions demandés, le fournisseur du produit ne recevra pas ces autorisations, même si elles sont incluses dans la demande.
Par exemple, une demande de délégation temporaire nécessite la capacité de créer un compartiment Amazon S3, de démarrer et d'arrêter des instances dans Amazon EC2 et d'assumer un rôle IAM. L'identité qui approuve la demande peut démarrer et arrêter des instances dans Amazon EC2 et assumer un rôle IAM, mais n'est pas autorisée à créer un compartiment Amazon S3. Lorsque cette identité approuve la demande, le fournisseur du produit n'est pas en mesure de créer un compartiment Amazon S3 même si ces autorisations ont été incluses dans la demande de délégation temporaire.
Comme vous ne pouvez déléguer que les autorisations que vous possédez déjà, il est essentiel d'évaluer si vous disposez des autorisations demandées avant de les approuver. La fonctionnalité bêta de simulation des autorisations facilite cette évaluation en comparant vos autorisations à celles incluses dans la demande. L'évaluation indique si vous pouvez approuver la demande avec votre identité actuelle ou si vous devez la transmettre à un administrateur. Si l'analyse ne permet pas de confirmer que vous disposez des autorisations suffisantes, transmettez la demande à un administrateur pour examen. Cette évaluation est basée sur une analyse des autorisations simulée et peut différer de votre AWS environnement réel. Vérifiez donc attentivement les autorisations demandées avant de continuer.
## Étapes suivantes
Après avoir lancé une demande de délégation temporaire, vous pouvez gérer et surveiller la demande tout au long de son cycle de vie. Les procédures suivantes vous permettent de suivre, d'approuver et de contrôler l'accès temporaire :
+ [Examiner les demandes de délégation temporaire](temporary-delegation-review-requests.md) : surveillez l'état de vos demandes d'accès et consultez des informations détaillées sur les demandes d'approbation ou de refus des demandes de délégation temporaire.
+ [Révoquer l'accès à la délégation temporaire](temporary-delegation-revoke-access.md) : mettez fin immédiatement aux sessions de délégation temporaires actives avant qu'elles n'expirent naturellement.
# Examiner les demandes de délégation temporaire
Après avoir lancé une demande de délégation temporaire, vous pouvez surveiller, approuver et rejeter les demandes dans la console IAM. La page Demandes de délégation temporaire fournit une vue centralisée de toutes les demandes, y compris celles en attente d'approbation, terminées ou rejetées. En tant qu'administrateur, vous pouvez examiner ces demandes pour accorder aux fournisseurs de produits l'accès aux AWS ressources ou les rejeter en fonction des politiques de sécurité, des exigences commerciales ou des normes de conformité de votre organisation. Cette visibilité vous permet de suivre le cycle de vie de l'accès des fournisseurs de produits et de contrôler les autorisations temporaires.
**Note**
Vous devez disposer de l'AcceptDelegationRequest autorisation iam : pour approuver les demandes de délégation temporaire.
**Pour approuver une demande de délégation temporaire**
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/ l'adresse.
1. Dans le volet de navigation de gauche, sélectionnez *Demandes de délégation temporaires*.
1. La page principale affiche la liste de vos demandes de délégation temporaire avec les informations suivantes :
+ *ID de demande* — Identifiant unique de la demande
+ *État* — État actuel (En attente, approuvé, rejeté, partagé, expiré)
+ *Demandeur : fournisseur du produit associé à la demande*
+ *Initié par* : le responsable IAM du compte qui a initié la demande pour le fournisseur du produit
+ *Demande créée* — Quand la demande a été soumise
+ *Expiration de la demande : date* à laquelle la demande a expiré ou expirera
1. (Facultatif) Utilisez les options de filtrage pour afficher les demandes par statut :
+ *Toutes les demandes* — Consultez toutes vos demandes, quel que soit leur statut
+ *En attente* — Afficher les demandes en attente d'approbation de l'administrateur
+ *Approuvé* — Afficher les demandes approuvées
+ *Partagé* — Afficher les demandes pour lesquelles l'accès a été partagé
+ *Rejeté* — Afficher les demandes rejetées avec les raisons du rejet
1. Pour afficher des informations détaillées sur une demande spécifique ou pour examiner une demande d'approbation en attente, choisissez l'ID de la demande.
1. Consultez les informations détaillées de la demande :
+ Informations sur le fournisseur du produit
+ Motif et justification de la demande
+ Durée demandée
+ AWS Autorisations demandées
1. Si vous êtes administrateur et que vous examinez une demande en attente, choisissez l'une des options suivantes :
+ Pour approuver la demande, choisissez *Approuver*. Dans la boîte de dialogue d'approbation, vous pouvez consulter les résultats de la simulation des autorisations. Pour plus d'informations, consultez la section [Fonctionnalité bêta de simulation des autorisations](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Après avoir confirmé la durée de l'accès et votre AWS identité, choisissez *Approuver* pour accorder l'accès. Si le fournisseur du produit demande un accès immédiat, il reçoit automatiquement des autorisations temporaires et la durée d'accès commence à courir. Sinon, informez la personne à l'origine de la demande de libérer l'accès au fournisseur du produit.
+ Pour rejeter la demande, choisissez *Refuser*.
+ Dans la boîte de dialogue de rejet, indiquez clairement le motif du rejet afin d'aider le demandeur à comprendre pourquoi sa demande a été refusée.
+ Choisissez *Refuser* pour refuser l'accès.
1. La liste des demandes est automatiquement actualisée pour afficher les informations d'état les plus récentes. Vous pouvez également actualiser manuellement la page pour vérifier les mises à jour de statut.
# Révoquer l'accès à la délégation temporaire
Bien que les sessions d'accès des fournisseurs de produits soient conçues pour expirer automatiquement après leur durée approuvée, vous devrez peut-être résilier immédiatement l'accès dans certaines situations. La révocation de l'accès actif au fournisseur de produits fournit un mécanisme de contrôle d'urgence lorsque des problèmes de sécurité surviennent, lorsque le travail du fournisseur de produits est terminé plus tôt que prévu ou lorsque les exigences commerciales changent. Les initiateurs de demandes et les administrateurs peuvent révoquer l'accès pour maintenir la sécurité et le contrôle opérationnel.
**Pour révoquer l'accès à une délégation temporaire**
1. Connectez-vous à la console de AWS gestion et ouvrez la console IAM à https://console.aws.amazon.com/iam/ l'adresse.
1. Dans le volet de navigation de gauche, choisissez *Demandes de délégation temporaires*.
1. Recherchez l'ID de demande pour la session d'accès que vous souhaitez révoquer.
1. Choisissez *Actions*, puis *Révoquer l'accès*.
1. Dans la boîte de dialogue, choisissez *Révoquer l'accès* pour confirmer que vous souhaitez mettre fin immédiatement à la session d'accès.
Après avoir révoqué l'accès, le fournisseur du produit ne pourra plus accéder à vos AWS ressources. La révocation est enregistrée à des AWS CloudTrail fins d'audit.
**Important**
La révocation de l'accès met immédiatement fin à la session d'accès du fournisseur du produit. Tout travail ou processus en cours utilisant l'accès sera interrompu. Assurez-vous que la révocation ne perturbera pas les opérations critiques.
**Note**
Vous ne pouvez pas révoquer l'accès pour les demandes approuvées par un utilisateur root. AWS recommande d'éviter d'utiliser un utilisateur root pour approuver les demandes de délégation. Utilisez plutôt un rôle IAM doté des autorisations appropriées.
## Gestion des autorisations pour les demandes de délégation
Les administrateurs peuvent accorder aux principaux IAM des autorisations leur permettant de gérer les demandes de délégation des fournisseurs de produits. Cela est utile lorsque vous souhaitez déléguer le pouvoir d'approbation à des utilisateurs ou à des équipes spécifiques de votre organisation, ou lorsque vous devez contrôler qui peut effectuer des actions spécifiques sur les demandes de délégation.
Les autorisations IAM suivantes sont disponibles pour gérer les demandes de délégation :
| Autorisations | Description |
| --- | --- |
| iam : AssociateDelegationRequest | Associer une demande de délégation non attribuée à votre compte AWS |
| iam : GetDelegationRequest | Afficher les détails d'une demande de délégation |
| iam : UpdateDelegationRequest | Transférer une demande de délégation à un administrateur pour approbation |
| iam : AcceptDelegationRequest | Approuver une demande de délégation |
| iam : SendDelegationToken | Communiquez le jeton d'échange au fournisseur du produit après approbation |
| iam : RejectDelegationRequest | Refuser une demande de délégation |
| iam : ListDelegationRequests | Répertoriez les demandes de délégation pour votre compte |
**Note**
Par défaut, les responsables IAM qui initient une demande de délégation sont automatiquement autorisés à gérer cette demande spécifique. Ils peuvent l'associer à leur compte, consulter les détails de la demande, rejeter une demande, la transmettre à un administrateur pour approbation, communiquer le jeton d'échange au fournisseur du produit après approbation de l'administrateur et répertorier les demandes de délégation dont ils sont propriétaires.
# Notifications
La délégation temporaire IAM s'intègre aux notifications AWS utilisateur pour vous aider à rester informé des modifications de l'état des demandes de délégation. Les notifications sont particulièrement utiles pour les administrateurs qui doivent examiner et approuver les demandes de délégation.
Grâce aux notifications AWS utilisateur, vous pouvez configurer les alertes à diffuser via plusieurs canaux, notamment le courrier électronique, Amazon Simple Notification Service (SNS), le AWS Chatbot pour Slack ou Microsoft Teams et l'Application Console Mobile. AWS Cela garantit que les bonnes personnes sont informées au bon moment, ce qui permet de répondre plus rapidement aux approbations en attente ou de prendre connaissance des modifications d'accès. Vous pouvez également personnaliser les événements qui déclenchent des notifications en fonction des besoins et des exigences de sécurité de votre organisation.
## Événements de notification disponibles
Vous pouvez vous abonner pour recevoir des notifications concernant les événements de délégation temporaire IAM suivants :
+ Demande de délégation temporaire IAM créée
+ Demande de délégation temporaire IAM attribuée
+ Demande de délégation temporaire IAM en attente d'approbation
+ Demande de délégation temporaire IAM rejetée
+ Demande de délégation temporaire IAM acceptée
+ Demande de délégation temporaire IAM finalisée
+ Demande de délégation temporaire IAM expirée
## Configuration des notifications
Pour configurer les notifications pour les événements de délégation temporaire IAM :
1. Ouvrez la console de notifications AWS utilisateur
1. Création ou mise à jour d'une configuration de notification
1. Sélectionnez AWS IAM comme service
1. Choisissez les événements relatifs à la demande de délégation dont vous souhaitez être informé
1. Configurez vos canaux de diffusion (e-mail, AWS Chatbot, etc.)
Pour obtenir des instructions détaillées sur la configuration des notifications AWS utilisateur, y compris la configuration des canaux de diffusion et la gestion des règles de notification, consultez la documentation relative aux notifications AWS utilisateur.
# CloudTrail
Toutes les actions effectuées par les fournisseurs de produits à l'aide d'un accès délégué temporaire sont automatiquement enregistrées AWS CloudTrail. Cela fournit une visibilité et une auditabilité complètes de l'activité des fournisseurs de produits sur votre AWS compte. Vous pouvez identifier les actions entreprises par les fournisseurs de produits, le moment où elles se sont produites et le compte du fournisseur de produits qui les a effectuées.
Pour vous aider à faire la distinction entre les actions entreprises par vos propres responsables IAM et celles prises par les fournisseurs de produits disposant d'un accès délégué, les CloudTrail événements incluent un nouveau champ appelé `invokedByDelegate` sous l'`userIdentity`élément. Ce champ contient l'identifiant de AWS compte du fournisseur du produit, ce qui permet de filtrer et d'auditer facilement toutes les actions déléguées.
## CloudTrail Structure de l'événement
L'exemple suivant montre un CloudTrail événement lié à une action effectuée par un fournisseur de produits à l'aide d'un accès délégué temporaire :
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Le `invokedByDelegate` champ contient l'identifiant de AWS compte du fournisseur du produit qui a effectué l'action à l'aide de l'accès délégué. Dans cet exemple, le compte 444455556666 (le fournisseur du produit) a effectué une action dans le compte 111122223333 (le compte client).