Lancer une demande de délégation temporaire - AWS Identity and Access Management
Fonctionnalité de simulation des autorisations -bêtaÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Lancer une demande de délégation temporaire

Vous pouvez lancer une demande de délégation temporaire uniquement à partir de produits Amazon ou AWS partenaires compatibles. Au cours d'un flux de travail qui prend en charge la délégation temporaire, vous serez invité à accorder au fournisseur du produit des autorisations limitées temporaires pour configurer les AWS ressources requises dans votre compte. Cette approche automatisée fournit une expérience plus rationalisée en vous évitant de configurer ces ressources manuellement.

Vous pouvez consulter les détails des demandes de délégation, tels que les rôles, politiques et AWS services IAM spécifiques dont le fournisseur de produits a besoin avant d'accorder l'accès. Vous pouvez soit approuver la demande vous-même si vous disposez des autorisations suffisantes, soit la transmettre à l'administrateur de votre compte pour approbation. Tous les accès des fournisseurs de produits sont limités dans le temps et peuvent être surveillés et révoqués selon les besoins.

Pour lancer une demande de délégation temporaire

  1. Accédez à la console d'un produit pris en charge par Amazon ou AWS ses partenaires qui nécessite une intégration à votre AWS compte.

  2. Sélectionnez Déployer avec délégation temporaire IAM. Notez que le nom de l'option peut varier selon les produits pris en charge. Reportez-vous à la documentation du fournisseur du produit pour plus de détails.

    Note

    Si vous n'êtes pas encore connecté à la console AWS de gestion, une nouvelle fenêtre s'ouvre sur la page de AWS connexion. Nous vous recommandons de vous connecter à votre AWS compte avant de lancer la demande de délégation temporaire depuis la console du produit. Pour plus d'informations sur la procédure de connexion en fonction de votre type d'utilisateur et des AWS ressources auxquelles vous souhaitez accéder, consultez le guide de l'utilisateur de AWS connexion.

  3. Vérifiez les détails de la demande pour confirmer le nom du produit et le AWS compte du fournisseur du produit. Vous pouvez également vérifier l' AWS identité que le fournisseur du produit utilisera pour effectuer des actions en votre nom.

  4. Passez en revue les détails d'accès pour les autorisations qui seront temporairement déléguées en approuvant cette demande.

    • La section Récapitulatif des autorisations fournit une vue d'ensemble de haut niveau générée par l'IA qui peut vous aider à comprendre quelles catégories de AWS services sont accessibles et quels types d'actions peuvent être effectuées dans chaque service.

    • Choisissez View JSON pour consulter les autorisations spécifiques que le fournisseur du produit doit déployer dans votre AWS compte, notamment l'étendue d'accès et les limites de ressources.

    • Si le fournisseur du produit crée un rôle IAM dans le cadre d'une demande de délégation temporaire, une limite d'autorisation doit être attachée au rôle. Ces rôles IAM disposent d'autorisations qui continuent à autoriser l'accès aux ressources et aux actions après l'expiration de la durée d'accès demandée. Choisissez Afficher les détails pour passer en revue la limite d'autorisation, qui définit les autorisations maximales que le rôle peut avoir. Le fournisseur du produit appliquera des politiques supplémentaires au rôle lors de sa création afin de définir ses autorisations réelles. Ces politiques peuvent sembler plus ciblées ou plus larges que les limites, selon la façon dont le fournisseur du produit les définit. Cependant, la limite d'autorisation garantit que les autorisations effectives du rôle ne dépasseront jamais ce que vous voyez lors de l'approbation de la demande, quelles que soient les politiques associées au rôle. Pour plus d'informations, consultez la section Limites des autorisations.

  5. Passez en revue les résultats de la simulation des autorisations. La fonctionnalité de simulation des autorisations évalue automatiquement les autorisations de votre identité par rapport à celles incluses dans la demande. Sur la base de cette analyse, une recommandation s'affiche indiquant s'il convient d'approuver la demande avec votre identité actuelle ou de la transmettre à un administrateur. Pour plus de détails, consultez la section Fonctionnalité bêta de simulation des autorisations.

  6. Dans la boîte de dialogue, sélectionnez la manière dont vous souhaitez procéder.

    • Sélectionnez Autoriser l'accès lorsque votre identité dispose d'autorisations suffisantes pour permettre au fournisseur du produit d'effectuer les procédures d'intégration en votre nom. Lorsque vous sélectionnez cette option, la durée d'accès du fournisseur du produit commence une fois que vous avez fourni l'accès.

    • Sélectionnez Demander une approbation si votre identité ne dispose pas des autorisations suffisantes pour permettre au fournisseur du produit d'effectuer les procédures d'intégration en votre nom. Choisissez ensuite Créer une demande d'approbation. Lorsque vous sélectionnez cette option, un lien de demande de délégation temporaire est créé que vous pouvez partager avec l'administrateur de votre compte. Votre administrateur peut accéder à la console AWS de gestion ou utiliser le lien d'accès pour examiner les demandes de délégation temporaire afin d'approuver la demande et de partager l'accès temporaire avec le demandeur.

Note

L'octroi de l'accès au fournisseur de produits nécessite deux actions : accepter la demande de délégation (AcceptDelegationRequest) et libérer le jeton d'échange (SendDelegatedToken). La console AWS de gestion exécute les deux étapes automatiquement lorsque vous approuvez une demande. Si vous utilisez l'API AWS CLI or, vous devez exécuter les deux étapes séparément.

Fonctionnalité de simulation des autorisations -bêta

Lorsque vous recevez une demande de délégation temporaire, vous pouvez l'approuver vous-même ou la transmettre à l'administrateur de votre compte pour approbation. Vous ne pouvez déléguer des autorisations à un fournisseur de produits que si vous êtes autorisé à accéder aux services et aux actions inclus dans la demande de délégation temporaire. Si vous n'avez pas accès aux services et aux actions demandés, le fournisseur du produit ne recevra pas ces autorisations, même si elles sont incluses dans la demande.

Par exemple, une demande de délégation temporaire nécessite la capacité de créer un compartiment Amazon S3, de démarrer et d'arrêter des instances dans Amazon EC2 et d'assumer un rôle IAM. L'identité qui approuve la demande peut démarrer et arrêter des instances dans Amazon EC2 et assumer un rôle IAM, mais n'est pas autorisée à créer un compartiment Amazon S3. Lorsque cette identité approuve la demande, le fournisseur du produit n'est pas en mesure de créer un compartiment Amazon S3 même si ces autorisations ont été incluses dans la demande de délégation temporaire.

Comme vous ne pouvez déléguer que les autorisations que vous possédez déjà, il est essentiel d'évaluer si vous disposez des autorisations demandées avant de les approuver. La fonctionnalité bêta de simulation des autorisations facilite cette évaluation en comparant vos autorisations à celles incluses dans la demande. L'évaluation indique si vous pouvez approuver la demande avec votre identité actuelle ou si vous devez la transmettre à un administrateur. Si l'analyse ne permet pas de confirmer que vous disposez des autorisations suffisantes, transmettez la demande à un administrateur pour examen. Cette évaluation est basée sur une analyse des autorisations simulée et peut différer de votre AWS environnement réel. Vérifiez donc attentivement les autorisations demandées avant de continuer.

Étapes suivantes

Après avoir lancé une demande de délégation temporaire, vous pouvez gérer et surveiller la demande tout au long de son cycle de vie. Les procédures suivantes vous permettent de suivre, d'approuver et de contrôler l'accès temporaire :