Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Delegasi sementara IAM
Gambaran umum
Delegasi sementara mempercepat orientasi dan menyederhanakan manajemen untuk produk dari Amazon dan AWS Mitra yang terintegrasi dengan akun Anda. AWS Alih-alih mengonfigurasi beberapa AWS layanan secara manual, Anda dapat mendelegasikan izin sementara dan terbatas yang memungkinkan penyedia produk menyelesaikan tugas penyiapan atas nama Anda dalam hitungan menit melalui alur kerja penerapan otomatis. Anda mempertahankan kontrol administratif dengan persyaratan persetujuan dan batasan izin, sementara izin penyedia produk secara otomatis kedaluwarsa setelah durasi yang disetujui tanpa perlu pembersihan manual. Jika produk memerlukan akses persisten untuk operasi yang sedang berlangsung, penyedia dapat menggunakan delegasi sementara untuk membuat peran IAM dengan batas izin yang menentukan izin maksimum peran. Semua aktivitas penyedia produk dilacak AWS CloudTrail untuk kepatuhan dan pemantauan keamanan.
catatan
Permintaan delegasi sementara hanya dapat dibuat oleh produk Amazon dan AWS Mitra yang memenuhi syarat yang telah menyelesaikan proses orientasi fitur. Pelanggan meninjau dan menyetujui permintaan ini tetapi tidak dapat membuatnya secara langsung. Jika Anda adalah AWS Mitra yang ingin mengintegrasikan delegasi sementara IAM ke dalam produk Anda, lihat Panduan Integrasi Mitra untuk instruksi orientasi dan integrasi.
Cara kerja delegasi sementara
Delegasi sementara memungkinkan Amazon dan AWS Mitra untuk meminta akses sementara dan terbatas ke akun Anda. Setelah persetujuan Anda, mereka dapat menggunakan izin yang didelegasikan untuk mengambil tindakan atas nama Anda. Permintaan delegasi menentukan izin khusus untuk AWS layanan dan tindakan yang diperlukan penyedia produk untuk menyebarkan atau mengonfigurasi sumber daya di akun Anda. AWS Izin ini hanya tersedia untuk waktu yang terbatas dan secara otomatis kedaluwarsa setelah durasi yang ditentukan dalam permintaan.
catatan
Durasi maksimum untuk akses yang didelegasikan adalah 12 jam. Namun, pengguna root hanya dapat menyetujui permintaan delegasi dengan durasi 4 jam atau kurang. Jika permintaan menentukan lebih dari 4 jam, Anda harus menggunakan identitas non-root untuk menyetujui permintaan tersebut. Untuk detailnya, lihat Kemampuan beta simulasi izin.
Untuk tugas yang sedang berlangsung, seperti membaca dari bucket Amazon S3, permintaan delegasi dapat mencakup pembuatan peran IAM yang memungkinkan akses berkelanjutan ke sumber daya dan tindakan setelah akses sementara kedaluwarsa. Penyedia produk harus melampirkan batas izin untuk setiap peran IAM yang dibuat melalui delegasi sementara. Batas izin membatasi izin maksimum peran tetapi tidak memberikan izin sendiri. Anda dapat meninjau batas izin sebagai bagian dari permintaan sebelum menyetujuinya. Untuk detailnya, lihat Batas izin.
Prosesnya bekerja sebagai berikut:
Anda masuk ke produk Amazon atau AWS Mitra untuk mengintegrasikannya dengan AWS lingkungan Anda.
Penyedia produk memulai permintaan delegasi atas nama Anda dan mengarahkan Anda ke Konsol Manajemen. AWS
Anda meninjau izin yang diminta dan menentukan apakah akan menyetujui, menolak, atau meneruskan permintaan ke administrator Anda.
Setelah Anda atau administrator menyetujui permintaan tersebut, penyedia produk dapat memperoleh kredensyal sementara pemberi persetujuan untuk melakukan tugas yang diperlukan.
Akses penyedia produk secara otomatis kedaluwarsa setelah jangka waktu yang ditentukan. Namun, setiap peran IAM yang dibuat melalui permintaan delegasi sementara tetap ada di luar periode ini, memungkinkan penyedia produk untuk terus mengakses sumber daya dan tindakan untuk tugas manajemen yang sedang berlangsung.
catatan
Anda hanya dapat mendelegasikan izin ke penyedia produk jika Anda memiliki izin untuk layanan dan tindakan yang disertakan dalam permintaan delegasi sementara. Jika Anda tidak memiliki akses ke layanan dan tindakan yang diminta, penyedia produk tidak menerima izin ini saat Anda menyetujui permintaan tersebut.
Jika pemeriksaan izin menunjukkan kemungkinan akan berhasil, Anda dapat menyetujui permintaan delegasi sementara dan melanjutkan alur kerja.
Jika pemeriksaan izin menunjukkan bahwa Anda mungkin tidak memiliki izin yang memadai, teruskan permintaan ke administrator Anda untuk persetujuan. Sebaiknya beri tahu administrator Anda tentang permintaan ini menggunakan metode pilihan Anda seperti email atau tiket.
Setelah administrator Anda menyetujui permintaan, apa yang terjadi selanjutnya tergantung pada konfigurasi penyedia produk:
Jika penyedia produk meminta akses langsung, mereka secara otomatis menerima izin sementara dan durasi akses dimulai.
Jika penyedia produk meminta rilis oleh pemilik (penerima awal), Anda harus kembali ke permintaan untuk secara eksplisit membagikan akses akun sementara sebelum durasi akses dimulai. Penyedia produk biasanya menggunakan opsi ini ketika mereka membutuhkan masukan tambahan dari Anda, seperti pemilihan sumber daya atau detail konfigurasi, untuk menyelesaikan tugas yang diperlukan.
Mengelola Izin untuk Permintaan Delegasi
Administrator dapat memberikan izin kepada prinsipal IAM untuk mengelola permintaan delegasi dari penyedia produk. Ini berguna saat Anda ingin mendelegasikan otoritas persetujuan kepada pengguna atau tim tertentu di organisasi Anda, atau saat Anda perlu mengontrol siapa yang dapat melakukan tindakan spesifik pada permintaan delegasi.
Izin IAM berikut tersedia untuk mengelola permintaan delegasi:
| Izin | Deskripsi |
|---|---|
| saya: AssociateDelegationRequest | Kaitkan permintaan delegasi yang tidak ditetapkan dengan akun Anda AWS |
| saya: GetDelegationRequest | Lihat detail permintaan delegasi |
| saya: UpdateDelegationRequest | Meneruskan permintaan delegasi ke administrator untuk persetujuan |
| saya: AcceptDelegationRequest | Menyetujui permintaan delegasi |
| saya: SendDelegationToken | Lepaskan token pertukaran ke penyedia produk setelah persetujuan |
| saya: RejectDelegationRequest | Tolak permintaan delegasi |
| saya: ListDelegationRequests | Daftar permintaan delegasi untuk akun Anda |
catatan
Secara default, prinsipal IAM yang memulai permintaan delegasi secara otomatis diberikan izin untuk mengelola permintaan tertentu. Mereka dapat mengaitkannya dengan akun mereka, melihat detail permintaan, menolak permintaan, meneruskannya ke administrator untuk persetujuan, melepaskan token pertukaran ke penyedia produk setelah persetujuan admin, dan daftar permintaan delegasi yang mereka miliki.
