Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Delega temporanea IAM
Panoramica di
La delega temporanea accelera l'onboarding e semplifica la gestione dei prodotti di Amazon and AWS Partners che si integrano con i tuoi account. AWS Invece di configurare manualmente più AWS servizi, puoi delegare autorizzazioni temporanee e limitate che consentono al fornitore del prodotto di completare le attività di configurazione per tuo conto in pochi minuti attraverso flussi di lavoro di distribuzione automatizzati. Mantieni il controllo amministrativo con requisiti di approvazione e limiti di autorizzazione, mentre le autorizzazioni dei fornitori di prodotti scadono automaticamente dopo la durata approvata senza che sia necessaria alcuna pulizia manuale. Se il prodotto richiede un accesso persistente per le operazioni in corso, il provider può utilizzare la delega temporanea per creare un ruolo IAM con un limite di autorizzazione che definisce le autorizzazioni massime del ruolo. Tutte le attività dei fornitori di prodotti vengono tracciate AWS CloudTrail per il monitoraggio della conformità e della sicurezza.
Nota
Le richieste di delega temporanea possono essere create solo dai prodotti Amazon e dai AWS partner qualificati che hanno completato il processo di inserimento delle funzionalità. I clienti esaminano e approvano queste richieste ma non possono crearle direttamente. Se sei un AWS partner che desidera integrare la delega temporanea IAM nel tuo prodotto, consulta la Partner Integration Guide per le istruzioni di onboarding e integrazione.
Come funziona la delega temporanea
La delega temporanea consente ad Amazon and AWS Partners di richiedere un accesso temporaneo e limitato al tuo account. Dopo la tua approvazione, possono utilizzare le autorizzazioni delegate per intraprendere azioni per tuo conto. Le richieste di delega definiscono autorizzazioni specifiche per AWS i servizi e le azioni di cui il fornitore del prodotto ha bisogno per distribuire o configurare le risorse nell'account. AWS Queste autorizzazioni sono disponibili solo per un periodo di tempo limitato e scadono automaticamente dopo la durata specificata nella richiesta.
Nota
La durata massima per l'accesso delegato è di 12 ore. Tuttavia, gli utenti root possono approvare solo le richieste di delega con una durata pari o inferiore a 4 ore. Se una richiesta specifica più di 4 ore, è necessario utilizzare un'identità non root per approvare la richiesta. Per i dettagli, consulta la funzionalità beta di simulazione delle autorizzazioni.
Per le attività in corso, come la lettura da un bucket Amazon S3, le richieste di delega possono includere la creazione di un ruolo IAM che consente l'accesso continuo a risorse e azioni dopo la scadenza dell'accesso temporaneo. I fornitori di prodotti devono assegnare un limite di autorizzazione a qualsiasi ruolo IAM creato tramite delega temporanea. I limiti di autorizzazione limitano le autorizzazioni massime di un ruolo, ma non concedono le autorizzazioni da soli. Puoi rivedere il limite di autorizzazione come parte della richiesta prima di approvarla. Per i dettagli, consulta Limiti delle autorizzazioni.
Di seguito è riportato il procedimento:
Accedi a un prodotto Amazon o AWS Partner per integrarlo con il tuo AWS ambiente.
Il fornitore del prodotto avvia una richiesta di delega per tuo conto e ti reindirizza alla AWS console di gestione.
L'utente esamina le autorizzazioni richieste e decide se approvare, rifiutare o inoltrare la richiesta all'amministratore.
Una volta che tu o il tuo amministratore avete approvato la richiesta, il fornitore del prodotto può ottenere le credenziali temporanee dell'approvatore per eseguire le attività richieste.
L'accesso al fornitore di prodotti scade automaticamente dopo il periodo di tempo specificato. Tuttavia, qualsiasi ruolo IAM creato tramite la richiesta di delega temporanea persiste oltre questo periodo, consentendo al fornitore del prodotto di continuare ad accedere alle risorse e alle azioni per le attività di gestione in corso.
Nota
Puoi delegare le autorizzazioni a un fornitore di prodotti solo se disponi delle autorizzazioni per i servizi e le azioni inclusi nella richiesta di delega temporanea. Se non hai accesso ai servizi e alle azioni richiesti, il fornitore del prodotto non riceve queste autorizzazioni quando approvi la richiesta.
Se il controllo delle autorizzazioni mostra che è probabile che abbia esito positivo, puoi approvare la richiesta di delega temporanea e continuare con il flusso di lavoro.
Se il controllo delle autorizzazioni mostra che potresti non disporre di autorizzazioni sufficienti, inoltra la richiesta all'amministratore per l'approvazione. Ti consigliamo di informare l'amministratore in merito a questa richiesta utilizzando il tuo metodo preferito, ad esempio un'e-mail o un ticket.
Una volta che l'amministratore ha approvato la richiesta, ciò che accade dopo dipende dalla configurazione del fornitore del prodotto:
Se il fornitore del prodotto ha richiesto l'accesso immediato, riceve automaticamente le autorizzazioni temporanee e inizia la durata dell'accesso.
Se il fornitore del prodotto ha richiesto l'autorizzazione da parte del proprietario (destinatario iniziale), è necessario tornare alla richiesta di condividere esplicitamente l'accesso temporaneo all'account prima che inizi la durata dell'accesso. I fornitori di prodotti in genere utilizzano questa opzione quando hanno bisogno di input aggiuntivi da parte dell'utente, come la selezione delle risorse o i dettagli di configurazione, per completare l'attività richiesta.
Gestione delle autorizzazioni per le richieste di delega
Gli amministratori possono concedere ai dirigenti IAM le autorizzazioni per gestire le richieste di delega dei fornitori di prodotti. Ciò è utile quando si desidera delegare l'autorità di approvazione a utenti o team specifici dell'organizzazione o quando è necessario controllare chi può eseguire azioni specifiche sulle richieste di delega.
Le seguenti autorizzazioni IAM sono disponibili per la gestione delle richieste di delega:
| Autorizzazione | Description |
|---|---|
| sono: AssociateDelegationRequest | Associa una richiesta di delega non assegnata al tuo account AWS |
| Sono: GetDelegationRequest | Visualizza i dettagli di una richiesta di delega |
| sono: UpdateDelegationRequest | Inoltra una richiesta di delega a un amministratore per l'approvazione |
| Sono: AcceptDelegationRequest | Approva una richiesta di delega |
| Obiettivo: SendDelegationToken | Rilascia il token di scambio al fornitore del prodotto dopo l'approvazione |
| scopo: RejectDelegationRequest | Rifiuta una richiesta di delega |
| Sono: ListDelegationRequests | Elenca le richieste di delega per il tuo account |
Nota
Per impostazione predefinita, ai responsabili IAM che avviano una richiesta di delega vengono automaticamente concesse le autorizzazioni per gestire quella richiesta specifica. Possono associarla al proprio account, visualizzare i dettagli della richiesta, rifiutare una richiesta, inoltrarla a un amministratore per l'approvazione, rilasciare il token di scambio al fornitore del prodotto dopo l'approvazione dell'amministratore ed elencare le richieste di delega di loro proprietà.
