Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Avviare una richiesta di delega temporanea
Puoi avviare una richiesta di delega temporanea solo dai prodotti Amazon o AWS Partner supportati. Durante un flusso di lavoro che supporta la delega temporanea, ti verrà richiesto di concedere al fornitore del prodotto autorizzazioni temporanee e limitate per configurare le AWS risorse richieste nel tuo account. Questo approccio automatizzato offre un'esperienza più semplificata eliminando la necessità di configurare queste risorse manualmente.
Puoi esaminare i dettagli della richiesta di delega, come i ruoli, le politiche e i AWS servizi IAM specifici di cui il fornitore del prodotto ha bisogno, prima di concedere l'accesso. Puoi approvare tu stesso la richiesta se disponi di autorizzazioni sufficienti o inoltrarla all'amministratore dell'account per l'approvazione. L'accesso a tutti i fornitori di prodotti è limitato nel tempo e può essere monitorato e revocato secondo necessità.
Per avviare una richiesta di delega temporanea
Accedi alla console di un prodotto supportato da Amazon o AWS Partners che richiede l'integrazione con il tuo AWS account.
Seleziona Implementa con delega temporanea IAM. Tieni presente che il nome dell'opzione può variare tra i prodotti supportati. Per i dettagli, consulta la documentazione del fornitore del prodotto.
Nota
Se non hai già effettuato l'accesso alla Console di AWS gestione, si apre una nuova finestra nella pagina di AWS accesso. Ti consigliamo di accedere al tuo AWS account prima di avviare la richiesta di delega temporanea dalla console del prodotto. Per ulteriori informazioni su come accedere in base al tipo di utente e alle AWS risorse a cui desideri accedere, consulta la Guida per AWS l'utente di accesso.
Controlla i dettagli della richiesta per confermare il nome del prodotto e l' AWS account del fornitore del prodotto. Puoi anche verificare l' AWS identità che il fornitore del prodotto utilizzerà per eseguire azioni per tuo conto.
Controlla i dettagli di accesso per le autorizzazioni che verranno temporaneamente delegate approvando questa richiesta.
La sezione di riepilogo delle autorizzazioni fornisce una panoramica di alto livello generata dall'intelligenza artificiale che può aiutarti a capire a quali categorie di AWS servizi è possibile accedere e quali tipi di azioni possono essere eseguite in ciascun servizio.
Scegli Visualizza JSON per esaminare le autorizzazioni specifiche che il fornitore del prodotto deve implementare nel tuo AWS account, inclusi l'ambito di accesso e le limitazioni delle risorse.
Se il fornitore del prodotto crea un ruolo IAM come parte di una richiesta di delega temporanea, al ruolo deve essere associato un limite di autorizzazione. Questi ruoli IAM dispongono di autorizzazioni che continuano a consentire l'accesso a risorse e azioni dopo la scadenza della durata di accesso richiesta. Scegli Visualizza dettagli per esaminare il limite di autorizzazione, che definisce le autorizzazioni massime che il ruolo può avere. Il fornitore del prodotto applicherà al ruolo politiche aggiuntive durante la creazione che ne definiscono le autorizzazioni effettive. Queste politiche possono apparire più mirate o più ampie rispetto al limite, a seconda di come le definisce il fornitore del prodotto. Tuttavia, il limite di autorizzazione garantisce che le autorizzazioni effettive del ruolo non superino mai quelle visualizzate durante l'approvazione della richiesta, indipendentemente dalle politiche associate al ruolo. Per ulteriori informazioni, consulta Limiti delle autorizzazioni.
Esamina i risultati della simulazione delle autorizzazioni. La funzionalità di simulazione delle autorizzazioni valuta automaticamente le autorizzazioni della tua identità rispetto a quelle incluse nella richiesta. Sulla base di questa analisi, viene visualizzato un consiglio che indica se approvare la richiesta con l'identità corrente o inoltrarla a un amministratore. Per i dettagli, consulta la funzionalità beta di simulazione delle autorizzazioni.
Nella finestra di dialogo, seleziona come desideri procedere.
Seleziona Consenti l'accesso quando la tua identità dispone di autorizzazioni sufficienti per consentire al fornitore del prodotto di eseguire le procedure di onboarding per tuo conto. Quando selezioni questa opzione, la durata dell'accesso del fornitore del prodotto inizia una volta fornito l'accesso.
Seleziona Richiedi approvazione se la tua identità non dispone di autorizzazioni sufficienti per consentire al fornitore del prodotto di eseguire le procedure di onboarding per tuo conto. Quindi, scegli Crea richiesta di approvazione. Quando selezioni questa opzione, viene creato un link di richiesta di delega temporanea che puoi condividere con l'amministratore dell'account. L'amministratore può accedere alla console di AWS gestione o utilizzare il link di accesso per esaminare le richieste di delega temporanea per approvare la richiesta e condividere l'accesso temporaneo con il richiedente.
Nota
La concessione dell'accesso al fornitore di prodotti richiede due azioni: accettare la richiesta di delega (AcceptDelegationRequest) e rilasciare il token di scambio (). SendDelegatedToken La console AWS di gestione esegue automaticamente entrambi i passaggi quando si approva una richiesta. Se si utilizza l'API AWS CLI o, è necessario eseguire entrambi i passaggi separatamente.
Capacità di simulazione delle autorizzazioni -beta
Quando ricevi una richiesta di delega temporanea, puoi approvarla personalmente o inoltrarla all'amministratore del tuo account per l'approvazione. Puoi delegare le autorizzazioni a un fornitore di prodotti solo se disponi delle autorizzazioni per i servizi e le azioni inclusi nella richiesta di delega temporanea. Se non hai accesso ai servizi e alle azioni richiesti, il fornitore del prodotto non riceverà tali autorizzazioni anche se sono incluse nella richiesta.
Ad esempio, una richiesta di delega temporanea richiede la possibilità di creare un bucket Amazon S3, avviare e arrestare istanze in EC2 Amazon e assumere un ruolo IAM. L'identità che approva la richiesta può avviare e arrestare istanze in Amazon EC2 e assumere un ruolo IAM, ma non dispone dell'autorizzazione per creare un bucket Amazon S3. Quando questa identità approva la richiesta, il fornitore del prodotto non è in grado di creare un bucket Amazon S3 anche se queste autorizzazioni sono state incluse nella richiesta di delega temporanea.
Poiché puoi delegare solo le autorizzazioni che già possiedi, è fondamentale valutare se disponi delle autorizzazioni richieste prima dell'approvazione. La funzionalità beta di simulazione delle autorizzazioni aiuta in questa valutazione confrontando le autorizzazioni dell'utente con quelle incluse nella richiesta. La valutazione indica se è possibile approvare la richiesta con la propria identità attuale o se è necessario inoltrarla a un amministratore. Se l'analisi non è in grado di confermare che disponi di autorizzazioni sufficienti, inoltra la richiesta a un amministratore per la revisione. Questa valutazione si basa su un'analisi simulata delle autorizzazioni e può differire da quella AWS dell'ambiente live, pertanto esamina attentamente le autorizzazioni richieste prima di procedere.
Fasi successive
Dopo aver avviato una richiesta di delega temporanea, puoi gestire e monitorare la richiesta durante il suo ciclo di vita. Le seguenti procedure consentono di tracciare, approvare e controllare l'accesso temporaneo:
Rivedi le richieste di delega temporanea: monitora lo stato delle richieste di accesso e visualizza informazioni dettagliate sulle richieste di approvazione o rifiuto delle richieste di delega temporanea.
Revoca l'accesso temporaneo alle deleghe: interrompi immediatamente le sessioni di delega temporanea attive prima che scadano naturalmente.
