Prerequisiti - Centrale Partner AWS
Ruoli e autorizzazioni degli utentiSelezione dell'account giusto AWSConcessione delle autorizzazioni IAMComprensione delle autorizzazioni relative ai ruoliCreazione di un set di autorizzazioni per il Single Sign-On

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

I seguenti argomenti elencano i prerequisiti necessari per collegare AWS Partner Central e AWS gli account. Ti consigliamo di seguire gli argomenti nell'ordine elencato.

Nota

A causa di problemi di interfaccia utente, funzionalità e prestazioni, il collegamento degli account non supporta Firefox Extended Support Release (Firefox ESR). Ti consigliamo di utilizzare la versione normale di Firefox o uno dei browser Chrome.

Ruoli e autorizzazioni degli utenti

Per collegare il tuo AWS account a un account AWS Partner Central, hai bisogno di persone con i seguenti ruoli:

Amministratore di Identity and Access Management (IAM)

Gestisce le autorizzazioni degli utenti tramite IAM. In genere funziona in ambito di sicurezza IT, sicurezza delle informazioni, team IAM dedicati o organizzazioni di governance e conformità. Responsabile dell'implementazione delle politiche IAM, della configurazione delle soluzioni SSO, della gestione delle revisioni della conformità e del mantenimento di strutture di controllo degli accessi basate sui ruoli.

AWS Partner Central Alliance, responsabile o amministratore del cloud

L'amministratore principale dell'account della tua azienda. Questa persona deve avere un ruolo di sviluppo aziendale o di leadership aziendale e l'autorità legale per accettare i termini e le condizioni di AWS Partner Network. L'Alliance Lead può delegare il collegamento dell'account a un utente Partner Central con il ruolo utente Cloud Admin.

Utilizza le informazioni nella tabella seguente per decidere quale AWS account collegare al tuo account Partner Central.

Importante

Quando selezioni un AWS account, considera quanto segue:

  • AWS Partner Central richiede un AWS account che utilizzi le policy IAM per controllare l'accesso.

  • L' AWS account collegato gestisce il pagamento delle commissioni APN, le soluzioni e il monitoraggio delle opportunità APN Customer Engagement (ACE) utilizzando Partner Central. APIs

  • AWS Le funzionalità di Partner Network APIs sono disponibili tramite l'account collegato AWS .

  • AWS risorse come le opportunità ACE, la cronologia delle opportunità e gli inviti alle opportunità con più partner vengono create nell' AWS account collegato e non possono essere trasferite ad altri AWS account.

  • L' AWS account a cui ti colleghi deve avere un piano di AWS account a pagamento. Quando registri un AWS account, scegli il piano di account a pagamento. Per effettuare l'upgrade di un AWS account al piano di AWS account a pagamento, consulta la sezione Scelta di un piano di livello AWS gratuito nella AWS Billing User Guide.

  • AWS consiglia di collegare un AWS account che non viene utilizzato per i seguenti scopi.

    • Un account di gestione, in cui gestisci le informazioni e i metadati degli account per tutti gli AWS account dell'organizzazione.

    • Un account di produzione, in cui utenti e dati interagiscono con applicazioni e servizi.

    • Un account sviluppatore o sandbox, in cui gli sviluppatori scrivono codice.

    • Un account personale in cui le persone possono imparare, sperimentare e lavorare su progetti personali.

    • Un account Marketplace AWS acquirente, da Marketplace AWS cui acquistare i prodotti.

    Mantenere l'account collegato separato dagli impegni del AWS Partner Network garantisce flessibilità per le configurazioni specifiche di AWS Partner Central senza influire su altri ambienti. In questo modo si semplificano anche il monitoraggio finanziario, la rendicontazione fiscale e gli audit.

AWS Scenario di partnership Esempio AWS opzioni dell'account Considerazioni

Scenario 1: possiedi uno o più AWS account gestiti da terze parti e non sei registrato come Marketplace AWS venditore

AWS Partner che collaborano con i partner AWS distributori

Opzione 1: crea un AWS account e collegalo ad esso.

Opzione 2: collegamento a un AWS account esistente

Opzione 1:

  • È accettabile fatturare la tariffa APN su questo account? L'account di AWS gestione può pagare la commissione se l'account si trova in un' AWS organizzazione.

  • È qui che desideri accedere alle funzionalità di AWS Partner Network e APIs?

Opzione 2:

  • Stesse considerazioni dell'opzione 1

  • Si tratta di un account di AWS gestione, produzione, sviluppatore o personale?

  • È possibile consentire al personale esterno di accedere all'account che gestisce gli impegni di AWS Partner Central?

  • Questo account è appropriato per gestire l'accesso degli utenti di Partner Central?

Scenario 2: possiedi uno o più AWS account e non sei registrato come Marketplace AWS venditore

AWS Partner che non effettuano transazioni Marketplace AWS o partner in paesi in cui non Marketplace AWS è disponibile

Uguale allo scenario 1

Uguale allo scenario 1

Scenario 3: possiedi uno o più AWS account e sei registrato come Marketplace AWS venditore con un unico account venditore Marketplace

AWS Partner con un elenco di prodotti consolidato in un unico paese o che operano a livello globale

Opzione 1: creare e collegare un nuovo account AWS

Opzione 2: collegamento a un AWS account esistente

Opzione 3: collegamento a un account Marketplace AWS venditore

Opzione 1:

  • Hai bisogno di accedere a Marketplace AWS funzionalità che richiedono un account venditore Marketplace collegato?

  • Hai intenzione di aderire al programma AWS ISV Accelerate? Consulta i requisiti del programma.

  • Hai bisogno di condividere risorse di AWS Partner Central e Marketplace come opportunità, offerte, soluzioni ed elenchi di prodotti?

  • Sarebbe meglio designare un account Marketplace AWS venditore con il maggior numero di inserzioni o transazioni di prodotti come account venditore principale del Marketplace?

  • È accettabile fatturare la tariffa APN su questo account?

Opzione 2:

  • Stesse considerazioni dell'opzione 1

  • Si tratta di un account di AWS gestione, produzione, sviluppatore o personale?

  • Questo account è adatto per gestire l'accesso degli utenti di Partner Central?

Opzione 3:

  • Stesse considerazioni delle opzioni 1 e 2

  • Prevedi di creare account Marketplace AWS venditore aggiuntivi? In caso affermativo, è accettabile designare l'attuale account venditore Marketplace come account venditore Marketplace principale?

Scenario 4: possiedi uno o più AWS account e sei registrato come Marketplace AWS venditore con più account venditore

AWS Partner che hanno più offerte di prodotti in diverse linee di business o devono soddisfare requisiti normativi e di conformità

Uguale allo scenario 3

Uguale allo scenario 3

Concessione delle autorizzazioni IAM

La policy IAM elencata in questa sezione concede agli utenti di AWS Partner Central un accesso limitato a un AWS account collegato. Il livello di accesso dipende dal ruolo IAM assegnato all'utente. Per ulteriori informazioni sui livelli di autorizzazione, consulta Comprensione delle autorizzazioni relative ai ruoli più avanti in questo argomento.

Per creare la policy, devi essere un amministratore IT responsabile di un AWS ambiente. Al termine, è necessario assegnare la policy a un utente o a un ruolo IAM.

I passaggi di questa sezione spiegano come utilizzare la console IAM per creare la policy.

Nota

Se sei un responsabile dell'alleanza o un amministratore del cloud e hai già un utente o un ruolo IAM con autorizzazioni di AWS amministratore, passa a. Collegamento di AWS Partner Central e account AWS

Per ulteriori informazioni sui ruoli di AWS Partner Central, consulta Ruoli di AWS Partner Central più avanti in questa guida.

Come creare la policy

  1. Accedere alla console IAM.

  2. In Gestione accessi scegli Policy.

  3. Scegli Create policy, scegli JSON e aggiungi la seguente policy:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

  4. Scegli Next (Successivo).

  5. In Dettagli della politica, nella casella Nome della politica, inserisci un nome per la politica e una descrizione opzionale.

  6. Controlla le autorizzazioni della politica, aggiungi i tag secondo necessità, quindi scegli Crea politica.

  7. Collega il tuo utente o ruolo IAM alla policy. Per informazioni sull'allegamento, consulta Aggiungere i permessi di identità IAM (console) nella Guida per l'utente IAM.

Comprensione delle autorizzazioni relative ai ruoli

Dopo che l'amministratore IT ha completato i passaggi della sezione precedente, i responsabili dell'alleanza e altri in AWS Partner Central possono assegnare policy di sicurezza e mappare i ruoli degli utenti. La tabella seguente elenca e descrive i ruoli standard creati durante il collegamento degli account e le attività disponibili per ciascun ruolo.

Ruolo IAM standard AWS Policy gestite da Partner Central utilizzate Può farlo Non può farlo
Amministratore del cloud

  • Mappa e assegna i ruoli IAM agli utenti di AWS Partner Central.

  • Completa le stesse attività dei team Alliance e ACE.
Squadra dell'alleanza

  • Accesso completo a tutte le operazioni del venditore Marketplace AWS, incluso il portale Marketplace AWS di gestione. Puoi anche gestire l' EC2 AMI Amazon utilizzata nei prodotti basati su AMI.

  • Collega le opportunità di coinvolgimento AWS dei clienti alle offerte private del AWS Marketplace.

  • Associa le soluzioni APN agli elenchi di Marketplace AWS prodotti.

  • Accedi alla dashboard di Partner Analytics.

 Mappa o assegna ruoli IAM agli utenti di AWS Partner Central. Solo i leader dell'alleanza e gli amministratori del cloud mappano o assegnano i ruoli.
Squadra ACE

  • Crea offerte private su AWS Marketplace.

  • Collega le opportunità di coinvolgimento AWS dei clienti alle offerte private del AWS Marketplace.

  • Mappa o assegna ruoli IAM agli utenti di AWS Partner Central. Solo i responsabili dell'alleanza e gli amministratori del cloud possono mappare o assegnare ruoli.

  • Usa tutti gli Marketplace AWS strumenti e le funzionalità.

  • Utilizza la dashboard di Partners Analytics.

Creazione di un set di autorizzazioni per il Single Sign-On

I passaggi seguenti spiegano come utilizzare IAM Identity Center per creare un set di autorizzazioni che abiliti il single sign-on per accedere ad AWS Partner Central.

Per ulteriori informazioni sui set di autorizzazioni, consulta la sezione Crea un set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center.

  1. Accedi alla console IAM Identity Center.

  2. In Autorizzazioni per più account, scegli Set di autorizzazioni.

  3. Scegli Create permission set (Crea set di autorizzazioni).

  4. Nella pagina Seleziona il tipo di set di autorizzazioni, in Tipo di set di autorizzazioni, scegli Set di autorizzazioni personalizzato, quindi scegli Avanti.

  5. Esegui questa operazione:

    1. Nella pagina Specificare le politiche e i limiti di autorizzazione, scegli i tipi di politiche IAM che desideri applicare al set di autorizzazioni.

      Per impostazione predefinita, puoi aggiungere qualsiasi combinazione di un massimo di 10 policy gestite e policy AWS gestite dai clienti al tuo set di autorizzazioni. IAM imposta questa quota. Per aumentarlo, richiedi un aumento della quota IAM Managed policy allegate a un ruolo IAM nella console Service Quotas in ogni AWS account a cui desideri assegnare il set di autorizzazioni.

    2. Espandi Inline policy per aggiungere un testo di policy personalizzato in formato JSON. Le policy in linea non corrispondono alle risorse IAM esistenti. Per creare una policy in linea, inserisci il linguaggio delle policy personalizzato nel modulo fornito. IAM Identity Center aggiunge la policy alle risorse IAM che crea negli account dei membri. Per ulteriori informazioni, consulta Inline policies.

    3. Copia e incolla la policy JSON dal prerequisito AWS Partner Central e AWS Account Linking

  6. Nella pagina Specificare i dettagli del set di autorizzazioni, procedi come segue:

    1. In Nome del set di autorizzazioni, digita un nome per identificare questo set di autorizzazioni in IAM Identity Center. Il nome specificato per questo set di autorizzazioni viene visualizzato nel portale di AWS accesso come ruolo disponibile. Gli utenti AWS accedono al portale di accesso, scelgono un AWS account e quindi scelgono il ruolo.

    2. (Facoltativo) Puoi anche digitare una descrizione. La descrizione appare solo nella console IAM Identity Center, non nel portale di AWS accesso.

    3. (Facoltativo) Specificare il valore per la durata della sessione. Questo valore determina il periodo di tempo in cui un utente può accedere prima che la console lo disconnetta dalla sessione. Per ulteriori informazioni, consulta Impostare la durata della sessione per gli AWS account.

    4. (Facoltativo) Specificate il valore per lo stato di inoltro. Questo valore viene utilizzato nel processo di federazione per reindirizzare gli utenti all'interno dell'account. Per ulteriori informazioni, consulta Impostare lo stato di inoltro per un accesso rapido alla console di AWS gestione.

      Nota

      È necessario utilizzare un URL AWS della console di gestione per lo stato di inoltro. Ad esempio: https://console.aws.amazon.com/ec2/

    5. Espandi Tag (opzionale), scegli Aggiungi tag, quindi specifica i valori per Chiave e Valore (opzionale).

      Per informazioni sui tag, consulta Tagging AWS IAM Identity Center per le risorse.

    6. Scegli Next (Successivo).

  7. Nella pagina Rivedi e crea, esamina le selezioni effettuate, quindi scegli Crea.

    Per impostazione predefinita, quando crei un set di autorizzazioni, il set di autorizzazioni non viene fornito (utilizzato in nessun AWS account). Per fornire un set di autorizzazioni in un AWS account, devi assegnare l'accesso a IAM Identity Center agli utenti e ai gruppi dell'account e quindi applicare il set di autorizzazioni a tali utenti e gruppi. Per ulteriori informazioni, consulta Assegnare l'accesso utente agli AWS account nella Guida per l'utente di AWS IAM Identity Center.