Delegação temporária do IAM para parceiros da AWS
Visão geral
A delegação temporária do IAM permite que os clientes da AWS incluam e/ou integrem de forma otimizada os produtos de parceiros da AWS em seu ambiente da AWS por meio de fluxos de trabalho interativos e guiados. Os clientes podem conceder aos parceiros da AWS acesso limitado e temporário para configurar os serviços necessários da AWS, reduzindo o atrito na integração e acelerando a geração de valor.
A delegação temporária do IAM permite que os parceiros:
Simplifiquem a integração de clientes com o provisionamento automatizado de recursos
Reduzam a complexidade da integração eliminando as etapas de configuração manual
Criem confiança por meio de permissões transparentes e aprovadas pelo cliente
Habilitem operações contínuas com padrões de acesso de longo prazo usando os limites de permissões
Como funciona
Parceiro cria uma solicitação de delegação: os parceiros criam uma solicitação especificando quais permissões precisam e por quanto tempo.
Avaliações de clientes no Console da AWS: o cliente vê exatamente quais permissões o parceiro está solicitando e o porquê.
Cliente aprova: o cliente aprova a solicitação e libera um token de troca. O token é enviado ao parceiro nesse tópico específico do SNS.
Parceiro recebe credenciais temporárias: os parceiros trocam o token por credenciais temporárias da AWS.
Parceiro configura os recursos: os parceiros usam as credenciais para configurar os recursos necessários na conta do cliente
Qualificação de parceiros
Para se qualificar para a integração de delegação temporária, um parceiro deve atender aos seguintes requisitos:
Participação no ISV Accelerate: você deve estar inscrito no programa ISV Accelerate (ISVA)
. Listagem no AWS Marketplace: seu produto deve estar listado no AWS Marketplace com o selo “Implantado na AWS”.
Processo de integração
Conclua as seguintes etapas para integrar a delegação temporária ao seu produto:
Etapa 1: revisar os requisitos
Analise esta documentação para entender os requisitos de qualificação e preencher o questionário de parceiro abaixo.
Etapa 2: enviar sua solicitação de integração
Envie um e-mail para aws-iam-partner-onboarding@amazon.com ou entre em contato com seu representante da AWS. Inclua seu questionário de parceiro preenchido com todos os campos obrigatórios da tabela abaixo.
Etapa 3: validação e revisão da AWS
AWSO :
Valide que você atende aos critérios de qualificação.
Revise seus modelos de política e limites de permissões.
Forneça feedback sobre os artefatos enviados.
Etapa 4: refinar suas políticas
Responda ao feedback da AWS e envie modelos de políticas ou limites de permissão atualizados, conforme necessário.
Etapa 5: concluir o registro
Uma vez aprovado, a AWS vai:
Habilitar o acesso à API para suas contas especificadas
Compartilhar ARNs para seu modelo de política e limite de permissões (se aplicável)
Você receberá uma confirmação quando a integração for concluída. Em seguida, você pode acessar as APIs de delegação temporária, CreateDelegationRequest e GetDelegatedAccessToken, de suas contas registradas e começar a integrar fluxos de trabalho de solicitação de delegação em seu produto.
Questionário de parceiro
A tabela a seguir lista as informações necessárias para a integração do parceiro:
| Informações | Descrição | Obrigatório |
|---|---|---|
| AccountID da Central de Parceiros | ID da conta da sua conta da AWS registrada no Central de Parceiros da AWS |
Sim |
| PartnerId | ID do parceiro fornecido pela Central de Parceiros da AWS |
Não |
| ID de produto do AWS Marketplace | ID de produto para seu produto fornecido pelo Central de Parceiros da AWS |
Sim |
| AccountIDs da AWS | A lista de seus IDs de conta da AWS que você deseja usar para chamar APIs de delegação temporária. Ela deve incluir suas contas de produção e de não produção/teste. | Sim |
| Nome do parceiro | Esse nome é exibido para os clientes no Console de Gerenciamento da AWS quando eles analisam sua solicitação de delegação temporária. | Sim |
| E-mails de contato | Um ou mais endereços de e-mail que podemos usar para entrar em contato com você sobre sua integração. | Sim |
| Domínio do solicitante | Seu domínio (por exemplo, www.exemplo.com) | Sim |
| Descrição da integração | Breve descrição do caso de uso que você deseja abordar usando esse recurso. Você pode incluir links de referência para sua documentação ou outro material público. | Sim |
| Diagrama de arquitetura | Diagrama de arquitetura ilustrando seus casos de uso de integração. | Não |
| Modelo de política | Você deve registrar pelo menos um modelo de política para esse recurso. O modelo de política define as permissões temporárias que você deseja solicitar nas contas da AWS dos clientes. Para obter mais informações, consulte a seção Modelo de política. | Sim |
| Nome do modelo de política | Nome do modelo de política que você deseja registrar. | Sim |
| Limiar de permissões | Se você quiser criar perfis do IAM nas contas dos clientes usando permissões temporárias, você deve registrar um limite de permissões no IAM. Os limites de permissões serão anexados aos perfis do IAM que você criar para limitar o máximo de permissões no perfil do IAM. Você pode usar políticas gerenciadas pela AWS selecionadas como um limite de permissões ou registrar um novo limite de permissões personalizado (JSON). Para obter mais informações, consulte a seção Limites de permissões. | Não |
| Nome do limite de permissões | O nome do seu limite de permissões. O formato é arn:aws:iam::partner:policy/permission_boundary/<partner_domain>/<policy_name>_<date> O nome da política deve incluir a data de criação como sufixo. O nome não pode ser atualizado depois que o limite de permissões é criado. Se você estiver usando uma política existente gerenciada pela AWS, forneça então o ARN da política gerenciada. | Não |
| Descrição do limite de permissões | Descrição do limite para o limite de permissões. Essa descrição não poderá ser atualizada após a criação do limite de permissões. | Não |
