Delegação temporária do IAM
Visão geral
A delegação temporária acelera a integração e simplifica o gerenciamento de produtos da Amazon e de parceiros da AWS que se integram às suas contas da AWS. Em vez de configurar manualmente vários serviços da AWS, você pode delegar permissões temporárias e limitadas que permitem que o provedor do produto conclua as tarefas de configuração em seu nome em minutos por meio de fluxos de trabalho de implantação automatizados. Você mantém o controle administrativo com os requisitos de aprovação e os limites de permissões, enquanto as permissões do provedor do produto expiram automaticamente após a duração aprovada, sem a necessidade de limpeza manual. Se o produto exigir acesso persistente para operações contínuas, o provedor poderá usar a delegação temporária para criar um perfil do IAM com um limite de permissões que define as permissões máximas do perfil. Todas as atividades dos provedores de produtos são monitoradas pelo AWS CloudTrail para monitoramento de conformidade e segurança.
nota
Solicitações de delegação temporária só podem ser criadas por produtos da Amazon e parceiros qualificados da AWS que concluíram o processo de integração do recurso. Os clientes analisam e aprovam essas solicitações, mas não podem criá-las diretamente. Se você for um parceiro da AWS que deseja integrar a delegação temporária do IAM em seu produto, consulte o Guia de integração de parceiros para obter instruções de integração e inclusão.
Como funciona a delegação temporária
A delegação temporária permite que a Amazon e os parceiros da AWS solicitem acesso temporário e limitado à sua conta. Após sua aprovação, eles podem usar permissões delegadas para realizar ações em seu nome. As solicitações de delegação definem permissões específicas para os serviços da AWS e ações que o provedor do produto precisa para implantar ou configurar recursos em sua conta da AWS. Essas permissões só estão disponíveis por tempo limitado e expiram automaticamente após a duração especificada na solicitação.
nota
A duração máxima do acesso delegado é de 12 horas. No entanto, os usuários-raiz só podem aprovar solicitações de delegação com duração de quatro horas ou menos. Se uma solicitação especificar mais de quatro horas, você deverá usar uma identidade não raiz para aprovar a solicitação. Para obter detalhes, consulte Capacidade beta de simulação de permissão.
Para tarefas contínuas, como a leitura de um bucket do Amazon S3, as solicitações de delegação podem incluir a criação de um perfil do IAM que permite acesso contínuo a recursos e ações após a expiração do acesso temporário. Os provedores de produtos devem anexar um limite de permissões a qualquer perfil do IAM criado por meio de delegação temporária. Os limites de permissões limitam as permissões máximas de um perfil, mas não concedem permissões sozinhos. Você pode analisar o limite da permissões como parte da solicitação antes de aprová-la. Para obter detalhes, consulte Limites de permissões.
O processo funciona da seguinte maneira:
Você faz login em um produto da Amazon ou de um parceiro da AWS para integrá-lo ao seu ambiente da AWS.
O provedor do produto inicia uma solicitação de delegação em seu nome e o redireciona para o Console de Gerenciamento da AWS.
Você analisa as permissões solicitadas e determina se deve aprovar, negar ou encaminhar a solicitação ao administrador.
Depois que você ou seu administrador aprovar a solicitação, o provedor do produto poderá obter as credenciais temporárias do aprovador para realizar as tarefas necessárias.
O acesso do provedor do produto expira automaticamente após o período especificado. No entanto, qualquer perfil do IAM criado por meio da solicitação de delegação temporária persiste além desse período, permitindo que o provedor do produto continue acessando os recursos e as ações para tarefas de gerenciamento contínuas.
nota
Você só poderá delegar permissões a um provedor de produto se tiver permissões para os serviços e as ações incluídos na solicitação de delegação temporária. Se você não tiver acesso às ações e aos serviços solicitados, o provedor do produto não receberá essas permissões quando você aprovar a solicitação.
Se a verificação de permissão mostrar que é provável que seja bem-sucedida, você poderá aprovar a solicitação de delegação temporária e continuar com o fluxo de trabalho.
Se a verificação de permissão mostrar que você pode não ter permissões suficientes, encaminhe a solicitação ao administrador para aprovação. Recomendamos notificar seu administrador sobre essa solicitação usando seu método preferencial, como um e-mail ou um tíquete.
Depois que o administrador aprova a solicitação, o que acontece a seguir depende da configuração do provedor do produto:
Se o provedor do produto solicitar acesso imediato, ele receberá automaticamente permissões temporárias e a duração do acesso começará.
Se o provedor do produto tiver solicitado a liberação pelo proprietário (destinatário inicial), você deverá retornar à solicitação para compartilhar explicitamente o acesso temporário à conta antes que a duração do acesso comece. Os provedores de produtos geralmente usam essa opção quando precisam de informações adicionais de você, como a seleção de recursos ou os detalhes de configuração, para concluir a tarefa necessária.
Gerenciamento de permissões para solicitações de delegação
Os administradores podem conceder permissões às entidades principais do IAM para gerenciar solicitações de delegação de provedores de produtos. Isso é útil quando você deseja delegar autoridade de aprovação a usuários ou equipes específicos em sua organização ou quando precisa controlar quem pode realizar ações específicas em solicitações de delegação.
As seguintes permissões do IAM estão disponíveis para gerenciar solicitações de delegação:
| Permissão | Descrição |
|---|---|
| iam:AssociateDelegationRequest | Associe uma solicitação de delegação não atribuída à sua conta da AWS |
| iam:GetDelegationRequest | Visualize detalhes de uma solicitação de delegação |
| iam:UpdateDelegationRequest | Encaminhe uma solicitação de delegação a um administrador para aprovação |
| iam:AcceptDelegationRequest | Aprove uma solicitação de delegação |
| iam:SendDelegationToken | Libere o token de troca para o provedor do produto após a aprovação |
| iam:RejectDelegationRequest | Rejeite uma solicitação de delegação |
| iam:ListDelegationRequests | Liste solicitações de delegação para sua conta |
nota
Por padrão, as entidades principais do IAM que iniciam uma solicitação de delegação recebem automaticamente permissões para gerenciar essa solicitação específica. Elas podem associá-la à sua conta, visualizar os detalhes da solicitação, rejeitar uma solicitação, encaminhá-la a um administrador para aprovação, liberar o token de troca para o provedor do produto após a aprovação do administrador e listar as solicitações de delegação de sua propriedade.
