# Delegação temporária do IAM
## Visão geral
A delegação temporária acelera a integração e simplifica o gerenciamento de produtos da Amazon e de parceiros da AWS que se integram às suas contas da AWS. Em vez de configurar manualmente vários serviços da AWS, você pode delegar permissões temporárias e limitadas que permitem que o provedor do produto conclua as tarefas de configuração em seu nome em minutos por meio de fluxos de trabalho de implantação automatizados. Você mantém o controle administrativo com os requisitos de aprovação e os limites de permissões, enquanto as permissões do provedor do produto expiram automaticamente após a duração aprovada, sem a necessidade de limpeza manual. Se o produto exigir acesso persistente para operações contínuas, o provedor poderá usar a delegação temporária para criar um perfil do IAM com um limite de permissões que define as permissões máximas do perfil. Todas as atividades dos provedores de produtos são monitoradas pelo AWS CloudTrail para monitoramento de conformidade e segurança.
**nota**
Solicitações de delegação temporária só podem ser criadas por produtos da Amazon e parceiros qualificados da AWS que concluíram o processo de integração do recurso. Os clientes analisam e aprovam essas solicitações, mas não podem criá-las diretamente. Se você for um parceiro da AWS que deseja integrar a delegação temporária do IAM em seu produto, consulte o [Guia de integração de parceiros](access_policies-temporary-delegation-partner-guide.md) para obter instruções de integração e inclusão.
## Como funciona a delegação temporária
A delegação temporária permite que a Amazon e os parceiros da AWS solicitem acesso temporário e limitado à sua conta. Após sua aprovação, eles podem usar permissões delegadas para realizar ações em seu nome. As solicitações de delegação definem permissões específicas para os serviços da AWS e ações que o provedor do produto precisa para implantar ou configurar recursos em sua conta da AWS. Essas permissões só estão disponíveis por tempo limitado e expiram automaticamente após a duração especificada na solicitação.
**nota**
A duração máxima do acesso delegado é de 12 horas. No entanto, os usuários-raiz só podem aprovar solicitações de delegação com duração de quatro horas ou menos. Se uma solicitação especificar mais de quatro horas, você deverá usar uma identidade não raiz para aprovar a solicitação. Para obter detalhes, consulte [Capacidade beta de simulação de permissão](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).
Para tarefas contínuas, como a leitura de um bucket do Amazon S3, as solicitações de delegação podem incluir a criação de um perfil do IAM que permite acesso contínuo a recursos e ações após a expiração do acesso temporário. Os provedores de produtos devem anexar um limite de permissões a qualquer perfil do IAM criado por meio de delegação temporária. Os limites de permissões limitam as permissões máximas de um perfil, mas não concedem permissões sozinhos. Você pode analisar o limite da permissões como parte da solicitação antes de aprová-la. Para obter detalhes, consulte [Limites de permissões](access_policies_boundaries.md).
O processo funciona da seguinte maneira:
1. Você faz login em um produto da Amazon ou de um parceiro da AWS para integrá-lo ao seu ambiente da AWS.
1. O provedor do produto inicia uma solicitação de delegação em seu nome e o redireciona para o Console de Gerenciamento da AWS.
1. Você analisa as permissões solicitadas e determina se deve aprovar, negar ou encaminhar a solicitação ao administrador.
1. Depois que você ou seu administrador aprovar a solicitação, o provedor do produto poderá obter as credenciais temporárias do aprovador para realizar as tarefas necessárias.
1. O acesso do provedor do produto expira automaticamente após o período especificado. No entanto, qualquer perfil do IAM criado por meio da solicitação de delegação temporária persiste além desse período, permitindo que o provedor do produto continue acessando os recursos e as ações para tarefas de gerenciamento contínuas.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/IAM/latest/UserGuide/images/delegation-flow.png)
**nota**
Você só poderá delegar permissões a um provedor de produto se tiver permissões para os serviços e as ações incluídos na solicitação de delegação temporária. Se você não tiver acesso às ações e aos serviços solicitados, o provedor do produto não receberá essas permissões quando você aprovar a solicitação.
Se a verificação de permissão mostrar que é provável que seja bem-sucedida, você poderá aprovar a solicitação de delegação temporária e continuar com o fluxo de trabalho.
Se a verificação de permissão mostrar que você pode não ter permissões suficientes, encaminhe a solicitação ao administrador para aprovação. Recomendamos notificar seu administrador sobre essa solicitação usando seu método preferencial, como um e-mail ou um tíquete.
Depois que o administrador aprova a solicitação, o que acontece a seguir depende da configuração do provedor do produto:
+ Se o provedor do produto solicitar acesso imediato, ele receberá automaticamente permissões temporárias e a duração do acesso começará.
+ Se o provedor do produto tiver solicitado a liberação pelo proprietário (destinatário inicial), você deverá retornar à solicitação para compartilhar explicitamente o acesso temporário à conta antes que a duração do acesso comece. Os provedores de produtos geralmente usam essa opção quando precisam de informações adicionais de você, como a seleção de recursos ou os detalhes de configuração, para concluir a tarefa necessária.
# Iniciar uma solicitação de delegação temporária
Você pode iniciar uma solicitação de delegação temporária somente de produtos compatíveis da Amazon ou de parceiros da AWS. Durante um fluxo de trabalho que ofereça suporte à delegação temporária, você será solicitado a conceder ao provedor do produto permissões temporárias e limitadas para configurar os recursos necessários da AWS em sua conta. Essa abordagem automatizada fornece uma experiência mais otimizada, eliminando a necessidade de configurar esses recursos manualmente.
Você pode revisar os detalhes da solicitação de delegação, como os perfis, as políticas e os serviços da AWS específicos do IAM de que o provedor do produto precisa antes de conceder acesso. Você mesmo pode aprovar a solicitação, se tiver permissões suficientes, ou encaminhar a solicitação ao administrador da conta para aprovação. Todo o acesso do provedor do produto tem limite de tempo e pode ser monitorado e revogado conforme necessário.
**Para iniciar uma solicitação de delegação temporária**
1. Navegue até o console de um produto compatível da Amazon ou de parceiros da AWS que exija integração com sua conta da AWS.
1. Selecione *Implantar com delegação temporária do IAM*. Observe que o nome da opção pode variar entre os produtos compatíveis. Consulte a documentação do provedor do produto para obter detalhes.
**nota**
Se você ainda não estiver conectado ao Console de Gerenciamento da AWS, uma nova janela será aberta na página de login da AWS. Recomendamos que você faça login na sua conta da AWS antes de iniciar a solicitação de delegação temporária no console do produto. Para obter mais informações sobre como fazer login com base no seu tipo de usuário e nos recursos da AWS que deseja acessar, consulte o [Guia de início de sessão da AWS](docs---aws.amazon.com.rproxy.govskope.casignin/latest/userguide/what-is-sign-in.html).
1. Revise os detalhes da solicitação para confirmar o nome do produto e a conta da AWS do provedor do produto. Você também pode revisar a identidade da AWS que o provedor do produto usará para executar ações em seu nome.
1. Revise os *detalhes do acesso* para ver as permissões que serão delegadas temporariamente ao aprovar essa solicitação.
+ A seção *Resumo das permissões* fornece uma visão geral de alto nível gerada por IA que pode ajudar você a entender quais categorias de serviços da AWS podem ser acessadas e quais tipos de ações podem ser executadas em cada serviço.
+ Escolha *Exibir JSON* para revisar as permissões específicas que o provedor do produto precisa implantar em sua conta da AWS, incluindo o escopo de acesso e as limitações de recursos.
+ Se o provedor do produto criar um perfil do IAM como parte de uma solicitação de delegação temporária, um limite de permissões deverá ser anexado ao perfil. Esses perfis do IAM têm permissões que continuam a permitir acesso a recursos e ações após a expiração da duração do acesso solicitado. Escolha *Visualizar detalhes* para revisar o limite de permissões, que define as permissões máximas que o perfil pode ter. O provedor do produto aplicará políticas adicionais ao perfil durante a criação que definam suas permissões reais. Essas políticas podem parecer ser mais restritas ou mais amplas do que o limite, dependendo de como o provedor do produto as define. No entanto, o limite de permissões garante que as permissões efetivas do perfil nunca excedam o que você vê durante a aprovação da solicitação, independentemente das políticas associadas ao perfil. Para obter mais informações, consulte[Limites de permissões](access_policies_boundaries.md).
1. Analise os resultados da simulação de permissão. O recurso de simulação de permissão avalia automaticamente as permissões de sua identidade em relação às incluídas na solicitação. Com base nessa análise, uma recomendação é exibida indicando se você deve aprovar a solicitação com sua identidade atual ou encaminhar a solicitação para um administrador. Para obter detalhes, consulte [Capacidade beta de simulação de permissão](#temporary-delegation-permission-simulation).
1. Na caixa de diálogo, selecione como deseja continuar.
+ Selecione *Permitir acesso* quando sua identidade tiver permissões suficientes para permitir que o provedor do produto realize procedimentos de integração em seu nome. Quando você seleciona essa opção, a duração do acesso do provedor do produto começa assim que você fornece acesso.
+ Selecione *Solicitar aprovação* se sua identidade não tiver permissões suficientes para permitir que o provedor do produto realize procedimentos de integração em seu nome. Em seguida, escolha *Criar solicitação de aprovação*. Quando você seleciona essa opção, é criado um link de solicitação de delegação temporária que você pode compartilhar com o administrador da conta. Seu administrador pode acessar o Console de Gerenciamento da AWS ou usar o link de acesso para revisar as solicitações de delegação temporária para aprovar a solicitação e compartilhar o acesso temporário com o solicitante.
**nota**
Conceder acesso ao provedor do produto requer duas ações: aceitar a solicitação de delegação (`AcceptDelegationRequest`) e liberar o token de troca (`SendDelegatedToken`). O Console de Gerenciamento da AWS executa as duas etapas automaticamente quando você aprova uma solicitação. Se você usar a AWS CLI ou a API, deverá executar as duas etapas separadamente.
## Capacidade beta de simulação de permissão
Ao receber uma solicitação de delegação temporária, você mesmo pode aprová-la ou encaminhá-la ao administrador da conta para aprovação. Você só poderá delegar permissões a um provedor de produto se tiver permissões para os serviços e as ações incluídos na solicitação de delegação temporária. Se você não tiver acesso aos serviços e ações solicitados, o provedor do produto não receberá essas permissões, mesmo que elas estejam incluídas na solicitação.
Por exemplo, uma solicitação de delegação temporária exige a capacidade de criar um bucket do Amazon S3, iniciar e interromper instâncias no Amazon EC2 e assumir uma perfil do IAM. A identidade que aprova a solicitação pode iniciar e interromper instâncias no Amazon EC2 e assumir um perfil do IAM, mas não tem permissão para criar um bucket do Amazon S3. Quando essa identidade aprova a solicitação, o provedor do produto não consegue criar um bucket do Amazon S3, mesmo que essas permissões tenham sido incluídas na solicitação de delegação temporária.
Como você só pode delegar permissões que você já possui, é fundamental avaliar se você tem as permissões solicitadas antes de aprovar. O recurso beta de simulação de permissões ajuda nessa avaliação comparando suas permissões com as incluídas na solicitação. A avaliação indica se você pode aprovar a solicitação com sua identidade atual ou se precisa encaminhá-la para um administrador. Se a análise não puder validar que você tem permissões suficientes, encaminhe a solicitação a um administrador para análise. Essa avaliação é baseada em uma análise simulada de permissões e pode ser diferente do seu ambiente ativo da AWS, portanto, analise as permissões solicitadas com cuidado antes de continuar.
## Próximas etapas
Depois de iniciar uma solicitação de delegação temporária, você pode gerenciar e monitorar a solicitação ao longo de todo o seu ciclo de vida. Os seguintes procedimentos ajudam você a rastrear, aprovar e controlar o acesso temporário:
+ [Revisar as solicitações de delegação temporária](temporary-delegation-review-requests.md): monitore o status de suas solicitações de acesso e visualize informações detalhadas sobre as solicitações para aprovar ou negar solicitações de delegação temporária.
+ [Revogar o acesso de delegação temporária](temporary-delegation-revoke-access.md): encerre imediatamente as sessões ativas de delegação temporária antes que elas expirem naturalmente.
# Analisar as solicitações de delegação temporária
Depois de iniciar uma solicitação de delegação temporária, você pode monitorar, aprovar e rejeitar solicitações no console do IAM. A página de solicitações de delegação temporária fornece uma visão centralizada de todas as solicitações, incluindo aquelas que estão com a aprovação pendente, concluídas ou rejeitadas. Como administrador, você pode analisar essas solicitações para conceder aos provedores de produtos acesso aos recursos da AWS ou rejeitá-las com base nas políticas de segurança, nos requisitos do negócio ou nos padrões de conformidade da sua organização. Essa visibilidade ajuda você a monitorar o ciclo de vida do acesso do provedor do produto e a manter a supervisão das permissões temporárias.
**nota**
Você deve ter a permissão iam:AcceptDelegationRequest para aprovar solicitações de delegação temporária.
**Para aprovar uma solicitação de delegação temporária**
1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.
1. No painel de navegação à esquerda, escolha *Solicitações de delegação temporária*.
1. A página principal exibe uma lista das solicitações de delegação temporária com as seguintes informações:
+ *ID da solicitação*: identificador exclusivo da solicitação
+ *Status*: status atual (pendente, aprovado, rejeitado, compartilhado, expirado)
+ *Solicitante*: provedor do produto associado à solicitação
+ *Iniciado por*: a entidade principal do IAM na conta que iniciou a solicitação para o provedor do produto
+ *Solicitação criada*: quando a solicitação foi enviada
+ *Expiração da solicitação*: quando a solicitação expirou ou expirará
1. (Opcional) Use as opções de filtro para visualizar as solicitações por status:
+ *Todas as solicitações*: visualize todas as suas solicitações, independentemente do status
+ *Pendente*: visualize as solicitações que aguardam a aprovação do administrador
+ *Aprovada*: visualize as solicitações aprovadas
+ *Compartilhada*: visualize as solicitações para as quais o acesso foi compartilhado
+ *Rejeitada*: visualize as solicitações rejeitadas com os motivos da rejeição
1. Para ver as informações detalhadas sobre uma solicitação específica ou para analisar uma solicitação com a aprovação pendente, escolha o ID da solicitação.
1. Analise as informações detalhadas da solicitação:
+ Informações do provedor do produto
+ Motivo e justificativa doa solicitação
+ Duração solicitada
+ Permissões solicitadas da AWS
1. Se você for um administrador que está analisando uma solicitação pendente, escolha uma das seguintes opções:
+ Para aprovar a solicitação, escolha *Aprovar*. Na caixa de diálogo de aprovação, é possível visualizar os resultados da simulação da permissão. Para obter mais informações, consulte [Capacidade beta de simulação de permissão](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Depois de confirmar a duração do acesso e sua identidade da AWS, escolha *Aprovar* para conceder acesso. Se o provedor do produto solicitar acesso imediato, ele receberá automaticamente permissões temporárias e a duração do acesso começará. Caso contrário, notifique a pessoa que iniciou a solicitação para liberar o acesso ao provedor do produto.
+ Para rejeitar a solicitação, escolha *Rejeitar*.
+ Na caixa de diálogo de rejeição, forneça um motivo claro para a rejeição para ajudar o solicitante a entender por que sua solicitação foi negada.
+ Escolha *Rejeitar* para negar o acesso.
1. A lista de solicitações é atualizada automaticamente para mostrar as informações de status mais atuais. Você também pode atualizar a página manualmente para verificar se há atualizações de status.
# Revogar o acesso temporário da delegação
Embora as sessões de acesso do provedor do produto tenham sido projetadas para expirar automaticamente após a duração aprovada, talvez seja necessário encerrar o acesso imediatamente em determinadas situações. A revogação do acesso ativo do provedor do produto fornece um mecanismo de controle de emergência quando surgem questões de segurança, quando o trabalho do provedor do produto é concluído antecipadamente ou quando os requisitos do negócio mudam. Tanto os iniciadores quanto os administradores da solicitação podem revogar o acesso para manter a segurança e o controle operacional.
**Para revogar o acesso temporário da delegação**
1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.
1. No painel de navegação à esquerda, escolha *Solicitações de delegação temporária*.
1. Localize o ID da solicitação da sessão de acesso que você deseja revogar.
1. Escolha *Ações* e depois *Revogar acesso*.
1. Na caixa de diálogo, escolha *Revogar acesso* para confirmar que você deseja encerrar imediatamente a sessão de acesso.
Após revogar o acesso, o provedor do produto não poderá mais acessar seus recursos da AWS. A revogação é registrada em log no AWS CloudTrail para fins de auditoria.
**Importante**
A revogação do acesso encerra imediatamente a sessão de acesso do provedor do produto. Qualquer trabalho ou processo em andamento usando o acesso será interrompido. Certifique-se de que a revogação não interrompa operações críticas.
**nota**
Você não pode revogar o acesso para solicitações que foram aprovadas usando um usuário-raiz. A AWS recomenda que você evite usar um usuário-raiz para aprovar solicitações de delegação. Use um perfil do IAM com as permissões adequadas.
## Gerenciamento de permissões para solicitações de delegação
Os administradores podem conceder permissões às entidades principais do IAM para gerenciar solicitações de delegação de provedores de produtos. Isso é útil quando você deseja delegar autoridade de aprovação a usuários ou equipes específicos em sua organização ou quando precisa controlar quem pode realizar ações específicas em solicitações de delegação.
As seguintes permissões do IAM estão disponíveis para gerenciar solicitações de delegação:
| Permissão | Descrição |
| --- | --- |
| iam:AssociateDelegationRequest | Associe uma solicitação de delegação não atribuída à sua conta da AWS |
| iam:GetDelegationRequest | Visualize detalhes de uma solicitação de delegação |
| iam:UpdateDelegationRequest | Encaminhe uma solicitação de delegação a um administrador para aprovação |
| iam:AcceptDelegationRequest | Aprove uma solicitação de delegação |
| iam:SendDelegationToken | Libere o token de troca para o provedor do produto após a aprovação |
| iam:RejectDelegationRequest | Rejeite uma solicitação de delegação |
| iam:ListDelegationRequests | Liste solicitações de delegação para sua conta |
**nota**
Por padrão, as entidades principais do IAM que iniciam uma solicitação de delegação recebem automaticamente permissões para gerenciar essa solicitação específica. Elas podem associá-la à sua conta, visualizar os detalhes da solicitação, rejeitar uma solicitação, encaminhá-la a um administrador para aprovação, liberar o token de troca para o provedor do produto após a aprovação do administrador e listar as solicitações de delegação de sua propriedade.
# Notificações
A delegação temporária do IAM se integra às Notificações de Usuários da AWS para ajudar você a se manter informado sobre as mudanças no estado da solicitação de delegação. As notificações são particularmente úteis para administradores que precisam revisar e aprovar solicitações de delegação.
Com as Notificações de Usuários da AWS, você pode configurar alertas para serem entregues por meio de vários canais, incluindo e-mail, o Amazon Simple Notification Service (SNS), o AWS Chatbot para Slack ou Microsoft Teams e o aplicativo móvel do Console da AWS. Isso garante que as pessoas certas sejam notificadas no momento certo, permitindo uma resposta mais rápida às aprovações pendentes ou o conhecimento das mudanças de acesso. Você também pode personalizar quais eventos acionam notificações com base nas necessidades e nos requisitos de segurança da sua organização.
## Eventos de notificação disponíveis
É possível se inscrever para receber notificações para os seguintes eventos de delegação temporária do IAM:
+ Solicitação de delegação temporária do IAM criada
+ Solicitação de delegação temporária do IAM atribuída
+ Solicitação de delegação temporária do IAM com aprovação pendente
+ Solicitação de delegação temporária do IAM rejeitada
+ Solicitação de delegação temporária do IAM aceita
+ Solicitação de delegação temporária do IAM finalizada
+ Solicitação de delegação temporária do IAM expirada
## Configuração de notificações
Para configurar notificações para eventos de delegação temporária do IAM:
1. Abra o console das Notificações de Usuários da AWS
1. Crie ou atualize uma configuração de notificação
1. Selecione AWS IAM como o serviço
1. Escolha sobre quais eventos de solicitação de delegação você deseja ser notificado
1. Configure seus canais de entrega (e-mail, AWS Chatbot etc.)
Para obter instruções detalhadas sobre como configurar as Notificações de Usuários da AWS, incluindo a configuração de canais de entrega e o gerenciamento de regras de notificação, consulte a documentação de Notificações de Usuários da AWS.
# CloudTrail
Todas as ações realizadas pelos provedores de produtos usando acesso delegado temporário são registradas automaticamente no AWS CloudTrail. Isso fornece uma visibilidade e auditabilidade completas da atividade do provedor do produto em sua conta da AWS. Você pode identificar quais ações foram executadas pelos provedores de produtos, quando elas ocorreram e qual conta de provedor de produto as executou.
Para ajudar você a distinguir entre as ações executadas por suas próprias entidades principais do IAM e aquelas realizadas por provedores de produtos com acesso delegado, os eventos do CloudTrail incluem um novo campo chamado `invokedByDelegate` abaixo do elemento `userIdentity`. Esse campo contém o ID da conta da AWS do provedor do produto, facilitando a filtragem e a auditoria de todas as ações delegadas.
## Estrutura de eventos do CloudTrail
O exemplo abaixo mostra uma evento do CloudTrail para uma ação realizada por um provedor de produtos usando acesso delegado temporário:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
O campo `invokedByDelegate` contém o ID da conta da AWS do provedor do produto que executou a ação usando o acesso delegado. Neste exemplo, a conta 444455556666 (o provedor do produto) executou uma ação na conta 111122223333 (a conta do cliente).