Capacidade beta de simulação de permissão Próximas etapas

Iniciar uma solicitação de delegação temporária

Você pode iniciar uma solicitação de delegação temporária somente de produtos compatíveis da Amazon ou de parceiros da AWS. Durante um fluxo de trabalho que ofereça suporte à delegação temporária, você será solicitado a conceder ao provedor do produto permissões temporárias e limitadas para configurar os recursos necessários da AWS em sua conta. Essa abordagem automatizada fornece uma experiência mais otimizada, eliminando a necessidade de configurar esses recursos manualmente.

Você pode revisar os detalhes da solicitação de delegação, como os perfis, as políticas e os serviços da AWS específicos do IAM de que o provedor do produto precisa antes de conceder acesso. Você mesmo pode aprovar a solicitação, se tiver permissões suficientes, ou encaminhar a solicitação ao administrador da conta para aprovação. Todo o acesso do provedor do produto tem limite de tempo e pode ser monitorado e revogado conforme necessário.

Para iniciar uma solicitação de delegação temporária

Navegue até o console de um produto compatível da Amazon ou de parceiros da AWS que exija integração com sua conta da AWS.
Selecione Implantar com delegação temporária do IAM. Observe que o nome da opção pode variar entre os produtos compatíveis. Consulte a documentação do provedor do produto para obter detalhes.

nota
Se você ainda não estiver conectado ao Console de Gerenciamento da AWS, uma nova janela será aberta na página de login da AWS. Recomendamos que você faça login na sua conta da AWS antes de iniciar a solicitação de delegação temporária no console do produto. Para obter mais informações sobre como fazer login com base no seu tipo de usuário e nos recursos da AWS que deseja acessar, consulte o Guia de início de sessão da AWS.
Revise os detalhes da solicitação para confirmar o nome do produto e a conta da AWS do provedor do produto. Você também pode revisar a identidade da AWS que o provedor do produto usará para executar ações em seu nome.
Revise os detalhes do acesso para ver as permissões que serão delegadas temporariamente ao aprovar essa solicitação.
- A seção Resumo das permissões fornece uma visão geral de alto nível gerada por IA que pode ajudar você a entender quais categorias de serviços da AWS podem ser acessadas e quais tipos de ações podem ser executadas em cada serviço.
- Escolha Exibir JSON para revisar as permissões específicas que o provedor do produto precisa implantar em sua conta da AWS, incluindo o escopo de acesso e as limitações de recursos.
- Se o provedor do produto criar um perfil do IAM como parte de uma solicitação de delegação temporária, um limite de permissões deverá ser anexado ao perfil. Esses perfis do IAM têm permissões que continuam a permitir acesso a recursos e ações após a expiração da duração do acesso solicitado. Escolha Visualizar detalhes para revisar o limite de permissões, que define as permissões máximas que o perfil pode ter. O provedor do produto aplicará políticas adicionais ao perfil durante a criação que definam suas permissões reais. Essas políticas podem parecer ser mais restritas ou mais amplas do que o limite, dependendo de como o provedor do produto as define. No entanto, o limite de permissões garante que as permissões efetivas do perfil nunca excedam o que você vê durante a aprovação da solicitação, independentemente das políticas associadas ao perfil. Para obter mais informações, consulteLimites de permissões.
Analise os resultados da simulação de permissão. O recurso de simulação de permissão avalia automaticamente as permissões de sua identidade em relação às incluídas na solicitação. Com base nessa análise, uma recomendação é exibida indicando se você deve aprovar a solicitação com sua identidade atual ou encaminhar a solicitação para um administrador. Para obter detalhes, consulte Capacidade beta de simulação de permissão.
Na caixa de diálogo, selecione como deseja continuar.
- Selecione Permitir acesso quando sua identidade tiver permissões suficientes para permitir que o provedor do produto realize procedimentos de integração em seu nome. Quando você seleciona essa opção, a duração do acesso do provedor do produto começa assim que você fornece acesso.
- Selecione Solicitar aprovação se sua identidade não tiver permissões suficientes para permitir que o provedor do produto realize procedimentos de integração em seu nome. Em seguida, escolha Criar solicitação de aprovação. Quando você seleciona essa opção, é criado um link de solicitação de delegação temporária que você pode compartilhar com o administrador da conta. Seu administrador pode acessar o Console de Gerenciamento da AWS ou usar o link de acesso para revisar as solicitações de delegação temporária para aprovar a solicitação e compartilhar o acesso temporário com o solicitante.

nota

Conceder acesso ao provedor do produto requer duas ações: aceitar a solicitação de delegação (AcceptDelegationRequest) e liberar o token de troca (SendDelegatedToken). O Console de Gerenciamento da AWS executa as duas etapas automaticamente quando você aprova uma solicitação. Se você usar a AWS CLI ou a API, deverá executar as duas etapas separadamente.

Capacidade beta de simulação de permissão

Ao receber uma solicitação de delegação temporária, você mesmo pode aprová-la ou encaminhá-la ao administrador da conta para aprovação. Você só poderá delegar permissões a um provedor de produto se tiver permissões para os serviços e as ações incluídos na solicitação de delegação temporária. Se você não tiver acesso aos serviços e ações solicitados, o provedor do produto não receberá essas permissões, mesmo que elas estejam incluídas na solicitação.

Por exemplo, uma solicitação de delegação temporária exige a capacidade de criar um bucket do Amazon S3, iniciar e interromper instâncias no Amazon EC2 e assumir uma perfil do IAM. A identidade que aprova a solicitação pode iniciar e interromper instâncias no Amazon EC2 e assumir um perfil do IAM, mas não tem permissão para criar um bucket do Amazon S3. Quando essa identidade aprova a solicitação, o provedor do produto não consegue criar um bucket do Amazon S3, mesmo que essas permissões tenham sido incluídas na solicitação de delegação temporária.

Como você só pode delegar permissões que você já possui, é fundamental avaliar se você tem as permissões solicitadas antes de aprovar. O recurso beta de simulação de permissões ajuda nessa avaliação comparando suas permissões com as incluídas na solicitação. A avaliação indica se você pode aprovar a solicitação com sua identidade atual ou se precisa encaminhá-la para um administrador. Se a análise não puder validar que você tem permissões suficientes, encaminhe a solicitação a um administrador para análise. Essa avaliação é baseada em uma análise simulada de permissões e pode ser diferente do seu ambiente ativo da AWS, portanto, analise as permissões solicitadas com cuidado antes de continuar.

Próximas etapas

Depois de iniciar uma solicitação de delegação temporária, você pode gerenciar e monitorar a solicitação ao longo de todo o seu ciclo de vida. Os seguintes procedimentos ajudam você a rastrear, aprovar e controlar o acesso temporário:

Revisar as solicitações de delegação temporária: monitore o status de suas solicitações de acesso e visualize informações detalhadas sobre as solicitações para aprovar ou negar solicitações de delegação temporária.
Revogar o acesso de delegação temporária: encerre imediatamente as sessões ativas de delegação temporária antes que elas expirem naturalmente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Delegação temporária

Analisar as solicitações de delegação temporária