Análise das permissões
Como parte do processo de integração de recursos, você precisará registrar políticas no IAM que definam as permissões que você deseja solicitar nas contas dos clientes da AWS. O processo de registro fornece uma experiência mais consistente para os clientes e ajuda a evitar armadilhas comuns na criação de políticas.
Durante o registro, a AWS avalia suas políticas em relação a um conjunto de validações. Essas validações têm como objetivo padronizar a formatação e a estrutura das políticas e fornecer proteções básicas contra antipadrões conhecidos. As validações também reduzem o risco de escalonamentos de privilégios, acesso não intencional entre contas e amplo acesso a recursos de alto valor nas contas dos clientes.
Tipos de permissões
A AWS considerará duas categorias de permissões: temporárias e de longo prazo.
Permissões temporárias
As permissões temporárias limitam as permissões atribuídas a qualquer sessão temporária de acesso delegado. As permissões temporárias são descritas nos modelos de política que são aplicados à sessão delegada. Os modelos oferecem suporte aos parâmetros que você fornece ao criar uma solicitação de delegação. Esses valores de parâmetros são então vinculados à sessão. Atualmente, as permissões temporárias funcionam da mesma forma que as políticas de sessão disponíveis no AWS STS: as políticas limitam a capacidade do usuário subjacente, mas não concedem nenhum acesso adicional. Para obter mais informações, consulte a documentação do AWS STS nas políticas de sessão.
Permissões de longo prazo
As permissões de longo prazo limitam as permissões de qualquer perfil criado ou gerenciado por meio de acesso temporário. As permissões de longo prazo são implementadas como limites de permissões do IAM. Você pode enviar um ou mais limites de permissões para a AWS como parte da integração. Depois de aprovado, a AWS compartilhará com você um ARN de política que você pode referenciar em suas políticas.
Essas políticas de limite têm duas características marcantes. Primeiro, elas são imutáveis. Se quiser atualizar as permissões, você pode registrar um novo limite de permissões. Depois, você pode anexar o novo limite de permissões aos perfis de seus clientes enviando uma nova solicitação de delegação. Segundo, as políticas não são modeladas. Como a mesma política de limite é compartilhada globalmente, ela não pode ser alterada de forma individualizada por cliente.
Importante
Os limites de permissões têm um limite máximo de tamanho de 6.144 caracteres.
nota
Se você quiser atualizar um limite de permissões ou modelo de política, entre em contato com o IAM em aws-iam-partner-onboarding@amazon.com. Depois que o novo limite de permissões for registrado, você poderá enviar uma solicitação de delegação aos clientes para atualizar o perfil do IAM e anexar o limite de permissões recém-registrado. Consulte a seção Exemplos para obter mais detalhes.
Exemplo de caso de uso: workload de processamento de dados
Considere um provedor de produtos que executa uma workload de processamento de dados nas contas dos clientes. O provedor precisa configurar a infraestrutura durante a integração inicial, mas também requer acesso contínuo para operar a workload.
Permissões temporárias (para a configuração inicial):
Criar instâncias do Amazon EC2, a VPC e grupos de segurança
Criar um bucket do Amazon S3 para dados processados
Criar um perfil do IAM para operações em andamento
Anexar um limite de permissões ao perfil do IAM
Permissões de longo prazo (perfil do IAM com limite de permissões para operações em andamento):
Iniciar e interromper as instâncias do Amazon EC2 para executar trabalhos de processamento
Ler dados de entrada de um bucket do Amazon S3
Gravar resultados processados no bucket do Amazon S3
As permissões temporárias são usadas uma vez durante a integração para configurar a infraestrutura. O perfil do IAM criado durante esse processo tem um limite de permissões que limita suas permissões máximas somente às operações necessárias para o gerenciamento contínuo da workload. Isso garante que, mesmo que as políticas do perfil sejam modificadas, ele não exceda as permissões definidas no limite.
