本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 暫時委派
概觀
暫時委派可加速加入,並簡化 Amazon 和與您 AWS 帳戶整合之 AWS 合作夥伴的產品管理。您可以委派暫時的有限許可,允許產品提供者透過自動化部署工作流程在幾分鐘內代表您完成設定任務,而不是手動設定多個 AWS 服務。您可以維護具有核准要求和許可界限的管理控制,而產品提供者許可會在核准的持續時間後自動過期,而不需要手動清除。如果產品需要持續存取以進行持續操作,提供者可以使用暫時委派來建立具有定義角色最大許可之許可界限的 IAM 角色。所有產品提供者活動都會透過 AWS CloudTrail 進行追蹤,以進行合規和安全性監控。
注意
暫時委派請求只能由 Amazon 產品和已完成功能加入程序的合格 AWS 合作夥伴建立。客戶會檢閱並核准這些請求,但無法直接建立這些請求。如果您是希望將 IAM 臨時委派整合到您的產品的 AWS 合作夥伴,請參閱 合作夥伴整合指南中的入門和整合說明。
暫時委派的運作方式
暫時委派可讓 Amazon 和 AWS 合作夥伴請求暫時、有限存取您的帳戶。在您核准後,他們可以使用委派的許可代表您執行動作。委派請求會定義產品提供者在 AWS 帳戶中部署或設定資源所需的 AWS 服務和動作的特定許可。這些許可僅在有限時間內可用,並在請求中指定的持續時間後自動過期。
注意
委派存取的持續時間上限為 12 小時。不過,根使用者只能核准持續時間為 4 小時或更短的委派請求。如果請求指定超過 4 小時,您必須使用非根身分來核准請求。如需詳細資訊,請參閱許可模擬測試版功能。
對於持續進行的任務,例如從 Amazon S3 儲存貯體讀取,委派請求可以包括建立 IAM 角色,允許在暫時存取過期後繼續存取資源和動作。產品提供者必須將許可界限連接至透過暫時委派建立的任何 IAM 角色。許可界限會限制角色的最大許可,但不會自行授予許可。您可以在核准之前檢閱許可界限,做為請求的一部分。如需詳細資訊,請參閱許可界限。
程序的運作方式如下:
您登入 Amazon 或 AWS 合作夥伴產品,將其與您的 AWS 環境整合。
產品提供者會代表您啟動委派請求,並將您重新導向至 AWS 管理主控台。
您可以檢閱請求的許可,並決定是否核准、拒絕或轉送請求給管理員。
一旦您或您的管理員核准請求,產品提供者就可以取得核准者的臨時登入資料來執行必要的任務。
產品提供者存取會在指定的時段後自動過期。不過,透過暫時委派請求建立的任何 IAM 角色會保留超過此期間,可讓產品提供者繼續存取持續管理任務的資源和動作。
注意
只有在您擁有暫時委派請求中包含的服務和動作的許可時,才能將許可委派給產品提供者。如果您無法存取請求的服務和動作,產品提供者不會在您核准請求時收到這些許可。
如果許可檢查顯示可能成功,您可以核准暫時委派請求並繼續工作流程。
如果許可檢查顯示您可能沒有足夠的許可,請將請求轉送給您的管理員以進行核准。我們建議您使用電子郵件或票證等偏好的方法來通知管理員此請求。
管理員核准請求後,接下來會發生什麼情況取決於產品提供者的組態:
如果產品提供者請求立即存取,他們會自動收到暫時許可,且存取持續時間開始。
如果產品提供者請求擁有者 (初始收件人) 發行,您必須在存取期間開始之前返回請求以明確共用臨時帳戶存取。產品提供者通常會在需要額外的輸入時,使用此選項來完成所需的任務,例如資源選擇或組態詳細資訊。
管理委派請求的許可
管理員可以授予 IAM 主體許可,以管理來自產品提供者的委派請求。當您想要將核准授權委派給組織中的特定使用者或團隊,或是您需要控制誰可以對委派請求執行特定動作時,這非常有用。
下列 IAM 許可可用於管理委派請求:
| 權限 | Description |
|---|---|
| iam:AssociateDelegationRequest | 將未指派的委派請求與 AWS 您的帳戶建立關聯 |
| iam:GetDelegationRequest | 檢視委派請求的詳細資訊 |
| iam:UpdateDelegationRequest | 將委派請求轉送給管理員以進行核准 |
| iam:AcceptDelegationRequest | 核准委派請求 |
| iam:SendDelegationToken | 核准後將交換字符釋出給產品供應商 |
| iam:RejectDelegationRequest | 拒絕委派請求 |
| iam:ListDelegationRequests | 列出您帳戶的委派請求 |
注意
根據預設,啟動委派請求的 IAM 主體會自動獲得管理該特定請求的許可。他們可以將其與其帳戶建立關聯、檢視請求詳細資訊、拒絕請求、將其轉送給管理員進行核准、在管理員核准後將交換字符釋出給產品提供者,以及列出他們擁有的委派請求。
