本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# IAM 暫時委派
## 概觀
暫時委派可加速加入,並簡化 Amazon 和 AWS 合作夥伴產品與 AWS 您的帳戶整合的管理。您可以委派暫時的有限許可,讓產品提供者透過自動化部署工作流程,在幾分鐘內代表您完成設定任務,而不是手動設定多個 AWS 服務。您可以維護具有核准要求和許可界限的管理控制,而產品提供者許可會在核准的持續時間後自動過期,而不需要手動清除。如果產品需要持續存取以進行持續操作,提供者可以使用暫時委派來建立具有定義角色最大許可之許可界限的 IAM 角色。所有產品提供者活動都會透過 AWS CloudTrail 進行追蹤,以進行合規和安全監控。
**注意**
暫時委派請求只能由已完成功能加入程序的 Amazon 產品和合格 AWS 合作夥伴建立。客戶會檢閱並核准這些請求,但無法直接建立這些請求。如果您是希望將 IAM 臨時委派整合到您的產品的 AWS 合作夥伴,請參閱 [合作夥伴整合指南](access_policies-temporary-delegation-partner-guide.md)中的入門和整合說明。
## 暫時委派的運作方式
暫時委派可讓 Amazon 和 AWS 合作夥伴請求暫時、有限存取您的帳戶。在您核准後,他們可以使用委派的許可代表您執行動作。委派請求會定義產品提供者在 AWS 帳戶中部署或設定資源所需的 AWS 服務和動作的特定許可。這些許可僅在有限時間內可用,並在請求中指定的持續時間後自動過期。
**注意**
委派存取的持續時間上限為 12 小時。不過,根使用者只能核准持續時間為 4 小時或更短的委派請求。如果請求指定超過 4 小時,您必須使用非根身分來核准請求。如需詳細資訊,請參閱[許可模擬測試版功能](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)。
對於持續進行的任務,例如從 Amazon S3 儲存貯體讀取,委派請求可以包括建立 IAM 角色,允許在暫時存取過期後繼續存取資源和動作。產品提供者必須將許可界限連接至透過暫時委派建立的任何 IAM 角色。許可界限會限制角色的最大許可,但不會自行授予許可。您可以在核准許可界限之前,在請求中檢閱許可界限。如需詳細資訊,請參閱[許可界限](access_policies_boundaries.md)。
程序的運作方式如下:
1. 您登入 Amazon 或 AWS 合作夥伴產品,將其與您的 AWS 環境整合。
1. 產品提供者會代表您啟動委派請求,並將您重新導向至 AWS 管理主控台。
1. 您可以檢閱請求的許可,並決定是否核准、拒絕或轉送請求給管理員。
1. 一旦您或您的管理員核准請求,產品提供者就可以取得核准者的臨時登入資料來執行必要的任務。
1. 產品提供者存取會在指定的時段後自動過期。不過,透過暫時委派請求建立的任何 IAM 角色會保留超過此期間,可讓產品提供者繼續存取持續管理任務的資源和動作。
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/IAM/latest/UserGuide/images/delegation-flow.png)
**注意**
只有在您擁有暫時委派請求中包含的服務和動作的許可時,才能將許可委派給產品提供者。如果您無法存取請求的服務和動作,當您核准請求時,產品提供者不會收到這些許可。
如果許可檢查顯示可能成功,您可以核准暫時委派請求並繼續工作流程。
如果許可檢查顯示您可能沒有足夠的許可,請將請求轉送給管理員以進行核准。我們建議您使用您偏好的方法來通知管理員此請求,例如電子郵件或票證。
管理員核准請求後,接下來會發生什麼情況取決於產品提供者的組態:
+ 如果產品提供者請求立即存取,他們會自動收到暫時許可,且存取持續時間開始。
+ 如果產品提供者請求擁有者 (初始收件人) 發行,您必須在存取期間開始之前返回請求以明確共用臨時帳戶存取。當產品提供者需要額外輸入時,例如資源選擇或組態詳細資訊,通常會使用此選項來完成必要的任務。
# 啟動暫時委派請求
您只能從支援的 Amazon 或 AWS 合作夥伴產品啟動暫時委派請求。在支援暫時委派的工作流程期間,系統會提示您授予產品提供者暫時、有限的許可,以設定帳戶中的必要 AWS 資源。這種自動化方法讓您無需手動設定這些資源,即可提供更簡化的體驗。
您可以在授予存取權之前檢閱委派請求詳細資訊,例如產品提供者所需的特定 IAM 角色、政策和 AWS 服務。如果您有足夠的許可,您可以自行核准請求,或將請求轉送給帳戶管理員進行核准。所有產品提供者存取都有時間限制,並可視需要進行監控和撤銷。
**啟動暫時委派請求**
1. 從 Amazon 或需要與 AWS 您的帳戶整合的 AWS 合作夥伴導覽至支援產品的主控台。
1. 選取*使用 IAM 暫時委派部署*。請注意,選項名稱可能因支援的產品而異。如需詳細資訊,請參閱產品供應商的文件。
**注意**
如果您尚未登入 AWS 管理主控台, AWS 登入頁面會開啟新視窗。我們建議您先登入 AWS 您的帳戶,再從產品主控台啟動暫時委派請求。如需如何根據您的使用者類型和您要存取 AWS 的資源登入的詳細資訊,請參閱 [AWS 登入使用者指南](docs---aws.amazon.com.rproxy.govskope.casignin/latest/userguide/what-is-sign-in.html)。
1. 檢閱請求詳細資訊以確認產品提供者的產品名稱和 AWS 帳戶。您也可以檢閱產品提供者將用來代表您執行動作的 AWS 身分。
1. 檢閱透過核准此請求暫時委派之許可的*存取詳細資訊*。
+ *許可摘要*區段提供 AI 產生的高階概觀,可協助您了解 AWS 可存取的服務類別,以及可在每個服務中執行的動作類型。
+ 選擇*檢視 JSON* 以檢閱產品提供者在 AWS 帳戶中部署所需的特定許可,包括存取範圍和資源限制。
+ 如果產品提供者在暫時委派請求中建立 IAM 角色,則必須將許可界限連接到角色。這些 IAM 角色具有許可,可在請求的存取期間過期後,繼續允許存取資源和動作。選擇*檢視詳細資訊*以檢閱許可界限,這會定義角色可擁有的最大許可。在定義其實際許可的建立期間,產品提供者會將其他政策套用至角色。這些政策看起來可能比界限更窄或更寬,具體取決於產品提供者如何定義它們。不過,許可界限保證角色的有效許可永遠不會超過您在請求核准期間看到的許可,無論哪些政策連接到角色。如需詳細資訊,請參閱[許可界限](access_policies_boundaries.md)。
1. 檢閱許可模擬結果。許可模擬功能會自動針對請求中包含的許可來評估您的身分許可。根據此分析,會顯示建議,指出要使用您目前的身分核准請求,還是將請求轉送給管理員。如需詳細資訊,請參閱[許可模擬 Beta 版功能](#temporary-delegation-permission-simulation)。
1. 在對話方塊中,選取您要繼續的方式。
+ 當您的身分具有足夠的許可,以允許產品提供者代表您執行加入程序時,請選取*允許存取*。當您選取此選項時,產品提供者的存取持續時間會在您提供存取權後開始。
+ 如果您的身分沒有足夠的許可,以允許產品提供者代表您執行加入程序,請選取*請求核准*。然後,選擇*建立核准請求*。當您選取此選項時,系統會建立暫時委派請求連結,供您與帳戶管理員共用。您的管理員可以存取 AWS 管理主控台,或使用存取連結來檢閱暫時委派請求,以核准請求並與請求者共用暫時存取權。
**注意**
授予產品提供者存取權需要兩個動作:接受委派請求 (`AcceptDelegationRequest`) 和釋出交換字符 (`SendDelegatedToken`)。當您核准請求時, AWS 管理主控台會自動執行這兩個步驟。如果您使用 AWS CLI 或 API,則必須分別執行這兩個步驟。
## 許可模擬功能 - Beta
當您收到暫時委派請求時,您可以自行核准,或將其轉送給帳戶管理員進行核准。只有在您擁有暫時委派請求中包含的服務和動作的許可時,才能將許可委派給產品提供者。如果您無法存取請求的服務和動作,即使這些許可包含在請求中,產品提供者也不會收到這些許可。
例如,暫時委派請求需要能夠建立 Amazon S3 儲存貯體、在 Amazon EC2 中啟動和停止執行個體,以及擔任 IAM 角色。核准請求的身分可以啟動和停止 Amazon EC2 中的執行個體,並擔任 IAM 角色,但沒有建立 Amazon S3 儲存貯體的許可。當此身分核准請求時,即使暫時委派請求中包含這些許可,產品提供者仍無法建立 Amazon S3 儲存貯體。
由於您只能委派您已擁有的許可,因此在核准之前評估您是否擁有請求的許可至關重要。許可模擬測試版功能透過將您的許可與請求中包含的許可進行比較,協助進行此評估。評估指出您是否可以使用目前的身分核准請求,或需要將其轉送給管理員。如果分析無法驗證您是否有足夠的許可,請將請求轉送給管理員以供檢閱。此評估是以模擬許可分析為基礎,可能與您的即時 AWS 環境不同,因此請在繼續之前仔細檢閱請求的許可。
## 後續步驟
啟動暫時委派請求後,您可以在請求的生命週期中管理和監控請求。下列程序可協助您追蹤、核准和控制暫時存取:
+ [檢閱暫時委派請求](temporary-delegation-review-requests.md) – 監控存取請求的狀態,並檢視核准或拒絕暫時委派請求的詳細資訊。
+ [撤銷暫時委派存取權](temporary-delegation-revoke-access.md) – 在工作階段自然過期之前立即終止作用中的暫時委派工作階段。
# 檢閱暫時委派請求
啟動暫時委派請求後,您可以在 IAM 主控台中監控、核准和拒絕請求。暫時委派請求頁面提供所有請求的集中檢視,包括待核准、已完成或拒絕的請求。身為管理員,您可以檢閱這些請求,以授予產品提供者對 AWS 資源的存取權,或根據您組織的安全政策、業務需求或合規標準拒絕這些請求。此可見性可協助您追蹤產品提供者存取的生命週期,並維持暫時許可的監督。
**注意**
您必須擁有 iam:AcceptDelegationRequest 許可,才能核准暫時委派請求。
**核准暫時委派請求**
1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。
1. 在左側導覽窗格中,選擇*暫時委派請求*。
1. 主頁面會顯示暫時委派請求的清單,其中包含下列資訊:
+ *請求 ID* – 請求的唯一識別符
+ *狀態* – 目前狀態 (待定、已核准、已拒絕、已共用、已過期)
+ *請求者* - 與請求相關聯的產品提供者
+ *由 -* 帳戶中發起產品提供者請求的 IAM 主體啟動
+ *已建立請求* – 提交請求時
+ *請求過期* – 請求過期或即將過期時
1. (選用) 使用篩選條件選項依狀態檢視請求:
+ *所有請求* – 檢視所有請求,無論狀態為何
+ *待處理* – 檢視等待管理員核准的請求
+ *已核准* – 檢視已核准的請求
+ *共用* – 檢視已共用存取權的請求
+ *已拒絕* – 檢視具有拒絕原因的已拒絕請求
1. 若要檢視特定請求的詳細資訊或檢閱待核准請求,請選擇請求 ID。
1. 檢閱詳細的請求資訊:
+ 產品提供者資訊
+ 請求原因和理由
+ 請求的持續時間
+ 請求的 AWS 許可
1. 如果您是檢閱待定請求的管理員,請選擇下列其中一個選項:
+ 若要核准請求,請選擇*核准*。在核准對話方塊中,您可以檢視許可模擬的結果。如需詳細資訊,請參閱[許可模擬 Beta 版功能](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation)。在確認存取持續時間和 AWS 您的身分後,選擇*核准*以授予存取權。如果產品提供者請求立即存取,他們會自動收到暫時許可,且存取持續時間開始。否則,請通知啟動請求的人員將存取權釋出給產品提供者。
+ 若要拒絕請求,請選擇*拒絕*。
+ 在拒絕對話方塊中,提供拒絕的明確原因,以協助請求者了解拒絕其請求的原因。
+ 選擇*拒絕*以拒絕存取。
1. 請求清單會自動重新整理以顯示最新的狀態資訊。您也可以手動重新整理頁面,以檢查狀態更新。
# 撤銷暫時委派存取權
雖然產品提供者存取工作階段的設計會在核准持續時間後自動過期,但在某些情況下,您可能需要立即終止存取。當出現安全問題、產品提供者的工作提早完成或業務需求變更時,撤銷作用中的產品提供者存取可提供緊急控制機制。請求啟動者和管理員都可以撤銷存取,以維護安全和操作控制。
**撤銷暫時委派存取權**
1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。
1. 在左側導覽窗格中,選擇*暫時委派請求*。
1. 找到您要撤銷之存取工作階段的請求 ID。
1. 選擇*動作*,然後選擇*撤銷存取權*。
1. 在對話方塊中,選擇*撤銷存取權*,以確認您想要立即終止存取工作階段。
撤銷存取權後,產品提供者將無法再存取您的 AWS 資源。撤銷會記錄在 AWS CloudTrail 中以供稽核之用。
**重要**
撤銷存取權會立即終止產品提供者存取工作階段。任何使用 存取的進行中工作或程序都會中斷。確保撤銷不會中斷關鍵操作。
**注意**
您無法撤銷使用根使用者核准之請求的存取權。 AWS 建議您避免使用根使用者核准委派請求。請改用具有適當許可的 IAM 角色。
## 管理委派請求的許可
管理員可以授予 IAM 主體許可,以管理來自產品提供者的委派請求。當您想要將核准授權委派給組織中的特定使用者或團隊,或需要控制誰可以對委派請求執行特定動作時,這會很有用。
下列 IAM 許可可用於管理委派請求:
| 權限 | Description |
| --- | --- |
| iam:AssociateDelegationRequest | 將未指派的委派請求與 AWS 您的帳戶建立關聯 |
| iam:GetDelegationRequest | 檢視委派請求的詳細資訊 |
| iam:UpdateDelegationRequest | 將委派請求轉送給管理員以進行核准 |
| iam:AcceptDelegationRequest | 核准委派請求 |
| iam:SendDelegationToken | 核准後將交換字符釋出給產品供應商 |
| iam:RejectDelegationRequest | 拒絕委派請求 |
| iam:ListDelegationRequests | 列出您帳戶的委派請求 |
**注意**
根據預設,啟動委派請求的 IAM 主體會自動獲得管理該特定請求的許可。他們可以將其與其帳戶建立關聯、檢視請求詳細資訊、拒絕請求、將其轉送給管理員進行核准、在管理員核准後將交換字符釋出給產品提供者,以及列出他們擁有的委派請求。
# 通知
IAM 暫時委派與 AWS 使用者通知整合,協助您隨時掌握委派請求狀態變更的相關資訊。對於需要檢閱和核准委派請求的管理員來說,通知特別有用。
透過 AWS 使用者通知,您可以設定要透過多個管道傳送的提醒,包括電子郵件、Amazon Simple Notification Service (SNS)、適用於 Slack 或 Microsoft Teams 的 AWS Chatbot,以及 AWS 主控台行動應用程式。這可確保適當的人員在正確的時間收到通知,以便更快速回應待核准或了解存取變更。您也可以根據組織的需求和安全需求,自訂哪些事件觸發通知。
## 可用的通知事件
您可以訂閱以接收下列 IAM 暫時委派事件的通知:
+ 已建立 IAM 暫時委派請求
+ 指派的 IAM 暫時委派請求
+ IAM 暫時委派請求待核准
+ IAM 暫時委派請求遭拒
+ 已接受 IAM 暫時委派請求
+ IAM 暫時委派請求已完成
+ IAM 暫時委派請求已過期
## 設定 通知
若要設定 IAM 暫時委派事件的通知:
1. 開啟 AWS 使用者通知主控台
1. 建立或更新通知組態
1. 選取 AWS IAM 做為服務
1. 選擇您要收到通知的委派請求事件
1. 設定您的交付管道 (電子郵件、 AWS Chatbot 等)
如需設定 AWS 使用者通知的詳細指示,包括設定交付管道和管理通知規則,請參閱 AWS 使用者通知文件。
# CloudTrail
產品提供者使用暫時委派存取執行的所有動作都會自動記錄在 AWS CloudTrail 中。這可讓您帳戶中產品提供者活動的完整可見性和可稽核性 AWS 。您可以識別產品提供者所採取的動作、發生的時間,以及執行這些動作的產品提供者帳戶。
為了協助您區分您自己的 IAM 主體所採取的動作,以及具有委派存取權的產品提供者所採取的動作,CloudTrail 事件會在 `userIdentity`元素`invokedByDelegate`下包含名為 的新欄位。此欄位包含產品提供者 AWS 的帳戶 ID,讓您輕鬆篩選和稽核所有委派的動作。
## CloudTrail 事件結構
下列範例顯示產品提供者使用暫時委派存取所執行動作的 CloudTrail 事件:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
`invokedByDelegate` 欄位包含使用委派存取執行動作之產品提供者 AWS 的帳戶 ID。在此範例中,帳戶 444455556666 (產品提供者) 在帳戶 111122223333 (客戶帳戶) 中執行動作。