本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟動暫時委派請求
您只能從支援的 Amazon 或 AWS 合作夥伴產品啟動暫時委派請求。在支援暫時委派的工作流程期間,系統會提示您授予產品提供者暫時、有限的許可,以設定帳戶中的必要 AWS 資源。這種自動化方法讓您無需手動設定這些資源,即可提供更簡化的體驗。
您可以在授予存取權之前檢閱委派請求詳細資訊,例如產品提供者所需的特定 IAM 角色、政策和 AWS 服務。如果您有足夠的許可,您可以自行核准請求,或將請求轉送給帳戶管理員進行核准。所有產品提供者存取都有時間限制,並可視需要進行監控和撤銷。
啟動暫時委派請求
從 Amazon 或需要與 AWS 您的帳戶整合的 AWS 合作夥伴導覽至支援產品的主控台。
選取使用 IAM 暫時委派部署。請注意,選項名稱可能因支援的產品而異。如需詳細資訊,請參閱產品供應商的文件。
注意
如果您尚未登入 AWS 管理主控台, AWS 登入頁面會開啟新視窗。我們建議您先登入 AWS 您的帳戶,再從產品主控台啟動暫時委派請求。如需如何根據您的使用者類型和您要存取 AWS 的資源登入的詳細資訊,請參閱 AWS 登入使用者指南。
檢閱請求詳細資訊以確認產品提供者的產品名稱和 AWS 帳戶。您也可以檢閱產品提供者將用來代表您執行動作的 AWS 身分。
檢閱透過核准此請求暫時委派之許可的存取詳細資訊。
許可摘要區段提供 AI 產生的高階概觀,可協助您了解 AWS 可存取的服務類別,以及可在每個服務中執行的動作類型。
選擇檢視 JSON 以檢閱產品提供者在 AWS 帳戶中部署所需的特定許可,包括存取範圍和資源限制。
如果產品提供者在暫時委派請求中建立 IAM 角色,則必須將許可界限連接到角色。這些 IAM 角色具有許可,可在請求的存取期間過期後,繼續允許存取資源和動作。選擇檢視詳細資訊以檢閱許可界限,這會定義角色可擁有的最大許可。在定義其實際許可的建立期間,產品提供者會將其他政策套用至角色。這些政策看起來可能比界限更窄或更寬,具體取決於產品提供者如何定義它們。不過,許可界限保證角色的有效許可永遠不會超過您在請求核准期間看到的許可,無論哪些政策連接到角色。如需詳細資訊,請參閱許可界限。
檢閱許可模擬結果。許可模擬功能會自動針對請求中包含的許可來評估您的身分許可。根據此分析,會顯示建議,指出要使用您目前的身分核准請求,還是將請求轉送給管理員。如需詳細資訊,請參閱許可模擬 Beta 版功能。
在對話方塊中,選取您要繼續的方式。
當您的身分具有足夠的許可,以允許產品提供者代表您執行加入程序時,請選取允許存取。當您選取此選項時,產品提供者的存取持續時間會在您提供存取權後開始。
如果您的身分沒有足夠的許可,以允許產品提供者代表您執行加入程序,請選取請求核准。然後,選擇建立核准請求。當您選取此選項時,系統會建立暫時委派請求連結,供您與帳戶管理員共用。您的管理員可以存取 AWS 管理主控台,或使用存取連結來檢閱暫時委派請求,以核准請求並與請求者共用暫時存取權。
注意
授予產品提供者存取權需要兩個動作:接受委派請求 (AcceptDelegationRequest) 和釋出交換字符 (SendDelegatedToken)。當您核准請求時, AWS 管理主控台會自動執行這兩個步驟。如果您使用 AWS CLI 或 API,則必須分別執行這兩個步驟。
許可模擬功能 - Beta
當您收到暫時委派請求時,您可以自行核准,或將其轉送給帳戶管理員進行核准。只有在您擁有暫時委派請求中包含的服務和動作的許可時,才能將許可委派給產品提供者。如果您無法存取請求的服務和動作,即使這些許可包含在請求中,產品提供者也不會收到這些許可。
例如,暫時委派請求需要能夠建立 Amazon S3 儲存貯體、在 Amazon EC2 中啟動和停止執行個體,以及擔任 IAM 角色。核准請求的身分可以啟動和停止 Amazon EC2 中的執行個體,並擔任 IAM 角色,但沒有建立 Amazon S3 儲存貯體的許可。當此身分核准請求時,即使暫時委派請求中包含這些許可,產品提供者仍無法建立 Amazon S3 儲存貯體。
由於您只能委派您已擁有的許可,因此在核准之前評估您是否擁有請求的許可至關重要。許可模擬測試版功能透過將您的許可與請求中包含的許可進行比較,協助進行此評估。評估指出您是否可以使用目前的身分核准請求,或需要將其轉送給管理員。如果分析無法驗證您是否有足夠的許可,請將請求轉送給管理員以供檢閱。此評估是以模擬許可分析為基礎,可能與您的即時 AWS 環境不同,因此請在繼續之前仔細檢閱請求的許可。
後續步驟
啟動暫時委派請求後,您可以在請求的生命週期中管理和監控請求。下列程序可協助您追蹤、核准和控制暫時存取:
