本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解許可
作為功能加入程序的一部分,您需要向 IAM 註冊政策,以定義您想要在客戶 AWS 帳戶中請求的許可。註冊程序為客戶提供更一致的體驗,並有助於避免政策撰寫中的常見陷阱。
在註冊期間, 會根據一組驗證 AWS 來評估您的政策。這些驗證旨在標準化政策格式和結構,並針對已知的反模式提供基本保護。驗證也會降低提升權限、意外跨帳戶存取,以及廣泛存取客戶帳戶中高價值資源的風險。
許可類型
AWS 會考慮兩種類型的許可:暫時和長期。
暫時許可
暫時許可會限制指派給任何暫時委派存取工作階段的許可。暫時許可會在套用至委派工作階段的政策範本中說明。範本支援您在建立委派請求時提供的參數。這些參數值接著會繫結至工作階段。暫時許可的運作方式與 AWS STS 目前提供的工作階段政策相同:政策會限制基礎使用者的功能,但不授予任何其他存取權。如需詳細資訊,請參閱工作階段政策 AWS STS 的文件。
長期許可
長期許可會限制透過暫時存取建立或管理之任何角色的許可。長期許可會實作為 IAM 許可界限。您可以在加入 AWS 時向 提交一或多個許可界限。核准後, AWS 將與您共用政策 ARN,供您在政策中參考。
這些界限政策有兩個值得注意的功能。首先,它們是不可變的。如果您想要更新許可,您可以註冊新的許可界限。然後,您可以透過傳送新的委派請求,將新的許可界限連接到客戶的角色。其次,政策不會建立範本。由於相同的界限政策是全域共用的,因此無法針對每位客戶修改。
重要
許可界限的大小上限為 6,144 個字元。
注意
如果您想要更新許可界限或政策範本,請透過 aws-iam-partner-onboarding@amazon.com 聯絡 IAM。註冊新的許可界限後,您就可以傳送委派請求給客戶,以更新 IAM 角色並連接新註冊的許可界限。如需詳細資訊,請參閱範例一節。
範例使用案例:資料處理工作負載
考慮在客戶帳戶中執行資料處理工作負載的產品供應商。供應商需要在初始加入期間設定基礎設施,但也需要持續存取才能操作工作負載。
暫時許可 (用於初始設定):
建立 Amazon EC2 執行個體、VPC 和安全群組
為已處理的資料建立 Amazon S3 儲存貯體
建立持續操作的 IAM 角色
將許可界限連接至 IAM 角色
長期許可 (具有持續操作許可界限的 IAM 角色):
啟動和停止 Amazon EC2 執行個體以執行處理任務
從 Amazon S3 儲存貯體讀取輸入資料
將處理的結果寫入 Amazon S3 儲存貯體
臨時許可會在加入期間使用一次,以設定基礎設施。在此過程中建立的 IAM 角色具有許可界限,其最大許可僅限於持續工作負載管理所需的操作。這可確保即使修改角色的政策,也不能超過邊界中定義的許可。
