Amazon 合作伙伴的 IAM 临时委派 - Amazon Identity and Access Management
概述工作原理合作伙伴资格认证激活流程合作伙伴问卷
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon 合作伙伴的 IAM 临时委派

概述

IAM 临时委派使 Amazon 客户能够通过交互式指导工作流程将 Amazon 合作伙伴产品无缝载入和/或集成到其 Amazon 环境中。客户可以授予 Amazon 合作伙伴有限的临时访问权限,以配置所需的 Amazon 服务,从而减少载入摩擦并加快价值实现时间。

IAM 临时委派使合作伙伴能够:

  • 通过自动资源预置简化客户载入

  • 通过消除手动配置步骤来降低集成复杂性

  • 通过透明、经客户批准的权限建立信任

  • 使用权限边界实现具有长期访问模式的持续运行

工作原理

  1. 合作伙伴创建委派请求:合作伙伴创建请求,指定其需要哪些权限以及持续多长时间

  2. Amazon 管理控制台中的客户审查:客户可以准确查看合作伙伴请求的权限和原因

  3. 客户批准:客户批准请求并发放交换令牌。令牌将发送给此指定 SNS 主题的合作伙伴。

  4. 合作伙伴接收临时凭证:合作伙伴交换临时 Amazon 凭证的令牌

  5. 合作伙伴配置资源:合作伙伴使用凭证在客户账户中设置所需的资源

合作伙伴资格认证

要获得临时委派集成资格,合作伙伴必须满足以下要求:

  • ISV Accelerate 参与:您必须加入 ISV Accelerate(ISVA)计划。

  • Amazon Marketplace 上架商品:您的产品必须已在 Amazon Marketplace 上架,并带有“已在 Amazon 上部署”徽章。

激活流程

完成以下步骤以将临时委派集成到您的产品中:

  1. 第 1 步:查看要求

    查看此文档以了解资格认证要求并填写下面的合作伙伴问卷。

  2. 第 2 步:提交您的载入请求

    发送电子邮件至 aws-iam-partner-onboarding@amazon.com 或联系您的 Amazon 代表。请随附填好的合作伙伴问卷,包括下面表格中的所有必填字段。

  3. 第 3 步:Amazon 验证和审查

    Amazon 会:

    • 验证您是否符合资格认证标准

    • 审查您的策略模板和权限边界

    • 提供您所提交构件的反馈

  4. 第 4 步:优化您的策略

    回复 Amazon 反馈,根据需要提交更新的策略模板或权限边界。

  5. 步骤 5:完成注册

    获得批准后,Amazon 将:

    • 为您指定的账户启用 API 访问权限

    • 共享您的策略模板和权限边界的 ARN(如果适用)

    载入完成后,您将收到确认信息。然后,您可以从注册的账户访问临时委派 API、CreateDelegationRequest 和 GetDelegatedAccessToken,并开始将委派请求工作流程集成到产品中。

合作伙伴问卷

下表列出合作伙伴载入所需的信息:

信息 说明 必填
合作伙伴中心账户 ID 您在 Amazon 合作伙伴中心注册 Amazon 账户的账户 ID。
PartnerId Amazon 合作伙伴中心提供的合作伙伴 ID。
Amazon Marketplace 产品 ID Amazon 合作伙伴中心所提供产品的产品 ID。
Amazon accountIDs 您要用于调用临时委派 API 的 Amazon 账户 ID 列表。此列表应包含您的生产账户和非生产/测试账户。
合作伙伴名称 客户查看您的临时委派请求时,此名称会在 Amazon 管理控制台中向其显示。
联系电子邮件 可用于与您联系集成相关事宜的一个或多个电子邮件地址。
请求者域 您的域(例如 www.example.com)
集成描述 简要描述您希望使用此功能解决的使用案例。您可以包含指向您的文档或其他公开材料的参考链接。
架构图 展示您的集成使用案例的架构图。
策略模板 您必须为此功能注册至少一个策略模板。策略模板定义您要在客户 Amazon 账户中请求的临时权限。有关更多信息,请参阅“策略模板”部分。
策略模板名称 要注册的策略模板的名称。
权限边界 如果您希望使用临时权限在客户的账户中创建 IAM 角色,则必须向 IAM 注册权限边界。权限边界将附加到您创建的 IAM 角色上,以限制该角色的最大权限。您可以使用选定的 Amazon 托管策略作为权限边界,也可以注册新的自定义权限边界(JSON)。有关更多信息,请参阅“权限边界”部分。
权限边界名称 权限边界的名称。格式为:arn:aws:iam::partner:policy/permission_boundary/<partner_domain>/<policy_name>_<date> 策略名称必须包含创建日期作为后缀。创建权限边界后,该名称将无法更新。如果您使用现有的 Amazon 托管策略,请改为提供托管策略 ARN。
权限边界描述 权限边界的描述。创建权限边界后,此描述将无法更新。