# Amazon 合作伙伴的 IAM 临时委派
<a name="access_policies-temporary-delegation-partner-guide"></a>

## 概述
<a name="temporary-delegation-partner-overview"></a>

IAM 临时委派使 Amazon 客户能够通过交互式指导工作流程将 Amazon 合作伙伴产品无缝载入和/或集成到其 Amazon 环境中。客户可以授予 Amazon 合作伙伴有限的临时访问权限，以配置所需的 Amazon 服务，从而减少载入摩擦并加快价值实现时间。

IAM 临时委派使合作伙伴能够：
+ 通过自动资源预置简化客户载入
+ 通过消除手动配置步骤来降低集成复杂性
+ 通过透明、经客户批准的权限建立信任
+ 使用权限边界实现具有长期访问模式的持续运行

## 工作原理
<a name="temporary-delegation-how-it-works"></a>

1. *合作伙伴创建委派请求*：合作伙伴创建请求，指定其需要哪些权限以及持续多长时间

1. *Amazon 管理控制台中的客户审查*：客户可以准确查看合作伙伴请求的权限和原因

1. *客户批准*：客户批准请求并发放交换令牌。令牌将发送给此指定 SNS 主题的合作伙伴。

1. *合作伙伴接收临时凭证*：合作伙伴交换临时 Amazon 凭证的令牌

1. *合作伙伴配置资源*：合作伙伴使用凭证在客户账户中设置所需的资源

## 合作伙伴资格认证
<a name="temporary-delegation-partner-qualification"></a>

要获得临时委派集成资格，合作伙伴必须满足以下要求：
+ *ISV Accelerate 参与*：您必须加入 [ISV Accelerate（ISVA）](https://www.amazonaws.cn/partners/programs/isv-accelerate/)计划。
+ *Amazon Marketplace 上架商品*：您的产品必须已在 Amazon Marketplace 上架，并带有“已在 Amazon 上部署”徽章。

## 激活流程
<a name="temporary-delegation-onboarding-process"></a>

完成以下步骤以将临时委派集成到您的产品中：

1. *第 1 步：查看要求*

   查看此文档以了解资格认证要求并填写下面的合作伙伴问卷。

1. *第 2 步：提交您的载入请求*

   发送电子邮件至 aws-iam-partner-onboarding@amazon.com 或联系您的 Amazon 代表。请随附填好的合作伙伴问卷，包括下面表格中的所有必填字段。

1. *第 3 步：Amazon 验证和审查*

   Amazon 会：
   + 验证您是否符合资格认证标准
   + 审查您的策略模板和权限边界
   + 提供您所提交构件的反馈

1. *第 4 步：优化您的策略*

   回复 Amazon 反馈，根据需要提交更新的策略模板或权限边界。

1. *步骤 5：完成注册*

   获得批准后，Amazon 将：
   + 为您指定的账户启用 API 访问权限
   + 共享您的策略模板和权限边界的 ARN（如果适用）

   载入完成后，您将收到确认信息。然后，您可以从注册的账户访问临时委派 API、CreateDelegationRequest 和 GetDelegatedAccessToken，并开始将委派请求工作流程集成到产品中。

## 合作伙伴问卷
<a name="temporary-delegation-partner-questionnaire"></a>

下表列出合作伙伴载入所需的信息：


| 信息 | 说明 | 必填 | 
| --- | --- | --- | 
| 合作伙伴中心账户 ID | 您在 [Amazon 合作伙伴中心](https://partnercentral.awspartner.com/partnercentral2/s/login)注册 Amazon 账户的账户 ID。 | 是 | 
| PartnerId | [Amazon 合作伙伴中心](https://partnercentral.awspartner.com/partnercentral2/s/login)提供的合作伙伴 ID。 | 否 | 
| Amazon Marketplace 产品 ID | [Amazon 合作伙伴中心](https://partnercentral.awspartner.com/partnercentral2/s/login)所提供产品的产品 ID。 | 是 | 
| Amazon accountIDs | 您要用于调用临时委派 API 的 Amazon 账户 ID 列表。此列表应包含您的生产账户和非生产/测试账户。 | 是 | 
| 合作伙伴名称 | 客户查看您的临时委派请求时，此名称会在 Amazon 管理控制台中向其显示。 | 是 | 
| 联系电子邮件 | 可用于与您联系集成相关事宜的一个或多个电子邮件地址。 | 是 | 
| 请求者域 | 您的域（例如 www.example.com） | 是 | 
| 集成描述 | 简要描述您希望使用此功能解决的使用案例。您可以包含指向您的文档或其他公开材料的参考链接。 | 是 | 
| 架构图 | 展示您的集成使用案例的架构图。 | 否 | 
| 策略模板 | 您必须为此功能注册至少一个策略模板。策略模板定义您要在客户 Amazon 账户中请求的临时权限。有关更多信息，请参阅“策略模板”部分。 | 是 | 
| 策略模板名称 | 要注册的策略模板的名称。 | 是 | 
| 权限边界 | 如果您希望使用临时权限在客户的账户中创建 IAM 角色，则必须向 IAM 注册权限边界。权限边界将附加到您创建的 IAM 角色上，以限制该角色的最大权限。您可以使用选定的 Amazon 托管策略作为权限边界，也可以注册新的自定义权限边界（JSON）。有关更多信息，请参阅“权限边界”部分。 | 否 | 
| 权限边界名称 | 权限边界的名称。格式为：arn:aws:iam::partner:policy/permission\_boundary/<partner\_domain>/<policy\_name>\_<date> 策略名称必须包含创建日期作为后缀。创建权限边界后，该名称将无法更新。如果您使用现有的 Amazon 托管策略，请改为提供托管策略 ARN。 | 否 | 
| 权限边界描述 | 权限边界的描述。创建权限边界后，此描述将无法更新。 | 否 |