IAM 临时委派 - Amazon Identity and Access Management
概述临时委派的工作原理管理委派请求的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 临时委派

概述

临时委派可以加快 Amazon 和 Amazon 合作伙伴提供的与您的 Amazon 账户集成产品的载入速度并简化管理。您无需手动配置多项 Amazon 服务,而是可以委派临时的有限权限,允许产品提供商通过自动部署工作流程在几分钟内代表您完成设置任务。您可以通过批准要求和权限边界保持管理控制,而产品提供商的权限将在经过批准的持续时间后自动过期,无需手动清理。如果产品需要持续访问权限才能进行持续操作,则提供商可以使用临时委派来创建一个 IAM 角色,其权限边界定义了该角色的最大权限。所有产品提供商的活动都通过 Amazon CloudTrail 进行跟踪,以进行合规和安全监控。

注意

临时委派请求只能由已完成功能载入过程的 Amazon 产品和符合资格的 Amazon 合作伙伴创建。客户可审核并批准这些请求,但无法直接创建请求。如果您是想要将 IAM 临时委派集成到产品中的 Amazon 合作伙伴,请参阅合作伙伴集成指南以获取载入和集成说明。

临时委派的工作原理

临时委派可让 Amazon 和 Amazon 合作伙伴请求对您的账户进行临时、有限的访问。在您批准后,他们可以使用委派权限代表您采取行动。委派请求定义了产品提供商在您的 Amazon 账户中部署或配置资源所需的 Amazon 服务和操作的特定权限。这些权限仅在有限的时间内可用,并在经过请求中指定的持续时间后自动过期。

注意

委派访问的最长持续时间为 12 小时。但是,根用户只能批准持续时间不超过 4 小时的委派请求。如果请求指定的时间超过 4 小时,则必须使用非根用户身份来批准该请求。有关详细信息,请参阅权限模拟测试版功能

对于正在进行的任务(例如从 Amazon S3 存储桶读取),委派请求可以包括创建一个 IAM 角色,允许在临时访问权限到期后继续访问资源和操作。产品提供商必须为通过临时委派创建的任何 IAM 角色附加权限边界。权限边界限制角色的最大权限,但不能自行授予权限。在批准请求之前,您可以查看作为请求一部分的权限边界。有关详细信息,请参阅权限边界

具体流程如下:

  1. 您可登录 Amazon 或 Amazon 合作伙伴产品以将其与您的 Amazon 环境集成。

  2. 产品提供商代表您发起委派请求,并将您重定向到 Amazon 管理控制台。

  3. 您可以查看所请求的权限,并决定是批准、拒绝还是将该请求转发给您的管理员。

  4. 您或您的管理员批准请求后,产品提供商就可以获得批准者的临时凭证来执行所需任务。

  5. 产品提供商访问权限将在经过指定的时间段后自动过期。但是,通过临时委派请求创建的任何 IAM 角色在该期限过后仍然存在,从而允许产品提供商继续访问资源和操作以执行持续的管理任务。

注意

只有当您拥有临时委派请求中所包含服务和操作的权限时,您才能将权限委派给产品提供商。如果您无权访问请求的服务和操作,则在您批准请求后,产品提供商不会获得这些权限。

如果权限检查表明其很可能成功,则可以批准临时委派请求并继续该工作流程。

如果权限检查表明您可能没有足够的权限,请将请求转发给您的管理员进行批准。我们建议使用您偏好的方式(例如电子邮件或工单)将此请求通知您的管理员。

管理员批准请求后,接下来会发生什么取决于产品提供商的配置:

  • 如果产品提供商请求立即访问,他们将自动获得临时权限,访问持续时间随即开始计时。

  • 如果产品提供商请求所有者(初始接收者)发布,则您必须在访问持续时间开始之前返回该请求,以显式共享临时账户访问权限。当产品提供商需要您输入其他信息(例如资源选择或配置详细信息)才能完成所需任务时,其通常会使用此选项。

管理委派请求的权限

管理员可以授予 IAM 主体权限,使其能够管理来自产品提供商的委派请求。当您想要将批准权限委派给组织中的特定用户或团队,或者需要控制谁可以对委派请求执行特定操作时,此功能非常有用。

以下 IAM 权限可用于管理委派请求:

权限 说明
iam:AssociateDelegationRequest 将未分配的委派请求与您的 Amazon 账户关联
iam:GetDelegationRequest 查看委派请求的详细信息
iam:UpdateDelegationRequest 将委派请求转发给管理员以供批准
iam:AcceptDelegationRequest 批准委派请求
iam:SendDelegationToken 批准后将交换令牌发放给产品提供商
iam:RejectDelegationRequest 拒绝委派请求
iam:ListDelegationRequests 列出您账户的委派请求
注意

默认情况下,发起委派请求的 IAM 主体会自动获得管理该特定请求的权限。他们可以将其与自己的账户关联、查看请求详细信息、拒绝请求、将其转发给管理员进行批准、在管理员批准后将交换令牌发放给产品提供商以及列出其拥有的委派请求。