发起临时委派请求 - Amazon Identity and Access Management
权限模拟功能(测试版)后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

发起临时委派请求

您只能从受支持的 Amazon 或 Amazon 合作伙伴产品发起临时委派请求。在支持临时委派的工作流程中,系统将提示您授予产品提供商临时的有限权限,以在您的账户中配置所需的 Amazon 资源。这种自动化方法无需您手动配置这些资源,从而提供了更加简化的体验。

授予访问权限之前,您可以查看委派请求的详细信息,例如产品提供商所需的特定 IAM 角色、策略和 Amazon 服务。如果您有足够的权限,则可以自行批准请求,也可以将请求转发给您的账户管理员进行批准。所有产品提供商的访问权限均有时间限制,可以根据需要进行监控和撤销。

发起临时委派请求

  1. 前往需要与您的 Amazon 账户集成的、Amazon 或 Amazon 合作伙伴提供的受支持产品的控制台。

  2. 选择使用 IAM 临时委派进行部署。请注意,选项名称可能因支持的产品而有所不同。有关详细信息,请参阅产品提供商的文档。

    注意

    如果您尚未登录 Amazon 管理控制台,会打开一个指向 Amazon 登录页面的新窗口。我们建议您在从产品控制台发起临时委派请求之前登录您的 Amazon 账户。有关如何根据用户类型和要访问的 Amazon 资源进行登录的更多信息,请参阅 Amazon 登录用户指南

  3. 查看请求详情以确认产品提供商的产品名称和 Amazon 账户。您还可以查看产品提供商代表您执行操作时将使用的 Amazon 身份。

  4. 查看访问权限详细信息,了解批准此请求后将临时委派的权限。

    • 权限摘要部分提供由 AI 生成的高级概述,可帮助您了解可以访问哪些类别的 Amazon 服务以及可以在每项服务中执行哪些类型的操作。

    • 选择查看 JSON 以查看产品提供商需要在您的 Amazon 账户中部署的特定权限,包括访问范围和资源限制。

    • 如果产品提供商在临时委派请求中创建 IAM 角色,则必须为该角色附加权限边界。这些 IAM 角色拥有在请求的访问持续时间到期后继续允许访问资源和操作的权限。选择查看详细信息以查看权限边界,该边界定义角色可以拥有的最大权限。产品提供商将在创建过程中对角色应用其他策略,以定义其实际权限。这些策略可能看起来比权限边界更狭窄或更广泛,具体取决于产品提供商如何定义这些策略。但是,权限边界可以保证,无论角色附加哪些策略,该角色的有效权限绝不会超过您在请求批准期间看到的权限。有关更多信息,请参阅权限边界

  5. 查看权限模拟结果。权限模拟功能会根据请求中包含的权限自动评估您身份的权限。根据此分析,将显示一条建议,指示是使用您的当前身份批准请求,还是将请求转发给管理员。有关详细信息,请参阅权限模拟测试版功能

  6. 在对话框中,选择您希望如何继续。

    • 当您的身份具有足够的权限允许产品提供商代表您执行载入程序时,请选择允许访问。选择此选项后,产品提供商的访问持续时间将在您提供访问权限后开始。

    • 如果您的身份没有足够的权限允许产品提供商代表您执行载入程序,请选择请求批准。然后,选择创建审批请求。选择此选项后,将创建一个临时委派请求链接,您可以与账户管理员共享该链接。您的管理员可以访问 Amazon 管理控制台或使用访问链接审查临时委派请求,以批准请求并与请求者共享临时访问权限。

注意

授予产品提供商访问权限需要两个操作:接受委派请求(AcceptDelegationRequest)和发放交换令牌(SendDelegatedToken)。当您批准请求后,Amazon 管理控制台会自动执行这两个步骤。如果您使用 Amazon CLI 或 API,则必须分别执行这两个步骤。

权限模拟功能(测试版)

收到临时委派请求时,您可以自行批准该请求,也可以将其转发给您的账户管理员进行批准。只有当您拥有临时委派请求中所包含服务和操作的权限时,您才能将权限委派给产品提供商。如果您无权访问所请求的服务和操作,那么即使请求中包含这些权限,产品提供商也无法获得这些权限。

例如,临时委派请求要求能够创建 Amazon S3 存储桶、启动和停止 Amazon EC2 中的实例以及代入 IAM 角色。批准该请求的身份可以启动和停止 Amazon EC2 中的实例,并代入 IAM 角色,但没有创建 Amazon S3 存储桶的权限。该身份批准请求时,即使临时委派请求中包含这些权限,产品提供商也无法创建 Amazon S3 存储桶。

由于您只能委派自己已经拥有的权限,因此在批准之前评估自己是否拥有所请求的权限至关重要。权限模拟测试版功能可将您的权限与请求中包含的权限进行比较,从而帮助进行此评估。评测表明您是可以使用当前身份批准请求,还是需要将其转发给管理员。如果分析无法验证您是否拥有足够的权限,请将该请求转发给管理员进行审查。此评测基于模拟权限分析,可能与您的真实 Amazon 环境有所不同,因此在继续之前请仔细检查请求的权限。

后续步骤

发起临时委派请求后,您可以在请求的整个生命周期中对其进行管理和监控。以下程序可帮助您跟踪、批准和控制临时访问权限: