了解您的集成 - Amazon Identity and Access Management
1. 用户体验和工作流程设计2. API 集成3. 资源配置与编排
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

了解您的集成

完成载入流程后,您可以构建与 IAM 临时委派的集成。完整的集成通常涉及三个主要工作类别:

1. 用户体验和工作流程设计

在合作伙伴应用程序中构建前端体验,指导客户完成临时委派工作流程。合作伙伴应用程序应该:

  • 提供清晰的载入或配置流程,客户可以在其中授予临时访问权限。明确标注此操作,例如“使用 IAM 临时委派进行部署”。

  • 使用 CreateDelegationRequest API 返回的控制台链接将客户重定向到 Amazon 管理控制台以查看和批准委派请求

  • 提供适当的消息,说明正在请求哪些权限以及请求的原因。客户可以在委派请求详细信息页面上看到此消息。

  • 客户在 Amazon 中完成批准后,处理其返回您应用程序的流程。

2. API 集成

使用 IAM 临时委派 API 发送和管理委派请求。注册 Amazon 账户后,您可访问以下 API:

  • IAM CreateDelegationRequest:为客户的 Amazon 账户创建委派请求。此 API 会返回一个控制台链接,您可以将客户重定向到该链接以审查和批准请求。

  • Amazon STS GetDelegatedAccessToken:在客户批准您的委派请求后检索临时 Amazon 凭证。使用这些凭证在客户的账户中执行操作。

您的集成应处理委派请求的整个生命周期,包括创建请求、监控其状态以及在获得批准后检索临时凭证。

3. 资源配置与编排

获得临时凭证后,编排必要的工作流程以配置客户 Amazon 账户中的资源。这可能包括:

  • 直接调用 Amazon 服务 API 创建和配置资源

  • 使用 Amazon CloudFormation 模板部署基础设施

  • 创建用于持续访问的 IAM 角色(需要使用权限边界)

您的编排逻辑应具有幂等性,并且可以从容地处理故障,因为客户可能需要重试或修改其委派批准。