了解权限
作为功能载入流程的一部分,您需要向 IAM 注册策略,这些策略定义您要在客户 Amazon 账户中请求的权限。注册流程为客户提供了更加一致的体验,并有助于避免策略制定中的常见陷阱。
在注册期间,Amazon 根据一组验证来评估您的策略。这些验证旨在标准化策略格式和结构,并提供针对已知反模式的基本保护。验证还可以降低权限升级、意外跨账户访问以及广泛访问客户账户中高价值资源的风险。
权限类型
Amazon 将考虑两类权限:临时权限和长期权限。
临时权限
临时权限限制分配给任何临时委派访问会话的权限。临时权限如应用于委派会话的策略模板中所述。这些模板支持您在创建委派请求时提供的参数。这些参数值随后将绑定到会话。临时权限的工作方式与 Amazon STS 目前提供的会话策略相同:这些策略限制了底层用户的能力,但不授予任何其他访问权限。有关更多信息,请参阅 Amazon STS 文档中的会话策略。
长期权限
长期权限限制通过临时访问创建或管理的任何角色的权限。长期权限以 IAM 权限边界的形式实现。作为载入的一部分,您可以向 Amazon 提交一个或多个权限边界。获得批准后,Amazon 将与您共享一个策略 ARN,供您在策略中引用。
这些边界策略有两个值得注意的特征。首先,它们是不可变的。如果要更新权限,您可以注册新的权限边界。然后,您可以通过发送新的委派请求将新权限边界附加到客户的角色。其次,这些策略并非模板化。由于相同的边界策略是全局共享的,因此无法根据每个客户进行更改。
重要
权限边界的最大大小限制为 6144 个字符。
注意
如果您想更新权限边界或策略模板,请通过 aws-iam-partner-onboarding@amazon.com 与 IAM 联系。注册新的权限边界后,您可以向客户发送委派请求,以更新 IAM 角色并附加新注册的权限边界。有关更多详细信息,请参阅“示例”部分。
示例使用案例:数据处理工作负载
假设产品提供商在客户账户中运行数据处理工作负载。该提供商需要在初始载入期间设置基础设施,还需要持续访问权限才能运行工作负载。
临时权限(用于初始设置):
创建 Amazon EC2 实例、VPC 和安全组
创建用于处理后数据的 Amazon S3 存储桶
创建用于持续运行的 IAM 角色
将权限边界附加到 IAM 角色
长期权限(用于持续运行、具有权限边界的 IAM 角色):
启动和停止 Amazon EC2 实例以运行处理作业
从 Amazon S3 存储桶读取输入数据
将处理的结果写入 Amazon S3 存储桶
临时权限仅在载入期间使用一次,用于配置基础设施。在此过程中创建的 IAM 角色具有权限边界,其最大权限仅限于持续工作负载管理所需的操作。这样便可确保即使修改了角色的策略,也不会超过边界中定义的权限。