Delegación temporal de IAM para socios de AWS
Descripción general
La delegación temporal de IAM permite a los clientes de AWS incorporar o integrar sin problemas los productos de los socios de AWS en su entorno de AWS mediante flujos de trabajo guiados e interactivos. Los clientes pueden conceder a los socios de AWS acceso temporal limitado para configurar los servicios de AWS necesarios, lo que reduce los problemas de incorporación y acelera el tiempo de obtención de valor.
La delegación temporal de IAM permite a los socios lo siguiente:
Optimizar la incorporación de clientes con el aprovisionamiento automatizado de recursos
Reducir la complejidad de la integración al eliminar los pasos de configuración manual
Generar confianza mediante permisos transparentes y aprobados por el cliente
Habilitar operaciones continuas con patrones de acceso a largo plazo utilizando límites de permisos
Funcionamiento
El socio crea una solicitud de delegación: los socios crean una solicitud en la que especifican los permisos que necesitan y durante cuánto tiempo.
El cliente la revisa en la Consola de AWS: el cliente ve exactamente qué permisos solicita el socio y por qué.
El cliente la aprueba: el cliente aprueba la solicitud y libera un token de intercambio. El token se envía al socio en relación con este tema de SNS específico.
El socio recibe credenciales temporales: los socios intercambian el token por credenciales temporales de AWS.
El socio configura los recursos: los socios utilizan las credenciales para configurar los recursos necesarios en la cuenta del cliente.
Calificación de los socios
Para calificar para la integración de la delegación temporal, el socio debe cumplir con los siguientes requisitos:
Participación en ISV Accelerate: debe estar inscrito en el programa ISV Accelerate (ISVA)
. Publicación de AWS Marketplace: su producto debe estar publicado en AWS Marketplace con la insignia “Implementado en AWS”.
Proceso de incorporación
Complete los siguientes pasos para integrar la delegación temporal en su producto:
Paso 1: Revisar los requisitos
Revise esta documentación para comprender los requisitos de calificación y complete el siguiente cuestionario para socios.
Paso 2: Enviar la solicitud de incorporación
Envíe un correo electrónico a aws-iam-partner-onboarding@amazon.com o póngase en contacto con su representante de AWS. Incluya el cuestionario para socios completado con todos los campos obligatorios de la siguiente tabla.
Paso 3: Validación y revisión de AWS
AWS:
Validará que cumple con los criterios de calificación.
Revisará las plantillas de políticas y los límites de permisos.
Proporcionará comentarios sobre los artefactos enviados.
Paso 4: Refinar las políticas
Responda a los comentarios de AWS y envíe plantillas de políticas actualizadas o límites de permisos según sea necesario.
Paso 5: Completar el registro
Tras la aprobación, AWS:
Habilitará el acceso a la API para las cuentas especificadas.
Compartirá los ARN de su plantilla de política y el límite de permisos (si corresponde).
Recibirá una confirmación cuando se complete la incorporación. A continuación, podrá acceder a las API de delegación temporal, CreateDelegationRequest y GetDelegatedAccessToken, desde sus cuentas registradas y empezar a integrar los flujos de trabajo de las solicitudes de delegación en su producto.
Cuestionario para socios
En la siguiente tabla se muestra la información necesaria para la incorporación de los socios:
| Información | Descripción | Obligatorio |
|---|---|---|
| ID de cuenta del Centro de socios | ID de su cuenta de AWS registrada en el Centro de socios de AWS |
Sí |
| PartnerId | ID de socio proporcionado por el Centro de socios de AWS |
No |
| ID de producto de AWS Marketplace | ID de su producto proporcionado por el Centro de socios de AWS |
Sí |
| ID de cuentas de AWS | Lista de los ID de sus cuentas de AWS que desea utilizar para llamar a las API de delegación temporal. Esto debería incluir sus cuentas de producción y de no producción/prueba. | Sí |
| Nombre del socio | Este nombre se muestra a los clientes en la Consola de administración de AWS cuando revisan su solicitud de delegación temporal. | Sí |
| Correos electrónicos de contacto | Una o varias direcciones de correo electrónico que podemos utilizar para ponernos en contacto con usted acerca de su integración. | Sí |
| Dominio del solicitante | Su dominio (por ejemplo, www.ejemplo.com). | Sí |
| Descripción de integración | Breve descripción del caso de uso que quiere abordar con esta característica. Puede incluir enlaces de referencia a su documentación u otro material público. | Sí |
| Diagrama de arquitectura | Diagrama de arquitectura que ilustra los casos de uso de la integración. | No |
| Plantilla de política | Debe registrar al menos una plantilla de políticas para esta característica. La plantilla de política define los permisos temporales que desea solicitar en las cuentas de AWS de los clientes. Para obtener más información, consulte la sección Plantilla de política. | Sí |
| Nombre de la plantilla de política | Nombre de la plantilla de política que desea registrar. | Sí |
| Límite de permisos | Si desea crear roles de IAM en las cuentas de los clientes mediante permisos temporales, debe registrar un límite de permisos en IAM. Los límites de permisos se adjuntarán a los roles de IAM que cree para limitar los permisos máximos del rol. Puede usar determinadas políticas administradas de AWS como límite de permisos o registrar un nuevo límite de permisos personalizado (JSON). Para obtener más información, consulte la sección Límites de permisos. | No |
| Nombre del límite de permisos | Nombre de su límite de permisos. El formato es arn:aws:iam::partner:policy/permission_boundary/<dominio_socio>/<nombre_política>_<fecha>. El nombre de la política debe incluir la fecha de creación como sufijo. El nombre no se puede actualizar una vez creado el límite de permisos. Si utiliza una política administrada de AWS existente, proporcione el ARN de la política administrada en su lugar. | No |
| Descripción del límite de permisos | Descripción de su límite de permisos. La descripción no se puede actualizar una vez creado el límite de permisos. | No |
