Delegación temporal de IAM
Descripción general
La delegación temporal acelera la incorporación y simplifica la administración de los productos de Amazon y los socios de AWS que se integran con sus cuentas de AWS. En lugar de configurar manualmente varios servicios de AWS, puede delegar permisos temporales limitados que permitan al proveedor del producto completar las tareas de configuración en su nombre en cuestión de minutos mediante flujos de trabajo de implementación automatizados. Mantiene el control administrativo con los requisitos de aprobación y los límites de permisos, mientras que los permisos del proveedor del producto vencen automáticamente una vez transcurrido el periodo aprobado sin necesidad de limpiarlos manualmente. Si el producto requiere acceso continuo para las operaciones en curso, el proveedor puede utilizar la delegación temporal para crear un rol de IAM con un límite de permisos que defina los permisos máximos del rol. Toda la actividad del proveedor del producto se rastrea a través de AWS CloudTrail para supervisar el cumplimiento y la seguridad.
nota
Solo los productos de Amazon y los socios de AWS cualificados que hayan completado el proceso de incorporación de características pueden crear solicitudes de delegación temporal. Los clientes revisan y aprueban estas solicitudes, pero no pueden crearlas directamente. Si es un socio de AWS que desea integrar la delegación temporal de IAM en su producto, consulte la Guía de integración de socios para obtener instrucciones de incorporación e integración.
Cómo funciona la delegación temporal
La delegación temporal permite a Amazon y los socios de AWS solicitar acceso temporal limitado a su cuenta. Tras su aprobación, pueden usar los permisos delegados para tomar medidas en su nombre. Las solicitudes de delegación definen los permisos específicos para los servicios de AWS y las acciones que el proveedor del producto necesita para implementar o configurar los recursos en su cuenta de AWS. Estos permisos solo están disponibles durante un tiempo limitado y vencen automáticamente una vez transcurrido el tiempo especificado en la solicitud.
nota
La duración máxima para el acceso delegado es de 12 horas. Sin embargo, los usuarios raíz solo pueden aprobar las solicitudes de delegación con una duración igual o inferior a 4 horas. Si una solicitud especifica más de 4 horas, debe usar una identidad que no sea raíz para aprobarla. Para obtener más información, consulte Funcionalidad beta de simulación de permisos.
Para las tareas en curso, como la lectura de un bucket de Amazon S3, las solicitudes de delegación pueden incluir la creación de un rol de IAM que permita el acceso continuado a los recursos y las acciones una vez que venza el acceso temporal. Los proveedores de productos deben adjuntar un límite de permisos a cualquier rol de IAM creado mediante la delegación temporal. Los límites de permisos limitan los permisos máximos de un rol, pero no los conceden por sí solos. Puede revisar el límite de permisos como parte de la solicitud antes de aprobarla. Para obtener más información, consulte Límites de permisos.
El proceso funciona de la siguiente manera:
Inicia sesión en un producto de Amazon o de un socio de AWS para integrarlo con su entorno de AWS.
El proveedor del producto inicia una solicitud de delegación en su nombre y lo redirige a la Consola de administración de AWS.
Usted revisa los permisos solicitados y determina si debe aprobar, denegar o reenviar la solicitud a su administrador.
Una vez que usted o su administrador aprueben la solicitud, el proveedor del producto puede obtener las credenciales temporales del aprobador para llevar a cabo las tareas necesarias.
El acceso del proveedor del producto vence automáticamente una vez transcurrido el periodo de tiempo especificado. Sin embargo, cualquier rol de IAM creado a través de la solicitud de delegación temporal perdura más allá de este periodo, lo que permite al proveedor del producto seguir accediendo a los recursos y las acciones para las tareas de administración en curso.
nota
Solo puede delegar permisos en un proveedor de productos si tiene permisos para los servicios y las acciones que se incluyen en la solicitud de delegación temporal. Si no tiene acceso a los servicios y acciones solicitados, el proveedor del producto no recibirá estos permisos cuando apruebe la solicitud.
Si la comprobación de permisos indica que es probable que se complete correctamente, puede aprobar la solicitud de delegación temporal y continuar con el flujo de trabajo.
Si la comprobación de permisos indica que es posible que no tenga permisos suficientes, reenvíe la solicitud a su administrador para que la apruebe. Le recomendamos que notifique esta solicitud al administrador mediante el método que prefiera, como un correo electrónico o un ticket.
Cuando el administrador apruebe la solicitud, lo que suceda a continuación dependerá de la configuración del proveedor del producto:
Si el proveedor del producto solicitó acceso inmediato, recibirá automáticamente los permisos temporales y comenzará la duración del acceso.
Si el proveedor del producto solicitó la liberación por parte del propietario (destinatario inicial), debe volver a la solicitud para compartir de forma explícita acceso temporal a la cuenta antes de que comience la duración del acceso. Los proveedores de productos suelen utilizar esta opción cuando necesitan información adicional de su parte, como la selección de recursos o los detalles de configuración, para completar la tarea requerida.
Administración de permisos para solicitudes de delegación
Los administradores pueden conceder permisos a las entidades principales de IAM para administrar las solicitudes de delegación de los proveedores de productos. Esto resulta útil cuando desea delegar la autoridad de aprobación a usuarios o equipos específicos de su organización, o cuando necesita controlar quién puede llevar a cabo acciones específicas en relación con las solicitudes de delegación.
Los siguientes permisos de IAM están disponibles para administrar las solicitudes de delegación:
| Permiso | Descripción |
|---|---|
| iam:AssociateDelegationRequest | Asociar una solicitud de delegación sin asignar a su cuenta de AWS |
| iam:GetDelegationRequest | Ver los detalles de una solicitud de delegación |
| iam:UpdateDelegationRequest | Reenviar una solicitud de delegación a un administrador para su aprobación |
| iam:AcceptDelegationRequest | Aprobar una solicitud de delegación |
| iam:SendDelegationToken | Liberar el token de intercambio al proveedor del producto después de la aprobación |
| iam:RejectDelegationRequest | Rechazar una solicitud de delegación |
| iam:ListDelegationRequests | Enumerar las solicitudes de delegación para su cuenta |
nota
De forma predeterminada, a las entidades principales de IAM que inician una solicitud de delegación se les conceden automáticamente permisos para administrar esa solicitud específica. Pueden asociarla a su cuenta, ver los detalles de la solicitud, rechazarla, reenviarla a un administrador para su aprobación, liberar el token de intercambio al proveedor del producto tras la aprobación del administrador y enumerar las solicitudes de delegación que sean de su propiedad.
