Inicio de una solicitud de delegación temporal
Solo puede iniciar una solicitud de delegación temporal desde los productos compatibles de Amazon o de los socios de AWS. Durante un flujo de trabajo que permita la delegación temporal, se le pedirá que conceda al proveedor del producto permisos temporales limitados para configurar los recursos necesarios de AWS en su cuenta. Este enfoque automatizado proporciona una experiencia más simplificada al eliminar la necesidad de configurar estos recursos manualmente.
Puede revisar los detalles de la solicitud de delegación, como los roles de IAM, las políticas y los servicios de AWS específicos que el proveedor del producto necesita antes de conceder el acceso. Puede aprobar la solicitud usted mismo si dispone de los permisos suficientes o reenviarla al administrador de su cuenta para su aprobación. Todos los accesos de los proveedores de productos tienen un límite de tiempo y pueden supervisarse y revocarse según sea necesario.
Inicio de una solicitud de delegación temporal
Acceda a la consola de un producto compatible de Amazon o de los socios de AWS que requiera la integración con su cuenta de AWS.
Seleccione Implementar con la delegación temporal de IAM. Tenga en cuenta que el nombre de la opción puede variar según los productos compatibles. Consulte la documentación del proveedor del producto para obtener más información.
nota
Si aún no inició sesión en la Consola de administración de AWS, se abrirá una nueva ventana con la página de inicio de sesión de AWS. Le recomendamos que inicie sesión en su cuenta de AWS antes de iniciar la solicitud de delegación temporal desde la consola del producto. Para obtener más información sobre cómo iniciar sesión en función del tipo de usuario y los recursos de AWS a los que desea acceder, consulte la Guía del usuario de Inicio de sesión en AWS.
Revise los detalles de la solicitud para confirmar el nombre del producto y la cuenta de AWS del proveedor del producto. También puede revisar la identidad de AWS que el proveedor del producto utilizará para llevar a cabo acciones en su nombre.
Revise Detalles de acceso para ver los permisos que se delegarán temporalmente al aprobar esta solicitud.
En la sección Resumen de permisos se proporciona una descripción general de alto nivel generada mediante IA que puede ayudarlo a entender a qué categorías de servicios de AWS se puede acceder y qué tipos de acciones se pueden llevar a cabo en cada servicio.
Seleccione Ver JSON para revisar los permisos específicos que el proveedor del producto debe implementar en su cuenta de AWS, incluidos el alcance del acceso y las limitaciones de recursos.
Si el proveedor del producto crea un rol de IAM como parte de una solicitud de delegación temporal, se debe adjuntar un límite de permisos al rol. Estos roles de IAM tienen permisos que siguen permitiendo el acceso a los recursos y las acciones una vez transcurrido el periodo de acceso solicitado. Seleccione Ver detalles para revisar el límite de permisos, que define los permisos máximos que puede tener el rol. El proveedor del producto aplicará políticas adicionales al rol durante la creación que definirán sus permisos reales. Estas políticas pueden parecer más específicas o más amplias que el límite, según cómo las defina el proveedor del producto. Sin embargo, el límite de permisos garantiza que los permisos efectivos del rol nunca superarán los que se ven durante la aprobación de la solicitud, independientemente de las políticas adjuntas al rol. Para obtener más información, consulte Límites de permisos.
Revise los resultados de la simulación de permisos. La funcionalidad de simulación de permisos evalúa automáticamente los permisos de su identidad comparándolos con los incluidos en la solicitud. En función de este análisis, se muestra una recomendación en la que se indica si se debe aprobar la solicitud con su identidad actual o reenviarla a un administrador. Para obtener más información, consulte Funcionalidad beta de simulación de permisos.
En el cuadro de diálogo, seleccione cómo quiere proceder.
Seleccione Permitir acceso cuando su identidad tenga los permisos suficientes para que el proveedor del producto pueda llevar a cabo los procedimientos de incorporación en su nombre. Al seleccionar esta opción, la duración del acceso del proveedor del producto comienza en cuanto proporciona acceso.
Seleccione Solicitar aprobación si su identidad no tiene los permisos suficientes para que el proveedor del producto pueda llevar a cabo los procedimientos de incorporación en su nombre. A continuación, seleccione Crear solicitud de aprobación. Al seleccionar esta opción, se crea un enlace de solicitud de delegación temporal que puede compartir con el administrador de su cuenta. El administrador puede acceder a la Consola de administración de AWS o utilizar el enlace de acceso para revisar las solicitudes de delegación temporal a fin de aprobarlas y compartir el acceso temporal con el solicitante.
nota
Conceder acceso al proveedor del producto requiere dos acciones: aceptar la solicitud de delegación (AcceptDelegationRequest) y liberar el token de intercambio (SendDelegatedToken). La Consola de administración de AWS lleva a cabo ambos pasos automáticamente al aprobar una solicitud. Si utiliza la AWS CLI o la API, debe ejecutar ambos pasos por separado.
Funcionalidad de simulación de permisos (beta)
Cuando reciba una solicitud de delegación temporal, puede aprobarla usted mismo o reenviarla al administrador de su cuenta para su aprobación. Solo puede delegar permisos en un proveedor de productos si tiene permisos para los servicios y las acciones que se incluyen en la solicitud de delegación temporal. Si no tiene acceso a los servicios y acciones solicitados, el proveedor del producto no recibirá esos permisos aunque estén incluidos en la solicitud.
Por ejemplo, una solicitud de delegación temporal requiere la capacidad de crear un bucket de Amazon S3, iniciar y detener instancias en Amazon EC2 y asumir un rol de IAM. La identidad que aprueba la solicitud puede iniciar y detener instancias en Amazon EC2 y asumir un rol de IAM, pero no tiene permiso para crear un bucket de Amazon S3. Cuando esta identidad aprueba la solicitud, el proveedor del producto no puede crear un bucket de Amazon S3 a pesar de que estos permisos se incluyeron en la solicitud de delegación temporal.
Como solo puede delegar los permisos que ya posee, es fundamental evaluar si tiene los permisos solicitados antes de aprobarlos. La funcionalidad beta de simulación de permisos ayuda durante esta evaluación, ya que compara sus permisos con los incluidos en la solicitud. La evaluación indica si puede aprobar la solicitud con su identidad actual o si necesita reenviarla a un administrador. Si el análisis no puede validar que tiene permisos suficientes, reenvíe la solicitud a un administrador para que la revise. Esta evaluación se basa en un análisis de permisos simulado y puede diferir del entorno de AWS en vivo, por lo que debe revisar detenidamente los permisos solicitados antes de continuar.
Siguientes pasos
Tras iniciar una solicitud de delegación temporal, puede administrar y supervisar la solicitud durante todo su ciclo de vida. Los siguientes procedimientos lo ayudan a hacer un seguimiento del acceso temporal, aprobarlo y controlarlo:
Revisión de las solicitudes de delegación temporal: supervise el estado de sus solicitudes de acceso y consulte información detallada sobre las solicitudes para aprobar o denegar las solicitudes de delegación temporal.
Revocación del acceso a la delegación temporal: termine inmediatamente las sesiones de delegación temporal activas antes de que venzan de forma natural.
