Criação de uma agência (por uma parte delegante)
Ao criar uma agência, você pode compartilhar seus recursos com outra conta ou delegar um indivíduo ou equipe para gerenciar seus recursos. Você não precisa compartilhar suas credenciais de segurança (a senha ou as chaves de acesso) com a parte delegada. Em vez disso, a parte delegada pode fazer logon com suas próprias credenciais de conta e, em seguida, alternar a função para sua conta e gerenciar seus recursos.
Pré-requisitos
Antes de criar uma agência, conclua as seguintes operações:
- Entenda os conceitos básicos de permissões.
- Determine as permissões definidas pelo sistema a serem atribuídas à agência e verifique se as permissões têm dependências. Para obter mais detalhes, consulte Atribuição de funções de dependência.
Procedimento
- Faça logon no console do IAM.
- No console do IAM, escolha Agencies no painel de navegação esquerdo e clique em Create Agency no canto superior direito.
Figura 1 Criar uma agência
- Insira um nome de agência.
Figura 2 Configurar o nome da agência
- Especifique o tipo de agência como Account e insira o nome de uma conta delegada.
- Account: compartilhe recursos com outra conta ou delegue um indivíduo ou equipe para gerenciar seus recursos. A conta delegada só pode ser uma conta, em vez de um usuário do IAM ou um usuário federado.
- Cloud service: delegue um serviço específico para acessar outros serviços. Para obter mais informações, consulte Agência de serviços de nuvem.
- Defina o período de validade e insira uma descrição para a agência.
- Clique em Next.
- Selecione as políticas ou funções a serem anexadas à agência, clique em Next e selecione o escopo de autorização.
- A atribuição de permissões a uma agência é semelhante à atribuição de permissões a um grupo de usuários. As duas operações diferem apenas no número de permissões disponíveis. Para obter detalhes sobre como atribuir permissões a um grupo de usuários, consulte Atribuição de permissões a um grupo de usuários.
- Você pode atribuir a função Security Administrator à agência, mas não recomendamos que você faça isso. Para fins de segurança da conta, conceda apenas as permissões necessárias à agência com base no princípio do privilégio mínimo (PoLP).
- Clique em OK.
Depois de criar uma agência, forneça o nome de sua conta, o nome da agência, o ID da agência e as permissões da agência para a parte delegada. A parte delegada pode então alternar a função para sua conta e gerenciar recursos específicos com base nas permissões atribuídas.