本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 AWS 合作伙伴中心控制访问权限
用户对 AWS 合作伙伴中心的访问权限通过 AWS 身份与访问管理 (IAM) 管理。IAM 权限控制谁可以通过身份验证(登录)和授权(拥有权限)使用 AWS 合作伙伴中心和 AWS Marketplace 功能。IAM 是一项无需额外付费即可使用的 AWS 服务。
IAM 权限由 IAM 管理员分配给个人用户。这些管理员充当您 AWS 环境的安全管理员,他们配置和取消配置用户帐户、分配权限以及设置安全策略。IAM 管理员通常在 IT 或治理和安全团队中任职。
**重要**
要访问 AWS 合作伙伴中心,用户必须与其 IAM 管理员合作,才能获得正确的访问级别。如果权限设置不正确,用户可能根本无法登录,或者他们可能能够登录,但可能无法访问完成工作所需的工具和信息。
以下资源提供了有关入门和使用 IAM 的更多信息:
+ [创建管理用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)
+ [IAM 安全最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html)
+ [将策略附加到 IAM 用户组](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)
+ [IAM 身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)
+ [使用策略控制对 AWS 资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html)
+ [AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
**Topics**
+ [AWS 适用于 AWS 合作伙伴中心的 IAM](#aws-iam-for-aws-partner-central)
+ [向 AWS 合作伙伴中心添加用户](#adding-users-to-aws-partner-central)
+ [AWS 合作伙伴平台的权限](#permissions-for-aws-partner-central)
+ [AWS 合作伙伴平台的条件密钥](#condition-keys-for-aws-partner-central)
## AWS 适用于 AWS 合作伙伴中心的 IAM
AWS IAM 建立在基于角色的访问概念之上。在此框架内,用户被分配到与一组 IAM 策略关联的特定角色或群组,这些策略控制用户可以访问 AWS Partner Central 中的哪些特定功能。为了简化这一流程,我们发布 AWS 了多项托管政策,以简化 AWS Partner Central 中常见用户角色的用户管理。
IAM 管理员负责创建 IAM 角色、群组和策略,并分配用户在 AWS IAM 中配置权限,但必须与 Partner Central 用户及其领导层合作,确定应向每个用户授予什么级别的访问权限。
查看托管策略映射,以获取有关基于常见合作伙伴中心用户角色的托管策略分配的指导。
使用 I AWS AM 需要特定的技术知识和适当的 AWS 账户权限。这些人(“IAM 管理员”)需要为这些权限的设置和管理提供支持。IAM 管理员通常是您的 IT 安全、信息安全或 Governance/Compliance 部门中的人员。
合作伙伴中心使用 AWS IAM 来管理通过贵组织 AWS 账户进行的所有用户访问权限。您的 IT 团队不是通过合作伙伴中心直接管理用户,而是通过 AWS IAM 控制访问权限。为用户分配了特定的策略,这些策略决定了用户可以访问的合作伙伴中心资源(如机会、解决方案或资金申请),以及他们是只能查看信息(读取权限)还是也可以进行更改(写入权限)。
**重要**
如果用户未在 IAM 中正确配置访问权限,他们将无法访问 AWS 合作伙伴中心中的功能。用户只能访问他们完成工作所需的功能——这被称为 “最低权限” 访问权限。
### IAM 基于角色的访问权限实施
实施因组织而异,但通常遵循以下流程:
步骤 1:IAM 管理员创建 IAM 角色
IAM 管理员在 AWS 合作伙伴中心中创建用于定义职能角色的角色。每个角色都描述了该工作职能中的用户需要访问的特定功能和能力。例如,可以为以下对象创建角色:
+ 营销经理,负责创建联合营销资产和管理活动
+ 运营管理员,负责创建和管理资金申请。
Organizations 可以根据访问合作伙伴中心的不同角色根据需要创建任意数量的角色。有关合作伙伴中心常见用户角色的摘要,请参阅此处。除了这些托管策略外,组织还可以创建和自定义托管策略,以根据需要定制访问权限。有关更多信息,请参阅 [AWS 合作伙伴中心用户的AWS 托管政策](https://docs.aws.amazon.com/partner-central/latest/getting-started/managed-policies.html)。
不确定您的 IAM 管理员是谁? 他们通常在 IT 安全、信息安全或 Governance/Compliance 团队中任职,但这因组织而异。他们应该对用于访问 AWS 合作伙伴中心的 AWS 账户拥有管理员访问权限。
步骤 2:为每个角色分配 IAM 策略
创建角色后,IAM 管理员会分配特定的 IAM 策略来确定允许的访问权限。例如,营销经理角色可能会获得案例研究功能的 read/write 访问权限、创建和管理解决方案的权限以及创建 APN Support 工单的权限。为了简化此过程, AWS 发布了托管策略,即映射到常见用户角色的预构建的 IAM 策略集。IAM 管理员可以分配与每个角色的职责一致的托管策略,而不是配置单独的功能级内联策略。要了解常见的 Partner Central 角色如何映射到已发布的托管政策,请参阅此处。
IAM 管理员可以使用托管策略或为特定用户权限构建自定义策略。 AWS 建议尽可能使用托管策略来简化权限管理,因为它们可以为常见用例和版本控制启用自动 AWS 更新。
步骤 3:[可选] 设置单点登录
单点登录 (SSO) 通过简化身份验证和增强安全性,让用户、组织和 IT 团队受益。对于用户而言,SSO 允许他们使用一组凭据登录一次即可访问多个企业应用程序,从而简化了访问权限,减少了密码疲劳,并通过跨集成系统的无缝导航提高了工作效率。对于组织而言,SSO 通过集中式身份验证来增强安全性,从而实现更强的访问控制,并通过更轻松地实施安全策略来提高合规性。特别是对于 IT 团队而言,SSO 通过从一个位置管理用户身份和权限来简化管理,通过同时授予或撤消对多个系统的访问权限来加快入职和离职速度,并通过标准协议连接不同的应用程序来提供集成灵活性。有关如何为您的组织设置 SSO 的更多信息,请参阅此处。
## 向 AWS 合作伙伴中心添加用户
将用户添加到合作伙伴中心需要联盟负责人(负责确定访问需求)和 IAM 管理员(负责实施技术设置)之间的协调。
**注意**
IAM 权限可以在需要时进行修改,并且可以获得访问权限的用户数量没有上限。
要添加新用户,请执行以下操作:
### 对于联盟负责人:确定用户访问需求
1. **确定用户的角色和所需的访问级别:**查看托管策略映射,以确定哪个角色(角色)最能描述其工作职能。请参阅此表,了解常见的 Partner Central 用户角色以及哪些托管策略最适合该用户所需的访问级别。
1. **请求 IAM 管理员添加用户。**向 IAM 管理员提供:
+ 用户名和公司电子邮件地址
+ 必需的托管策略(例如 AWSPartnerCentralOpportunityManagement)
+ 任何特定的访问要求(如果需要自定义策略)
### 对于 IAM 管理员:创建和配置用户访问权限
根据您的 AWS 账户设置,选择以下选项之一来授予用户访问权限:
选项 1:使用 IAM 身份中心
**最适合:**需要通过单点登录 (SSO) 功能集中管理访问权限的跨 AWS 账户管理多个用户的组织。
**主要优点:**集中式用户管理、账户间自动权限同步、简化入职/离职,以及通过 SSO 增强安全性。
选项 2:使用 IAM 控制台(适用于个人用户)
**最适合:**管理数量有限且需要直接访问 AWS 控制台的个人用户账户的小型团队或组织。
**主要优点:**个人用户可以快速设置,可以直接控制特定的用户权限,小规模部署也很简单。
选项 3:与第三方身份提供商集成
**最适合:**已经使用企业身份提供商(例如 Okta、Azure AD 或 Ping 身份)且希望维护现有身份验证工作流程的组织。
**主要优点:**与现有企业身份系统的无缝集成、所有业务应用程序的一致身份验证体验、集中式用户生命周期管理,以及增强对企业安全策略的合规性。
## AWS 合作伙伴平台的权限
您可以在 AWS 合作伙伴中心的 IAM 策略中使用以下权限。您可以将权限组合到单个 IAM 策略中以授予您所需的权限。
### ListPartnerPaths
`ListPartnerPaths`提供对合作伙伴中心中列出合作伙伴路径的 AWS 访问权限。
+ **行动小组:**`ListOnly`、`ReadOnly`、`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### EnrollInPartnerPath
`EnrollInPartnerPath`提供在合作伙伴中心注册合作伙伴路径的 AWS 权限。
+ **行动小组:**`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### GetPartnerDashboard
`GetPartnerDashboard`提供在 AWS 合作伙伴中心检索合作伙伴控制面板信息的权限。
+ **行动小组:**`ReadOnly`,`ReadWrite`
+ **所需资源:**`arn:${Partition}:partnercentral::${Account}:catalog/${Catalog}/ReportingData/${TableId}/Dashboard/${DashboardId}`
+ **条件键:**`partnercentral:Catalog`
### CreateBusinessPlan
`CreateBusinessPlan`提供在 AWS 合作伙伴中心创建业务计划的权限。
+ **行动小组:**`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### PutBusinessPlan
`PutBusinessPlan`提供在 AWS 合作伙伴中心更新业务计划的权限。
+ **行动小组:**`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### ListBusinessPlans
`ListBusinessPlans`提供在 AWS 合作伙伴中心列出业务计划的访问权限。
+ **行动小组:**`ListOnly`、`ReadOnly`、`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### GetBusinessPlan
`GetBusinessPlan`提供在 AWS 合作伙伴中心检索商业计划书详细信息的权限。
+ **行动小组:**`ReadOnly`,`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### CreateCollaborationChannelRequest
`CreateCollaborationChannelRequest`提供在 AWS 合作伙伴中心创建协作渠道请求的权限。
+ **行动小组:**`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### ListCollaborationChannels
`ListCollaborationChannels`提供对 AWS 合作伙伴中心中列出协作渠道的访问权限。
+ **行动小组:**`ListOnly`、`ReadOnly`、`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### GetCollaborationChannel
`GetCollaborationChannel`提供在 AWS 合作伙伴中心检索协作渠道详细信息的权限。
+ **行动小组:**`ReadOnly`,`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### CreateCollaborationChannelMembers
`CreateCollaborationChannelMembers`提供在 AWS 合作伙伴中心创建协作渠道成员的权限。
+ **行动小组:**`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### SearchPartnerProfiles
`SearchPartnerProfiles`提供在合作伙伴中心搜索公开合作伙伴资料的 AWS 权限。
+ **行动小组:**`ListOnly`、`ReadOnly`、`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### GetPartnerProfile
`GetPartnerProfile`提供在 AWS 合作伙伴中心检索公开合作伙伴资料详细信息的权限。
+ **行动小组:**`ReadOnly`,`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
### GetProgramManagementAccount
`GetProgramManagementAccount`提供在 AWS 合作伙伴中心检索计划管理账户详细信息的权限。
+ **行动小组:**`ReadOnly`,`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
+ **条件键:**`partnercentral:Catalog`
### UseSession
`UseSession`提供在合作伙伴中心使用合作伙伴中心代理会话的 AWS 权限。
+ **行动小组:**`ReadWrite`
+ **所需资源:**不支持在 IAM 政策声明的`Resource`元素中指定资源亚马逊资源编号 (ARN)。要允许访问,请在策略`"Resource": "*"`中指定。
+ **条件键:**`partnercentral:Catalog`
## AWS 合作伙伴平台的条件密钥
AWS 合作伙伴中心定义了您可以在 IAM 策略`Condition`元素中使用的以下条件键。
### 合作伙伴中心:目录
按特定目录筛选访问权限。
+ **类型**:`String`
**有效值**:`[AWS | Sandbox]`
### 合作伙伴中心:RelatedEntityType
按机会关联的实体类型筛选访问权限。
+ **类型**:`String`
**有效值**:`[Solutions | AwsProducts | AwsMarketplaceOffers]`
### 合作伙伴中心:ChannelHandshakeType
按频道握手类型筛选访问权限。
+ **类型**:`String`
**有效值**:`[START_SERVICE_PERIOD | REVOKE_SERVICE_PERIOD | PROGRAM_MANAGEMENT_ACCOUNT]`
### 合作伙伴中心:VerificationType
按正在执行的验证类型筛选访问权限。
+ **类型**:`String`
**有效值**:`[BUSINESS_VERIFICATION | REGISTRANT_VERIFICATION]`
### 合作伙伴中心:FulfillmentTypes
按福利配送类型筛选访问权限。
+ **类型**:`ArrayOfString`
**有效值**:`[CREDITS | CASH | ACCESS]`
### 合作伙伴中心:计划
按程序筛选访问权限。
+ **类型**:`ArrayOfString`