本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件
以下主题列出了关联 AWS 合作伙伴中心和 AWS 账户所需的先决条件。我们建议按所列顺序关注主题。
注意
由于用户界面、功能和性能问题,账户关联不支持 Firefox Extended Support 版本 (Firefox ESR)。我们建议使用普通版本的 Firefox 或 Chrome 浏览器。
用户角色和权限
要将您的 AWS 账户与 P AWS artner Central 账户关联,您需要担任以下角色的人员:
- 身份与访问管理 (IAM) 管理员
-
通过 IAM 管理用户权限。通常在 IT 安全、信息安全、专门的 IAM 团队或监管与合规组织中工作。负责实施 IAM 策略、配置 SSO 解决方案、处理合规性审查以及维护基于角色的访问控制结构。
- AWS 合作伙伴中心联盟负责人或云管理员
-
贵公司的主要账户管理员。此人必须具有业务发展或业务领导职务以及接受 AWS 合作伙伴网络条款和条件的合法权限。联盟负责人可以委托账户关联到具有云管理员用户角色的合作伙伴中心用户。
选择一个 AWS AWS 合作伙伴中心账户
选择您将关联到 AWS 合作伙伴中心个人资料的 AWS 账户。无论您是注册为新 AWS 合作伙伴还是从旧版 AWS Partner Network (APN) 门户网站迁移,这都适用。
您为 AWS 合作伙伴中心选择的 AWS 账户将管理 APN 费用支付、解决方案和 APN 客户参与 (ACE) 机会跟踪。所有 APN 资源,包括 ACE 机会、机会历史记录和多合作伙伴机会邀请,都是在账户中创建的,不能转移到其他 AWS 账户。
如果您是可以访问旧版 AWS 合作伙伴中心的合作伙伴,并且需要关联 AWS 账户以支付 APN 费用或合作伙伴中心迁移,则账户关联将在迁移后永久关联。在迁移之前,您可以取消关联您的账户,然后选择其他账户。迁移后,关联账户无法更改。所有 AWS Partner Network 资源,包括 ACE 机会、机会历史记录和多合作伙伴机会邀请,都与该账户永久关联。
使用下表中的信息来帮助决定您应该为自己的 AWS 合作伙伴中心账户关联或选择哪个 AWS 账户。
账户选择清单
您的账户必须:
-
使用付费 AWS 账户计划并保持良好的信誉 — 该账户必须使用付费 AWS 账户计划(不是免费套餐),并在 APN 中保持良好的 AWS 信誉。要升级到付费账户计划,请参阅 AWS 账单用户指南中的选择 AWS 免费套餐计划。
-
归@@ 贵公司所有 — 该账户必须归贵公司所有,并且属于贵公司控制的 AWS 组织。它不得归分销商或其他组织所有,也不得是分销商组织内的成员账户。
-
能够加入 future AWS Partner Central 用户 — 需要创造机会、解决方案和资金申请的用户需要访问此账户。
-
拥有与您的主要营业地点相匹配的法人(税务)地址 — 该账户的账单地址将成为您的合作伙伴资料的总部所在地。选择账单地址与您的主要营业地点相匹配的账户。
您的账户不得是:
-
用于代码@@ 开发和测试的开发者账户或沙盒账户
-
个人学习或项目的个人账户
-
测试账号
建议不要选择:
-
Organizations 的@@ 管理(或主要付款人)账户 AWS
| AWS 合作伙伴场景 | 示例 | AWS 账户选项 | 注意事项 |
|---|---|---|---|
|
场景 1:您拥有由第三方管理的 AWS 账户,但未注册为 AWS Marketplace 卖家 |
AWS 与 AWS 分销商合作伙伴合作的合作伙伴 |
选项 1:创建一个 AWS 账户并链接到该账户。 选项 2:链接到现有 AWS 账户 |
选项 1:
选项 2:
|
|
场景 2:您拥有 AWS 账户但未注册为 AWS Marketplace 卖家 |
AWS 不通过以下方式进行交易的合作伙伴 AWS Marketplace 或在 AWS Marketplace 不提供服务的国家/地区的合作伙伴 |
与场景 1 相同 |
与场景 1 相同 |
|
场景 3:您拥有自己的 AWS 账户并使用单个 Marketplace AWS Marketplace 卖家账户注册为卖家 |
AWS 在单一国家拥有合并产品清单或在全球开展业务的合作伙伴 |
选项 1:创建并链接到新 AWS 账户 选项 2:链接到现有 AWS 账户 选项 3:链接到 AWS Marketplace 卖家账户 |
选项 1:
选项 2:
选项 3:
|
|
场景 4:您拥有自己的 AWS 账户并注册为拥有多个 AWS Marketplace 卖家账户的卖家 |
AWS 在不同业务领域拥有多个产品清单或必须满足监管和合规要求的合作伙伴 |
与场景 3 相同 |
与场景 3 相同 |
授予 IAM 权限
本节中列出的 IAM 政策授予 AWS 合作伙伴中心用户对关联 AWS 账户的有限访问权限。访问权限级别取决于分配给用户的 IAM 角色。有关权限级别的更多信息,请参阅本主题了解角色权限后面的内容。
要创建策略,您必须是负责 AWS 环境的 IT 管理员。完成后,您必须将策略分配给 IAM 用户或角色。
本节中的步骤说明了如何使用 IAM 控制台创建策略。
注意
如果您是联盟负责人或云管理员,并且已经拥有具有 AWS 管理员权限的 IAM 用户或角色,请跳至将 AWS 合作伙伴中心与 AWS accounts。
创建策略
-
登录 IAM 控制台
。 -
在访问管理下,选择策略。
-
选择创建策略,选择 JSON,然后添加以下策略:
-
选择下一步。
-
在 “策略详细信息” 下的 “策略名称” 框中,输入策略的名称和可选描述。
-
查看策略权限,根据需要添加标签,然后选择创建策略。
-
将您的 IAM 用户或角色附加到策略。有关附加的信息,请参阅 IAM 用户指南中的添加 IAM 身份权限(控制台)。
了解角色权限
IT 管理员完成上一节中的步骤后,AWS Partner Central 中的联盟负责人和其他人可以分配安全策略并映射用户角色。下表列出并描述了账户关联期间创建的标准角色以及每个角色可用的任务。
| 标准 IAM 角色 | AWS 使用的合作伙伴中心托管策略 | 能做到 | 做不到 |
|---|---|---|---|
| 云端管理员 |
|
||
| 联盟小组 |
|
将 IAM 角色映射或分配给 AWS 合作伙伴中心用户。只有联盟负责人和云管理员才能映射或分配角色。 | |
| ACE 战队 |
|
|
为单点登录创建权限集
以下步骤说明如何使用 IAM 身份中心创建允许单点登录访问 AWS 合作伙伴中心的权限集。
有关权限集的更多信息,请参阅 AWS IAM Identity Center 用户指南中的创建权限集。
-
在 “Multi-account 权限” 下,选择 “权限集”。
-
选择创建权限集。
-
在 “选择权限集类型” 页面的 “权限集类型” 下,选择 “自定义权限集”,然后选择 “下一步”。
-
执行以下操作:
-
在 “指定策略和权限边界” 页面上,选择要应用于权限集的 IAM 策略类型。
默认情况下,您可以向权限集添加最多 10 个 AWS 托管策略和客户托管策略的任意组合。IAM 设置了这个配额。要提高该权限,请在 Service Quotas 控制台中请求增加您要向其分配权限集的每个 AWS 账户中附加到 IAM 角色的 IAM 配额托管策略。
-
展开内联策略以添加自定义 JSON-formatted 策略文本。内联策略与现有的 IAM 资源不对应。要创建内联策略,请在提供的表单中输入自定义策略语言。IAM Identity Center 会将策略添加到它在您的成员帐户中创建的 IAM 资源中。有关更多信息,请参阅内联策略。
-
-
在指定权限集详细信息 页面中,请执行以下操作:
-
在权限集名称 下,键入一个名称以在 IAM Identity Center 中标识此权限集。您为此权限集指定的名称作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 帐户,然后选择角色。
-
(可选)您也可以键入描述。描述仅显示在 IAM Identity Center 控制台中,不显示在 AWS 访问门户中。
-
(可选)指定会话持续时间的值。该值确定用户在控制台注销其会话之前可以登录的时间长度。有关更多信息,请参阅为 AWS 账户设置会话持续时间。
-
(可选)指定中继状态的值。此值在联合身份验证过程中用于重定向帐户中的用户。有关更多信息,请参阅设置中继状态以快速访问 AWS 管理控制台。
注意
中继状态必须使用 AWS 管理控制台 URL。例如:
https://console.aws.amazon.com/ec2/ -
展开标签(可选),选择添加标签,然后为密钥和值(可选)指定值。
有关标签的信息,请参阅标记 AWS IAM 身份中心资源。
-
选择下一步。
-
-
在查看并创建页面上,查看您所做的选择,然后选择创建。
默认情况下,当您创建权限集时,不会配置该权限集(用于任何 AWS 账户)。要在账户中配置权限集,您必须为 AWS 账户中的用户和群组分配 IAM Identity Center 访问权限,然后将该权限集应用于这些用户和群组。有关更多信息,请参阅 AWS IAM Identity Center 用户指南中的向 AWS 账户分配用户访问权限。
