Attivazione di sessioni di console con identità migliorata - AWS IAM Identity Center
Prerequisiti e considerazioniCome abilitare le sessioni identity-enhanced-consoleCome funzionano le sessioni di console con identità migliorata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attivazione di sessioni di console con identità migliorata

Una sessione con identità avanzata per la console migliora la sessione di AWS console di un utente fornendo un contesto utente aggiuntivo per personalizzare l'esperienza dell'utente. Questa funzionalità è attualmente supportata per gli utenti Amazon Q Developer Pro di Amazon Q su AWS app e siti Web.

Puoi abilitare sessioni di console con identità migliorata senza apportare modifiche ai modelli di accesso o alla federazione esistenti nella console. AWS Se i tuoi utenti accedono alla AWS console con IAM (ad esempio, se accedono come utenti IAM o tramite accesso federato con IAM), possono continuare a utilizzare questi metodi. Se i tuoi utenti AWS accedono al portale di accesso, possono continuare a utilizzare le proprie credenziali utente IAM Identity Center.

Prerequisiti e considerazioni

Prima di abilitare le sessioni della console con identità migliorata, esamina i seguenti prerequisiti e considerazioni:

  • Se i tuoi utenti accedono ad Amazon Q da AWS app e siti Web tramite un abbonamento Amazon Q Developer Pro, devi abilitare le sessioni di console con identità migliorata.

    Nota

    Gli utenti di Amazon Q Developer possono accedere ad Amazon Q senza sessioni con identità avanzata, ma non avranno accesso ai loro abbonamenti Amazon Q Developer Pro.

  • Le sessioni di console con identità migliorata richiedono un'istanza organizzativa di IAM Identity Center.

  • L'integrazione con Amazon Q non è supportata se abiliti IAM Identity Center in un opt-in Regione AWS.

  • Per abilitare le sessioni di console con identità migliorata, devi disporre delle seguenti autorizzazioni:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • Per consentire agli utenti di utilizzare sessioni di console con identità avanzata, è necessario concedere loro l'autorizzazione in una politica basata sull'identità. sts:setContext Per informazioni, consulta Concessione agli utenti delle autorizzazioni per l'utilizzo di sessioni di console con identità avanzata.

Come abilitare le sessioni identity-enhanced-console

Puoi abilitare sessioni di console con identità migliorata nella console Amazon Q o nella console IAM Identity Center.

Abilita sessioni di console con identità migliorata nella console Amazon Q

Prima di abilitare le sessioni di console con identità migliorata, è necessario disporre di un'istanza organizzativa di IAM Identity Center con una fonte di identità connessa. Se hai già configurato IAM Identity Center, vai al passaggio 3.

  1. Apri la console Centro identità IAM. Scegli Enable e crea un'istanza organizzativa di IAM Identity Center. Per informazioni, consultare Abilita IAM Identity Center.

  2. Connetti la tua fonte di identità a IAM Identity Center e fornisci agli utenti IAM Identity Center. Puoi connettere la tua fonte di identità esistente a IAM Identity Center o utilizzare la directory Identity Center se non stai già utilizzando un'altra fonte di identità. Per ulteriori informazioni, consulta Tutorial IAM Identity Center sulle origini di identità IAM Identity Center.

  3. Dopo aver completato la configurazione di IAM Identity Center, apri la console Amazon Q e segui i passaggi in Abbonamenti nella Amazon Q Developer User Guide. Assicurati di abilitare le sessioni di console con identità migliorata.

    Nota

    Se non disponi di autorizzazioni sufficienti per abilitare le sessioni di console con identità avanzata, potresti dover chiedere a un amministratore di IAM Identity Center di eseguire questa attività per te nella console IAM Identity Center. Per ulteriori informazioni, consulta la procedura successiva.

Abilita sessioni di console con identità migliorata nella console IAM Identity Center

Se sei un amministratore di IAM Identity Center, un altro amministratore potrebbe chiederti di abilitare le sessioni di console con identità migliorata nella console IAM Identity Center.

  1. Apri la console Centro identità IAM.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. In Abilita sessioni con identità migliorata, scegli Abilita.

  4. Nel secondo messaggio, scegli Abilita.

  5. Dopo aver abilitato le sessioni della console con identità avanzata, viene visualizzato un messaggio di conferma nella parte superiore della pagina Impostazioni.

  6. Nella sezione Dettagli, lo stato delle sessioni con identità avanzata è Abilitato.

Come funzionano le sessioni di console con identità migliorata

IAM Identity Center migliora la sessione corrente della console di un utente per includere l'ID utente IAM Identity Center attivo e l'ID di sessione IAM Identity Center.

Le sessioni di console con funzionalità di identità migliorate includono i seguenti tre valori:

  • Identity Store user ID (archivio di identità: UserId): questo valore viene utilizzato per identificare in modo univoco un utente nella fonte di identità connessa a IAM Identity Center.

  • Identity store directory ARN (archivio di identità: IdentityStoreArn): questo valore è l'ARN dell'archivio di identità connesso a IAM Identity Center e per cui è possibile cercare gli attributi. identitystore:UserId

  • ID di sessione IAM Identity Center: questo valore indica se la sessione IAM Identity Center dell'utente è ancora valida.

I valori sono gli stessi, ma ottenuti in modi diversi e aggiunti in diversi punti del processo, a seconda di come l'utente accede:

  • IAM Identity Center (portale di AWS accesso): in questo caso, l'ID utente e i valori ARN dell'archivio di identità dell'utente sono già forniti nella sessione attiva di IAM Identity Center. IAM Identity Center migliora la sessione corrente aggiungendo solo l'ID di sessione.

  • Altri metodi di accesso: se l'utente accede AWS come utente IAM, con un ruolo IAM o come utente federato con IAM, nessuno di questi valori viene fornito. IAM Identity Center migliora la sessione corrente aggiungendo l'ID utente dell'archivio di identità, l'ARN della directory dell'archivio di identità e l'ID della sessione.