# ID 拡張コンソールセッションを使用するための許可の付与
<a name="id_credentials_temp_control-access_sts-setcontext"></a>

ID 拡張コンソールセッションでは、ユーザーがサインインするときに、AWS IAM アイデンティティセンター ユーザーとセッション ID をユーザーの AWS セッションに含めることができます。例えば、Amazon Q Developer Pro は ID 拡張コンソールセッションを使用して、サービスエクスペリエンスをパーソナライズします。ID 拡張コンソールセッションの詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[ID 拡張セッションの有効化](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-enhanced-sessions.html)」を参照してください。Amazon Q Developer のセットアップについては、「Amazon Q Developer ユーザーガイド」の「[Setting up Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/setting-up.html)」を参照してください。

ユーザーが ID 拡張コンソールセッションを利用できるようにするには、ID ベースのポリシーを使用して、ユーザー自身のコンソールセッションを表すリソースに対する `sts:SetContext` 許可を IAM プリンシパルに付与する必要があります。

**重要**  
デフォルトで、ユーザーには ID 拡張コンソールセッションのコンテキストを設定する許可がありません。これを許可するには、以下のポリシー例に示すように、ID ベースのポリシーで `sts:SetContext` アクセス許可を IAM プリンシパルに付与する必要があります。

次の ID ベースのポリシー例は、`sts:SetContext` 許可を IAM プリンシパルに付与することで、プリンシパルがプリンシパル自身の AWS コンソールセッションに ID 拡張コンソールセッションコンテキストを設定できるようにします。ポリシーリソース `arn:aws:sts::account-id:self` は、呼び出し元の AWS セッションを表します。IAM Identity Center のアクセス許可セットを使用してこのポリシーをデプロイする場合など、同じアクセス許可ポリシーが複数のアカウントにデプロイされる場合は、`account-id` ARN セグメントをワイルドカード文字 `*` に置き換えることができます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:SetContext",
            "Resource": "arn:aws:sts::111122223333:self"
        }
    ]
}
```

------