ID 拡張コンソールセッションの有効化 - AWS IAM アイデンティティセンター
前提条件と考慮事項ID 拡張コンソールセッションを有効にする方法ID 拡張コンソールセッションの仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID 拡張コンソールセッションの有効化

コンソールのアイデンティティ拡張セッションは、ユーザーのエクスペリエンスをパーソナライズするための追加のユーザーコンテキストを提供することで、ユーザーの AWS コンソールセッションを強化します。この機能は現在、AWS アプリやウェブサイト上の Amazon Q の Amazon Q Developer Pro ユーザー向けにサポートされています。

既存のアクセスパターンやコンソールへのフェデレーションを変更することなく、アイデンティティが強化された AWS コンソールセッションを有効にできます。ユーザーが IAM を使用して AWS コンソールにサインインする場合 (たとえば、IAM ユーザーとしてサインインする場合や、IAM によるフェデレーションアクセスを通じてサインインする場合)、これらのメソッドを引き続き使用できます。ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center のユーザー認証情報を引き続き使用できます。

前提条件と考慮事項

ID 拡張コンソールセッションを有効にする前に、以下の前提条件と考慮事項を確認してください。

  • ユーザーが Amazon Q Developer Pro サブスクリプションを介して AWS アプリやウェブサイトで Amazon Q にアクセスする場合は、アイデンティティ拡張コンソールセッションを有効にする必要があります。

    注記

    Amazon Q Developer ユーザーは、ID 拡張セッションなしで Amazon Q にアクセスできますが、Amazon Q Developer Pro サブスクリプションにはアクセスできません。

  • ID 拡張コンソールセッションには、IAM アイデンティティセンターの組織インスタンスが必要です。

  • IAM アイデンティティセンターをオプトイン AWS リージョンで有効にした場合、Amazon Q との統合はサポートされません。

  • ID 拡張コンソールセッションを有効にするには、次のアクセス許可が必要です。

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • ユーザーが ID 拡張コンソールセッションを使用できるようにするには、ID ベースのポリシーで sts:setContext アクセス許可を付与する必要があります。詳細については、「ユーザーに ID 拡張コンソールセッションを使用するアクセス許可を付与する」を参照してください。

ID 拡張コンソールセッションを有効にする方法

ID 拡張コンソールセッションは、Amazon Q コンソールまたは IAM アイデンティティセンターコンソールで有効にできます。

Amazon Q コンソールで ID 拡張コンソールセッションを有効にする

ID 拡張コンソールセッションを有効にする前に、ID ソースが接続された IAM アイデンティティセンターの組織インスタンスが必要です。IAM アイデンティティセンターを既に設定している場合は、ステップ 3 に進みます。

  1. IAM Identity Center コンソールを開きます。[有効化] を選択し、IAM アイデンティティセンターの組織インスタンスを作成します。詳細については、「IAM Identity Center を有効にする」を参照してください。

  2. ID ソースを IAM アイデンティティセンターに接続し、ユーザーを IAM アイデンティティセンターにプロビジョニングします。既存の ID ソースを IAM アイデンティティセンターに接続するか、あるいは別に使用している ID ソースがない場合は イデンティティセンターディレクトリを利用できます。詳細については、「IAM アイデンティティセンターの ID ソースに関するチュートリアル」を参照してください。

  3. IAM アイデンティティセンターの設定が完了したら、Amazon Q コンソールを開き、「Amazon Q Developer User Guide」の「Subscriptions」のステップに従います。ID 拡張コンソールセッションを必ず有効にしてください。

    注記

    ID 拡張コンソールセッションを有効にするのに十分なアクセス許可がない場合は、IAM アイデンティティセンター管理者に依頼して IAM アイデンティティセンターコンソール上でこのタスクを実行してもらってください。詳細については、次の手順を参照してください。

IAM アイデンティティセンターコンソールで ID 拡張コンソールセッションを有効にする

IAM アイデンティティセンター管理者は、別の管理者から IAM アイデンティティセンターコンソールでの ID 拡張コンソールセッションの有効化を依頼されることがあります。

  1. IAM Identity Center コンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [ID 拡張セッションを有効にする] で、[有効化] を選択します。

  4. 次に表示されるメッセージに対して、[有効化] を再度選択します。

  5. ID 拡張コンソールセッションの有効化が完了すると、[設定] ページの上部に確認メッセージが表示されます。

  6. [詳細] セクションに表示される [ID 拡張セッション] のステータスが [有効] になっているはずです。

ID 拡張コンソールセッションの仕組み

IAM アイデンティティセンターでユーザーの現在のコンソールセッションを拡張することで、アクティブな IAM アイデンティティセンターユーザー ID と IAM アイデンティティセンターセッション ID を含むようにすることができます。

ID 拡張コンソールセッションには、次の 3 つの値が含まれます。

  • Identity Store ユーザー ID (identitystore:UserId) - この値は、IAM アイデンティティセンターに接続されている ID ソース内のユーザーを一意に識別するのに使用されます。

  • ID ストアディレクトリ ARN (identitystore:IdentityStoreArn) - この値は、IAM アイデンティティセンターに接続され、identitystore:UserId の属性検索を可能にする ID ストアの ARN です。

  • IAM アイデンティティセンターセッション ID - この値は、ユーザーの IAM アイデンティティセンターセッションがまだ有効かどうかを示します。

値は同じですがさまざまな方法で取得され、ユーザーがサインインする方法に応じてプロセスのさまざまなポイントに追加されます。

  • IAM アイデンティティセンター (AWS アクセスポータル): この場合、ユーザーの ID ストアユーザー ID と ARN 値は、アクティブな IAM アイデンティティセンターセッションで既に指定されています。IAM アイデンティティセンターには、セッション ID のみを追加することで現在のセッションを拡張する機能があります。

  • その他のサインイン方法: ユーザーが IAM ユーザー、IAM ロール、または IAM のフェデレーションユーザーとして AWS にサインインする場合、これらの値は提供されません。IAM アイデンティティセンターは、ID ストアユーザー ID、ID ストアディレクトリ ARN、およびセッション ID を追加することで現在のセッションを拡張します。