ID 拡張コンソールセッションの有効化 - AWS IAM Identity Center
前提条件と考慮事項identity-enhanced-consoleセッションを有効にする方法ID 拡張コンソールセッションの仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID 拡張コンソールセッションの有効化

コンソールのアイデンティティ拡張セッションは、ユーザーのエクスペリエンスをパーソナライズするための追加のユーザーコンテキストを提供することで、ユーザーの AWS コンソールセッションを強化します。この機能は現在、AWS アプリやウェブサイト上の Amazon Q の Amazon Q Developer Pro ユーザー向けにサポートされています。

既存のアクセスパターンやコンソールへのフェデレーションを変更することなく、アイデンティティが強化された AWS コンソールセッションを有効にできます。ユーザーが IAM を使用して AWS コンソールにサインインする場合 (IAM ユーザーとしてサインインする場合や、IAM によるフェデレーティッドアクセスを通じてサインインする場合など)、これらのメソッドを引き続き使用できます。ユーザーが AWS アクセスポータルにサインインすると、IAM Identity Center ユーザー認証情報を引き続き使用できます。

前提条件と考慮事項

ID 拡張コンソールセッションを有効にする前に、以下の前提条件と考慮事項を確認してください。

  • ユーザーが Amazon Q Developer Pro サブスクリプションを通じて AWS アプリやウェブサイトで Amazon Q にアクセスする場合は、アイデンティティ拡張コンソールセッションを有効にする必要があります。

    注記

    Amazon Q Developer ユーザーは ID 拡張セッションなしで Amazon Q にアクセスできますが、Amazon Q Developer Pro サブスクリプションにはアクセスできません。

  • ID 拡張コンソールセッションには、IAM Identity Center の組織インスタンスが必要です。

  • IAM アイデンティティセンターをオプトイン AWS リージョンで有効にした場合、Amazon Q との統合はサポートされません。

  • ID 拡張コンソールセッションを有効にするには、次のアクセス許可が必要です。

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • ユーザーがアイデンティティ拡張コンソールセッションを使用できるようにするには、アイデンティティベースのポリシーでアクセスsts:setContext許可を付与する必要があります。詳細については、「ID 拡張コンソールセッションを使用するアクセス許可をユーザーに付与する」を参照してください。

identity-enhanced-consoleセッションを有効にする方法

ID 拡張コンソールセッションは、Amazon Q コンソールまたは IAM Identity Center コンソールで有効にできます。

Amazon Q コンソールでアイデンティティ拡張コンソールセッションを有効にする

ID 拡張コンソールセッションを有効にする前に、ID ソースが接続された IAM Identity Center の組織インスタンスが必要です。IAM アイデンティティセンターを既に設定している場合は、ステップ 3 に進みます。

  1. IAM Identity Center コンソールを開きます。[有効化] を選択し、IAM アイデンティティセンターの組織インスタンスを作成します。詳細については、「IAM Identity Center を有効にする」を参照してください。

  2. ID ソースを IAM アイデンティティセンターに接続し、ユーザーを IAM アイデンティティセンターにプロビジョニングします。既存の ID ソースを IAM アイデンティティセンターに接続するか、あるいは別に使用している ID ソースがない場合は Identity Center ディレクトリを利用できます。詳細については、「IAM Identity Center アイデンティティソースのチュートリアル」を参照してください。

  3. IAM アイデンティティセンターの設定が完了したら、Amazon Q コンソールを開き、「Amazon Q Developer User Guide」の「Subscriptions」のステップに従います。ID 拡張コンソールセッションを必ず有効にしてください。

    注記

    ID 拡張コンソールセッションを有効にするための十分なアクセス許可がない場合は、IAM Identity Center コンソールでこのタスクを実行するように IAM Identity Center 管理者に依頼する必要がある場合があります。詳細については、次の手順を参照してください。

IAM Identity Center コンソールで ID 拡張コンソールセッションを有効にする

IAM Identity Center 管理者の場合、別の管理者から IAM Identity Center コンソールで ID 拡張コンソールセッションを有効にするように求められることがあります。

  1. IAM Identity Center コンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. ID 拡張セッションを有効にする で有効化 を選択します。

  4. 次に表示されるメッセージに対して、[有効化] を再度選択します。

  5. ID 拡張コンソールセッションの有効化が完了すると、設定ページの上部に確認メッセージが表示されます。

  6. 詳細セクションでは、アイデンティティ拡張セッションのステータスが有効になります

ID 拡張コンソールセッションの仕組み

IAM アイデンティティセンターでユーザーの現在のコンソールセッションを拡張することで、アクティブな IAM アイデンティティセンターユーザー ID と IAM アイデンティティセンターセッション ID を含むようにすることができます。

ID 拡張コンソールセッションには、次の 3 つの値が含まれます。

  • Identity Store ユーザー ID (identitystore:UserId) - この値は、IAM アイデンティティセンターに接続されている ID ソース内のユーザーを一意に識別するのに使用されます。

  • ID ストアディレクトリ ARN (identitystore:IdentityStoreArn) - この値は、IAM アイデンティティセンターに接続され、identitystore:UserId の属性検索を可能にする ID ストアの ARN です。

  • IAM アイデンティティセンターセッション ID - この値は、ユーザーの IAM アイデンティティセンターセッションがまだ有効かどうかを示します。

値は同じですがさまざまな方法で取得され、ユーザーがサインインする方法に応じてプロセスのさまざまなポイントに追加されます。

  • IAM Identity Center (AWS アクセスポータル): この場合、ユーザーの ID ストアユーザー ID と ARN 値は、アクティブな IAM Identity Center セッションで既に指定されています。IAM アイデンティティセンターには、セッション ID のみを追加することで現在のセッションを拡張する機能があります。

  • その他のサインイン方法: ユーザーが IAM ユーザー、IAM ロール、または IAM のフェデレーションユーザーとして AWS にサインインする場合、これらの値は提供されません。IAM アイデンティティセンターは、ID ストアユーザー ID、ID ストアディレクトリ ARN、およびセッション ID を追加することで現在のセッションを拡張します。