Como habilitar sessões de console com identidade avançada - Centro de Identidade do AWS IAM
Pré-requisitos e consideraçõesComo habilitar identity-enhanced-console sessõesComo as sessões de console com identidade avançada funcionam

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como habilitar sessões de console com identidade avançada

Uma sessão com identidade aprimorada para o console aprimora a sessão do AWS console do usuário, fornecendo algum contexto adicional para personalizar a experiência do usuário. Atualmente, esse recurso é compatível com o Amazon Q Developer Pro para usuários do Amazon Q em aplicações e sites da AWS.

Você pode habilitar sessões de console com identidade aprimorada sem fazer nenhuma alteração nos padrões de acesso existentes ou na federação no AWS console. Se seus usuários fizerem login no AWS console com o IAM (por exemplo, se fizerem login como usuários do IAM ou por meio de acesso federado com o IAM), eles poderão continuar usando esses métodos. Se seus usuários entrarem no portal de AWS acesso, eles poderão continuar usando suas credenciais de usuário do IAM Identity Center.

Pré-requisitos e considerações

Antes de habilitar sessões de console com identidade avançada, revise os seguintes pré-requisitos e considerações:

  • Se seus usuários acessarem o Amazon Q em AWS aplicativos e sites por meio de uma assinatura do Amazon Q Developer Pro, você deverá habilitar sessões de console com identidade aprimorada.

    nota

    Os usuários do Amazon Q Developer podem acessar o Amazon Q sem sessões com identidade avançada, mas não terão acesso a suas assinaturas do Amazon Q Developer Pro.

  • As sessões de console com identidade avançada exigem uma instância de organização do IAM Identity Center.

  • A integração com o Amazon Q não é possível se você habilitar o IAM Identity Center em uma Região da AWS de adesão opcional.

  • Para habilitar sessões de console com identidade avançada, você deve ter as seguintes permissões:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • Para permitir que seus usuários usem sessões de console com identidade avançada, você deve conceder a eles a permissão de sts:setContext em uma política baseada em identidade. Para obter informações, consulte Como conceder permissões para o uso de sessões de console com identidade avançada.

Como habilitar identity-enhanced-console sessões

Você pode habilitar sessões de console com identidade avançada no console Amazon Q ou no console do IAM Identity Center.

Habilitar sessões de console com identidade avançada no console do Amazon Q

Antes de habilitar sessões de console com identidade avançada, você deve ter uma instância de organização do IAM Identity Center com uma fonte de identidade conectada. Se você já configurou o IAM Identity Center, pule para a etapa 3.

  1. Abra o console do IAM Identity Center. Escolha Habilitar e crie uma instância de organização do IAM Identity Center. Para mais informações, consulte Habilitar o IAM Identity Center.

  2. Conecte sua fonte de identidades ao IAM Identity Center e provisione usuários para o IAM Identity Center. Você pode conectar a fonte de identidade existente ao IAM Identity Center ou usar o diretório do Identity Center se ainda não estiver usando outra fonte de identidades. Para obter mais informações, consulte Tutoriais sobre fontes de identidade do IAM Identity Center.

  3. Depois de concluir a configuração do IAM Identity Center, abra o console do Amazon Q e siga as etapas em Subscriptions no Amazon Q Developer User Guide. Certifique-se de habilitar sessões de console de identidade avançada.

    nota

    Se você não tiver permissões suficientes para habilitar sessões de console com identidade avançada, talvez seja necessário pedir a um administrador do IAM Identity Center que faça essa tarefa para você no console do IAM Identity Center. Para obter mais informações, consulte o próximo procedimento.

Habilitar sessões de console com identidade avançada no console do IAM Identity Center

Outro administrador pode pedir ao administrador do IAM Identity Center para habilitar sessões de console de identidade avançada, no console do IAM Identity Center.

  1. Abra o console do IAM Identity Center.

  2. No painel de navegação, selecione Configurações.

  3. Em Habilitar sessões com identidade avançada, escolha Habilitar.

  4. Na segunda mensagem, escolha Habilitar.

  5. Depois de habilitar sessões de console com identidade avançada, uma mensagem de confirmação é exibida na parte superior da página Configurações.

  6. Na seção Detalhes, o status de Sessões com identidade avançada é Habilitado.

Como as sessões de console com identidade avançada funcionam

O IAM Identity Center aprimora a sessão atual de console do usuário para incluir o ID do usuário ativo do IAM Identity Center e o ID da sessão do IAM Identity Center.

As sessões de console com identidade avançada incluem estes três valores:

  • ID do usuário do repositório de identidades (loja de identidades: UserId): esse valor é usado para identificar exclusivamente um usuário na fonte de identidades conectada ao IAM Identity Center.

  • ARN do diretório do repositório de identidades (loja de identidades: IdentityStoreArn): esse valor é o ARN do repositório de identidades conectado ao IAM Identity Center e é onde você pode pesquisar atributos do identitystore:UserId.

  • ID de sessão do IAM Identity Center: esse valor indica se a sessão do IAM Identity Center do usuário ainda é válida.

Os valores são os mesmos, mas são obtidos de maneiras diferentes e adicionados em diferentes pontos do processo, dependendo de como o usuário faz login:

  • Centro de identidade do IAM (portal de AWS acesso): nesse caso, os valores de ID de usuário e ARN do repositório de identidades do usuário já são fornecidos na sessão ativa do IAM Identity Center. O IAM Identity Center aprimora a sessão atual adicionando apenas o ID da sessão.

  • Outros métodos de login: se o usuário fizer login na AWS como usuário do IAM, com um perfil do IAM ou como usuário federado com o IAM, nenhum desses valores será fornecido. O IAM Identity Center aprimora a sessão atual adicionando o ID do usuário do repositório de identidades, o ARN do diretório do repositório de identidades e o ID da sessão.