Habilitando sessões de console com identidade aprimorada - AWS IAM Identity Center
Pré-requisitos e consideraçõesComo habilitar identity-enhanced-console sessõesComo funcionam as sessões de console com identidade aprimorada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando sessões de console com identidade aprimorada

Uma sessão com identidade aprimorada para o console aprimora a sessão do AWS console do usuário, fornecendo algum contexto adicional para personalizar a experiência do usuário. Atualmente, esse recurso é compatível com o Amazon Q Developer Pro para usuários do Amazon Q em aplicações e sites da AWS.

Você pode habilitar sessões de console com identidade aprimorada sem fazer nenhuma alteração nos padrões de acesso existentes ou na federação no AWS console. Se seus usuários fizerem login no AWS console com o IAM (por exemplo, se fizerem login como usuários do IAM ou por meio de acesso federado com o IAM), eles poderão continuar usando esses métodos. Se seus usuários entrarem no portal de AWS acesso, eles poderão continuar usando suas credenciais de usuário do IAM Identity Center.

Pré-requisitos e considerações

Antes de habilitar as sessões de console com identidade aprimorada, analise os seguintes pré-requisitos e considerações:

  • Se seus usuários acessarem o Amazon Q em AWS aplicativos e sites por meio de uma assinatura do Amazon Q Developer Pro, você deverá habilitar sessões de console com identidade aprimorada.

    nota

    Os usuários do Amazon Q Developer podem acessar o Amazon Q sem sessões com identidade aprimorada, mas não terão acesso às suas assinaturas do Amazon Q Developer Pro.

  • As sessões de console com identidade aprimorada exigem uma instância organizacional do IAM Identity Center.

  • A integração com o Amazon Q não é possível se você habilitar o IAM Identity Center em uma Região da AWS de adesão opcional.

  • Para habilitar sessões de console com identidade aprimorada, você deve ter as seguintes permissões:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • Para permitir que seus usuários usem sessões de console com identidade aprimorada, você deve conceder a eles a sts:setContext permissão em uma política baseada em identidade. Para obter informações, consulte Conceder permissões aos usuários para usar sessões de console com identidade aprimorada.

Como habilitar identity-enhanced-console sessões

Você pode habilitar sessões de console com identidade aprimorada no console Amazon Q ou no console do IAM Identity Center.

Habilite sessões de console com identidade aprimorada no console Amazon Q

Antes de habilitar sessões de console com identidade aprimorada, você deve ter uma instância organizacional do IAM Identity Center com uma fonte de identidade conectada. Se você já configurou o IAM Identity Center, pule para a etapa 3.

  1. Abra o console do IAM Identity Center. Escolha Habilitar e crie uma instância de organização do IAM Identity Center. Para mais informações, consulte Habilitar o IAM Identity Center.

  2. Conecte sua fonte de identidades ao IAM Identity Center e provisione usuários para o IAM Identity Center. Você pode conectar sua fonte de identidades existente ao IAM Identity Center ou usar o diretório do Identity Center se ainda não estiver usando outra fonte de identidades. Para obter mais informações, consulte Tutoriais de fontes de identidades do IAM Identity Center.

  3. Depois de concluir a configuração do IAM Identity Center, abra o console do Amazon Q e siga as etapas em Subscriptions no Amazon Q Developer User Guide. Certifique-se de ativar as sessões de console com identidade aprimorada.

    nota

    Se você não tiver permissões suficientes para habilitar sessões de console com identidade aprimorada, talvez seja necessário pedir a um administrador do IAM Identity Center que execute essa tarefa para você no console do IAM Identity Center. Para obter mais informações, consulte o próximo procedimento.

Habilite sessões de console com identidade aprimorada no console do IAM Identity Center

Se você for administrador do IAM Identity Center, outro administrador pode solicitar que você habilite sessões de console com identidade aprimorada no console do IAM Identity Center.

  1. Abra o console do IAM Identity Center.

  2. No painel de navegação, selecione Configurações.

  3. Em Habilitar sessões com identidade aprimorada, escolha Ativar.

  4. Na segunda mensagem, escolha Habilitar.

  5. Depois que você terminar de ativar as sessões de console com identidade aprimorada, uma mensagem de confirmação será exibida na parte superior da página Configurações.

  6. Na seção Detalhes, o status das sessões com identidade aprimorada é Ativado.

Como funcionam as sessões de console com identidade aprimorada

O IAM Identity Center aprimora a sessão atual de console do usuário para incluir o ID do usuário ativo do IAM Identity Center e o ID da sessão do IAM Identity Center.

As sessões de console com identidade aprimorada incluem os três valores a seguir:

  • ID do usuário do repositório de identidades (loja de identidades: UserId): esse valor é usado para identificar exclusivamente um usuário na fonte de identidades conectada ao IAM Identity Center.

  • ARN do diretório do repositório de identidades (loja de identidades: IdentityStoreArn): esse valor é o ARN do repositório de identidades conectado ao IAM Identity Center e é onde você pode pesquisar atributos do identitystore:UserId.

  • ID de sessão do IAM Identity Center: esse valor indica se a sessão do IAM Identity Center do usuário ainda é válida.

Os valores são os mesmos, mas são obtidos de maneiras diferentes e adicionados em diferentes pontos do processo, dependendo de como o usuário faz login:

  • Centro de identidade do IAM (portal de AWS acesso): nesse caso, os valores de ID de usuário e ARN do repositório de identidades do usuário já são fornecidos na sessão ativa do IAM Identity Center. O IAM Identity Center aprimora a sessão atual adicionando apenas o ID da sessão.

  • Outros métodos de login: se o usuário fizer login na AWS como usuário do IAM, com um perfil do IAM ou como usuário federado com o IAM, nenhum desses valores será fornecido. O IAM Identity Center aprimora a sessão atual adicionando o ID do usuário do repositório de identidades, o ARN do diretório do repositório de identidades e o ID da sessão.