启用身份增强型控制台会话 - AWS IAM Identity Center
先决条件和注意事项如何启用 identity-enhanced-console会话身份增强型控制台会话的工作原理

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用身份增强型控制台会话

控制台的身份增强会话通过提供一些额外的用户上下文来个性化用户的体验,从而增强用户的 AWS 控制台会话。目前,此功能支持在 AWS 应用程序和网站上使用 Amazon Q 的 Amazon Q 开发者版专业套餐用户。

您可以启用身份增强型控制台会话,而无需对现有访问模式进行任何更改或对控制台进行联 AWS 合。如果您的用户使用 IAM 登录 AWS 控制台(例如,如果他们以 IAM 用户身份登录或通过 IAM 联合访问登录),则他们可以继续使用这些方法。如果您的用户登录 AWS 访问门户,他们可以继续使用他们的 IAM Identity Center 用户证书。

先决条件和注意事项

在启用身份增强型控制台会话之前,请查看以下先决条件和注意事项:

  • 如果您的用户通过订阅 Amazon Q Developer Pro 在 AWS 应用程序和网站上访问 Amazon Q,则必须启用身份增强型控制台会话。

    注意

    Amazon Q Developer 用户无需身份增强会话即可访问 Amazon Q,但他们无法访问他们的 Amazon Q Developer Pro 订阅。

  • 身份增强型控制台会话需要 IAM Identity Center 的组织实例

  • 如果在选择加入 AWS 区域中启用 IAM Identity Center,则不支持与 Amazon Q 集成。

  • 要启用身份增强型控制台会话,您必须具有以下权限:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • 要让您的用户能够使用身份增强型控制台会话,您必须在基于身份的策略中向他们授予sts:setContext权限。有关信息,请参阅向用户授予使用身份增强型控制台会话的权限

如何启用 identity-enhanced-console会话

您可以在 Amazon Q 控制台或 IAM 身份中心控制台中启用身份增强控制台会话。

在 Amazon Q 控制台中启用身份增强型控制台会话

在启用身份增强型控制台会话之前,您必须拥有一个连接了身份源的 IAM Identity Center 组织实例。如果已经配置 IAM Identity Center,请跳到步骤 3。

  1. 打开 IAM Identity Center 控制台。选择启用,然后创建 IAM Identity Center 的组织实例。有关信息,请参阅启用 IAM Identity Center

  2. 将身份源连接到 IAM Identity Center 并将用户预置到 IAM Identity Center 中。您可以将现有身份源连接到 IAM Identity Center;如果尚未使用其他身份源,也可以使用 Identity Center 目录。有关更多信息,请参阅 IAM Identer 身份源教程

  3. 设置好 IAM Identity Center 后,打开 Amazon Q 控制台,按照《Amazon Q Developer User Guide》Subscriptions 中的步骤进行操作。确保启用身份增强型控制台会话。

    注意

    如果您没有足够的权限来启用身份增强型控制台会话,则可能需要让 IAM Identity Center 管理员在 IAM Identity Center 控制台中为您执行此任务。有关该过程的更多信息,请参阅接下来的步骤。

在 IAM 身份中心控制台中启用身份增强控制台会话

如果您是 IAM 身份中心管理员,其他管理员可能会要求您在 IAM Identity Center 控制台中启用身份增强控制台会话。

  1. 打开 IAM Identity Center 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 在 “启用身份增强会话” 下,选择 “启用”。

  4. 在第二条消息中选择启用

  5. 启用身份增强型控制台会话后,“设置” 页面的顶部会显示一条确认消息。

  6. 详细信息部分中,身份增强会话的状态为已启用。

身份增强型控制台会话的工作原理

IAM Identity Center 可增强用户当前的控制台会话,使其包含活跃的 IAM Identity Center 用户的 ID 和 IAM Identity Center 会话 ID。

身份增强型控制台会话包括以下三个值:

  • 身份存储用户 ID身份存储:UserId):此值用于唯一标识连接到 IAM Identity Center 的身份源中的用户。

  • 身份存储目录 ARN身份存储:IdentityStoreArn):此值是连接到 IAM Identity Center 的身份存储的 ARN,可在其中查找 identitystore:UserId 的属性。

  • IAM Identity Center 会话 ID:此值表示用户的 IAM Identity Center 会话是否仍然有效。

这些值虽然相同,但以不同方式获得,且在过程的不同时刻添加,具体取决于用户的登录方式:

  • IAM 身份中心(AWS 访问门户):在这种情况下,活跃的 IAM 身份中心会话中已经提供了用户的身份存储用户 ID 和 ARN 值。IAM Identity Center 通过仅添加会话 ID 增强当前会话。

  • 其他登录方法:如果用户以 IAM 用户、IAM 角色或 IAM 的联合用户身份登录 AWS ,则不提供这些值。IAM Identity Center 通过添加身份存储用户 ID、身份存储目录 ARN 和会话 ID 增强当前会话。