授予使用身分增強主控台工作階段的許可 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予使用身分增強主控台工作階段的許可

身分增強主控台工作階段可在 AWS IAM Identity Center 使用者登入時將使用者和工作階段 IDs AWS 包含在使用者的主控台工作階段中。例如, Amazon Q Developer Pro使用身分增強主控台工作階段來個人化服務體驗。如需身分增強型主控台工作階段的詳細資訊,請參閱AWS IAM Identity Center 《 使用者指南》中的啟用身分增強型主控台工作階段。如需有關 Amazon Q Developer 設定的資訊,請參閱 Amazon Q Developer User Guide 中的 Setting up Amazon Q Developer

若要讓身分增強主控台工作階段可供使用者使用,您必須使用以身分為基礎的政策,授予 IAM 主體代表他們自己的主控台工作階段的資源sts:SetContext許可。

重要

根據預設,使用者沒有為其身分增強主控台工作階段設定內容的許可。為此,您必須在身分型政策中向 IAM 主體授予 sts:SetContext 許可,如下面的政策範例所示。

下列以身分為基礎的政策範例會將 sts:SetContext許可授予 IAM 主體,允許主體為自己的主控台工作階段設定身分增強型 AWS 主控台工作階段內容。政策資源 arn:aws:sts::account-id:self代表呼叫者的 AWS 工作階段。如果跨多個帳戶部署相同的許可政策 (例如使用 IAM Identity Center 許可集部署此政策),則可以將 account-id ARN 區段取代為萬用字元 *

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:SetContext",
      "Resource": "arn:aws:sts::account-id:self"
    }
  ]
}