啟用身分增強主控台工作階段 - AWS IAM Identity Center
先決條件和考量事項如何啟用identity-enhanced-console工作階段身分增強主控台工作階段的運作方式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用身分增強主控台工作階段

主控台的身分增強工作階段透過提供一些額外的使用者內容來個人化該使用者的使用體驗,來增強使用者的 AWS 主控台工作階段。應用程式AWS 和網站上的 Amazon Q 的 Amazon Q Developer Pro 使用者目前支援此功能。

您可以啟用身分增強主控台工作階段,而無需在 AWS 主控台中對現有的存取模式或聯合進行任何變更。如果您的使用者使用 IAM 登入 AWS 主控台 (例如,如果他們以 IAM 使用者身分登入或透過 IAM 聯合存取登入),他們可以繼續使用這些方法。如果您的使用者登入 AWS 存取入口網站,他們可以繼續使用其 IAM Identity Center 使用者憑證。

先決條件和考量事項

啟用身分增強主控台工作階段之前,請檢閱下列先決條件和考量事項:

  • 如果您的使用者透過 Amazon Q Developer Pro 訂閱存取 AWS 應用程式和網站的 Amazon Q,您必須啟用身分增強主控台工作階段。

    注意

    Amazon Q Developer 使用者可以在沒有身分增強工作階段的情況下存取 Amazon Q,但無法存取其 Amazon Q Developer Pro 訂閱。

  • 身分增強主控台工作階段需要 IAM Identity Center 的組織執行個體

  • 如果您在選擇加入中啟用 IAM Identity Center,則不支援與 Amazon Q 整合 AWS 區域。

  • 若要啟用身分增強主控台工作階段,您必須具有下列許可:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • 若要讓使用者能夠使用身分增強主控台工作階段,您必須在以身分為基礎的政策中授予他們sts:setContext許可。如需詳細資訊,請參閱授予使用者使用身分增強主控台工作階段的許可

如何啟用identity-enhanced-console工作階段

您可以在 Amazon Q 主控台或 IAM Identity Center 主控台中啟用身分增強主控台工作階段。

在 Amazon Q 主控台中啟用身分增強主控台工作階段

啟用身分增強主控台工作階段之前,您必須擁有已連接身分來源的 IAM Identity Center 組織執行個體。如果您已設定 IAM Identity Center,請跳至步驟 3。

  1. 開啟 IAM Identity Center 主控台。選擇啟用,然後建立 IAM Identity Center 的組織執行個體。如需相關資訊,請參閱啟用 IAM Identity Center

  2. 將您的身分來源連接至 IAM Identity Center,並將使用者佈建至 IAM Identity Center。如果您尚未使用其他身分來源,您可以將現有的身分來源連線至 IAM Identity Center,或使用 Identity Center 目錄。如需詳細資訊,請參閱IAM Identity Center 身分來源教學課程

  3. 完成設定 IAM Identity Center 之後,請開啟 Amazon Q 主控台,並遵循《Amazon Q 開發人員使用者指南》中的訂閱步驟。請務必啟用身分增強主控台工作階段。

    注意

    如果您沒有足夠的許可來啟用身分增強主控台工作階段,您可能需要要求 IAM Identity Center 管理員在 IAM Identity Center 主控台中為您執行此任務。如需詳細資訊,請參閱下一程序。

在 IAM Identity Center 主控台中啟用身分增強主控台工作階段

如果您是 IAM Identity Center 管理員,則其他管理員可能會要求您在 IAM Identity Center 主控台中啟用身分增強主控台工作階段。

  1. 開啟 IAM Identity Center 主控台。

  2. 在導覽窗格中,選擇設定

  3. 啟用身分增強工作階段下,選擇啟用

  4. 在第二個訊息中,選擇啟用

  5. 完成啟用身分增強主控台工作階段後,確認訊息會出現在設定頁面頂端。

  6. 詳細資訊區段中,身分增強工作階段的狀態為已啟用

身分增強主控台工作階段的運作方式

IAM Identity Center 會增強使用者目前的主控台工作階段,以包含作用中 IAM Identity Center 使用者的 ID 和 IAM Identity Center 工作階段 ID。

身分增強主控台工作階段包含下列三個值:

  • 身分存放區使用者 ID (identitystore:UserId) - 此值用於唯一識別連接到 IAM Identity Center 的身分來源中的使用者。

  • 身分存放區目錄 ARN (identitystore:IdentityStoreArn) - 此值是連接到 IAM Identity Center 的身分存放區的 ARN,您可以在其中查詢 的屬性identitystore:UserId

  • IAM Identity Center 工作階段 ID - 此值指出使用者的 IAM Identity Center 工作階段是否仍然有效。

這些值相同,但以不同的方式取得,並在程序的不同點新增,取決於使用者登入的方式:

  • IAM Identity Center (AWS 存取入口網站):在此情況下,使用者的身分存放區使用者 ID 和 ARN 值已在作用中的 IAM Identity Center 工作階段中提供。IAM Identity Center 只會新增工作階段 ID,以增強目前的工作階段。

  • 其他登入方法:如果使用者 AWS 以 IAM 使用者、IAM 角色或以 IAM 的聯合身分使用者身分登入 ,則不會提供任何這些值。IAM Identity Center 透過新增身分存放區使用者 ID、身分存放區目錄 ARN 和工作階段 ID 來增強目前的工作階段。