启用身份增强控制台会话 - Amazon IAM Identity Center
先决条件和注意事项如何启用 identity-enhanced-console会话身份增强控制台会话的工作原理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用身份增强控制台会话

控制台的身份增强型会话通过提供一些额外的用户上下文来个性化该用户的体验,从而增强用户的 Amazon 管理控制台会话。目前,此功能支持在 Amazon 应用程序和网站上使用 Amazon Q 的 Amazon Q 开发者版专业套餐用户。

您可以启用身份增强型控制台会话,无需对现有访问模式进行任何更改或对管理控制台进行联合身份验证。 Amazon 如果用户要使用 IAM 登录 Amazon 管理控制台(例如,他们以 IAM 用户身份登录或通过 IAM 联合访问登录),则可以继续使用这些方法。如果用户登录 Amazon Web Services 访问门户,则可以继续使用其 IAM Identity Center 用户凭证。

先决条件和注意事项

在启用身份增强型控制台会话之前,请先查看以下先决条件和注意事项:

  • 如果用户通过订阅 Amazon Q 开发者版专业套餐在 Amazon 应用程序和网站上访问 Amazon Q,则必须启用身份增强型控制台会话。

    注意

    Amazon Q 开发者版用户无需身份增强型会话即可访问 Amazon Q,但他们无法访问其 Amazon Q 开发者版专业套餐订阅。

  • 身份增强型控制台会话需要用到 IAM Identity Center 的组织实例

  • 如果在选择加入 Amazon Web Services 区域中启用 IAM Identity Center,则不支持与 Amazon Q 集成。

  • 要启用身份增强控制台会话,必须具有以下权限:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • 要让用户使用身份增强型控制台会话,您必须在基于身份的策略中向他们授予身份sts:setContext权限。有关信息,请参阅授予使用者使用身份增强型控制台会话的权限

如何启用 identity-enhanced-console会话

您可以在 Amazon Q 控制台或 IAM Identity Center 控制台中启用身份增强型控制台会话。

在 Amazon Q 控制台中启用身份增强控制台会话

在启用身份增强控制台会话之前,您必须拥有连接了身份源的 IAM Identity Center 组织实例。如果已经配置 IAM Identity Center,请跳到步骤 3。

  1. 打开 IAM Identity Center 控制台。选择启用,然后创建 IAM Identity Center 的组织实例。有关信息,请参阅启用 IAM Identity Center

  2. 将身份源连接到 IAM Identity Center 并将用户预置到 IAM Identity Center 中。您可以将现有身份源连接到 IAM Identity Center;如果尚未使用其他身份源,也可以使用 Identity Center 目录。有关更多信息,请参阅 IAM Identer 身份源教程

  3. 设置好 IAM Identity Center 后,打开 Amazon Q 控制台,按照《Amazon Q Developer User Guide》Subscriptions 中的步骤进行操作。务必启用身份增强控制台会话。

    注意

    如果您没有足够的权限启用身份增强型控制台会话,则可能需要让 IAM Identity Center 管理员在 IAM Identity Center 控制台中代为执行此任务。有关该过程的更多信息,请参阅接下来的步骤。

在 IAM Identity Center 控制台中启用身份增强控制台会话

如果您是 IAM Identity Center 管理员,其他管理员可能会让您在 IAM Identity Center 控制台中启用身份增强型控制台会话。

  1. 打开 IAM Identity Center 控制台。

  2. 在导航窗格中,选择 Settings(设置)

  3. 在 “启用身份增强会话” 下,选择 “启用”。

  4. 在第二条消息中选择启用

  5. 完成启用身份增强型控制台会话后,设置页面的顶部会显示一条确认消息。

  6. 详细信息部分中,身份增强会话的状态为已启用。

身份增强控制台会话的工作原理

IAM Identity Center 可增强用户当前的控制台会话,使其包含活跃的 IAM Identity Center 用户的 ID 和 IAM Identity Center 会话 ID。

身份增强控制台会话包含以下三个值:

  • 身份存储用户 IDidentitystore:UserId):此值用于唯一标识连接到 IAM Identity Center 的身份源中的用户。

  • 身份存储目录 ARNidentitystore:IdentityStoreArn):此值是连接到 IAM Identity Center 的身份存储的 ARN,可在其中查找 identitystore:UserId 的属性。

  • IAM Identity Center 会话 ID:此值表示用户的 IAM Identity Center 会话是否仍然有效。

这些值虽然相同,但以不同方式获得,且在过程的不同时刻添加,具体取决于用户的登录方式:

  • IAM Identity Center(Amazon Web Services 访问门户):在本例中,用户的身份存储用户 ID 和 ARN 值已在活跃的 IAM Identity Center 会话中提供。IAM Identity Center 通过仅添加会话 ID 增强当前会话。

  • 其他登录方法:如果用户以 IAM 用户、IAM 角色或 IAM 的联合用户身份登录 Amazon ,则不提供这些值。IAM Identity Center 通过添加身份存储用户 ID、身份存储目录 ARN 和会话 ID 增强当前会话。