Concesión de permisos para usar sesiones de consola con reconocimiento de identidad - AWS Identity and Access Management

Concesión de permisos para usar sesiones de consola con reconocimiento de identidad

Las sesiones de consola con reconocimiento de identidad permiten incluir los ID de usuario y de sesión de AWS IAM Identity Center en las sesiones de la consola de AWS de los usuarios cuando inician sesión. Por ejemplo, Amazon Q Developer Pro usa sesiones de consola con reconocimiento de identidad para personalizar la experiencia de servicio. Para obtener más información sobre las sesiones de consola con reconocimiento de identidad, consulte Enabling identity-aware console sessions en la Guía del usuario de AWS IAM Identity Center. Para obtener información sobre la configuración de Amazon Q Developer, consulte Setting up Amazon Q Developer en la Guía del usuario de Amazon Q Developer.

Para que las sesiones de consola con reconocimiento de identidad estén disponibles para un usuario, debe utilizar una política basada en la identidad para conceder a la entidad principal de IAM el permiso sts:SetContext para utilizar el recurso que representa su propia sesión de consola.

importante

De forma predeterminada, los usuarios no tienen permiso para establecer el contexto de sus sesiones de consola con reconocimiento de identidad. Para permitirlo, debe conceder el permiso sts:SetContext a la entidad principal de IAM en una política basada en la identidad, como se muestra en el ejemplo de política que aparece a continuación.

El siguiente ejemplo de política basada en la identidad otorga el permiso sts:SetContext a una entidad principal de IAM, lo que le permite establecer un contexto de sesión de consola que tenga en cuenta la identidad para sus propias sesiones de consola de AWS. El recurso de política, arn:aws:sts::account-id:self, representa la sesión de AWS de la persona que llama. El segmento de ARN account-id se puede sustituir por un carácter comodín * en los casos en que se implemente la misma política de permisos en varias cuentas, como cuando esta política se implementa mediante conjuntos de permisos de IAM Identity Center.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:SetContext",
      "Resource": "arn:aws:sts::account-id:self"
    }
  ]
}