Concessione delle autorizzazioni per l'utilizzo di sessioni di console con riconoscimento dell'identità - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione delle autorizzazioni per l'utilizzo di sessioni di console con riconoscimento dell'identità

Le sessioni di console con riconoscimento dell'identità consentono di includere gli ID AWS IAM Identity Center utente e di sessione nelle sessioni di console degli utenti AWS al momento dell'accesso. Ad esempio, Amazon Q Developer Pro utilizza sessioni di console con riconoscimento dell'identità per personalizzare l'esperienza del servizio. Per ulteriori informazioni sulle sessioni di console con riconoscimento dell'identità, consulta Attivazione delle sessioni di console con riconoscimento dell'identità nella Guida per l'utente.AWS IAM Identity Center Per informazioni sulla configurazione di Amazon Q Developer, consulta Configurazione di Amazon Q Developer nella Amazon Q Developer User Guide.

Affinché le sessioni della console con riconoscimento dell'identità siano disponibili per un utente, è necessario utilizzare una policy basata sull'identità per concedere al responsabile IAM l'sts:SetContextautorizzazione per la risorsa che rappresenta la propria sessione di console.

Importante

Per impostazione predefinita, gli utenti non sono autorizzati a impostare il contesto per le sessioni di console con riconoscimento dell'identità. Per consentire ciò, è necessario concedere al responsabile IAM l'sts:SetContextautorizzazione in una policy basata sull'identità, come illustrato nell'esempio di policy riportato di seguito.

L'esempio seguente di policy basata sull'identità concede l'sts:SetContextautorizzazione a un responsabile IAM, che consente al preside di impostare un contesto di sessione della console che riconosca l'identità per le proprie sessioni di console. AWS La risorsa policy,, arn:aws:sts::account-id:self rappresenta la sessione del chiamante. AWS Il segmento account-id ARN può essere sostituito con un carattere jolly * nei casi in cui la stessa politica di autorizzazione viene implementata su più account, ad esempio quando questa policy viene implementata utilizzando i set di autorizzazioni IAM Identity Center.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:SetContext",
      "Resource": "arn:aws:sts::account-id:self"
    }
  ]
}