Abilitazione di sessioni di console con riconoscimento dell'identità - AWS IAM Identity Center
Prerequisiti e considerazioniCome abilitare le sessioni identity-aware-consoleCome funzionano le sessioni di console con riconoscimento dell'identità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione di sessioni di console con riconoscimento dell'identità

Una sessione con riconoscimento dell'identità per la console migliora la sessione di AWS console di un utente fornendo un contesto utente aggiuntivo per personalizzare l'esperienza dell'utente. Questa funzionalità è attualmente supportata per gli utenti Amazon Q Developer Pro di Amazon Q su AWS app e siti Web.

Puoi abilitare sessioni di console con riconoscimento dell'identità senza apportare modifiche ai modelli di accesso o alla federazione esistenti nella console. AWS Se gli utenti accedono alla AWS console con IAM (ad esempio, se accedono come IAM utenti o tramite accesso federato conIAM), possono continuare a utilizzare questi metodi. Se gli utenti accedono al portale di AWS accesso, possono continuare a utilizzare le proprie credenziali utente di IAM Identity Center.

Prerequisiti e considerazioni

Prima di abilitare le sessioni della console con riconoscimento dell'identità, esamina i prerequisiti e le considerazioni seguenti:

  • Se i tuoi utenti accedono ad Amazon Q da AWS app e siti Web tramite un abbonamento Amazon Q Developer Pro, devi abilitare le sessioni di console con riconoscimento dell'identità.

    Nota

    Prima di configurare la propagazione affidabile delle identità, esamina i seguenti prerequisiti e considerazioni.

    Gli utenti di Amazon Q Developer possono accedere ad Amazon Q senza sessioni con riconoscimento dell'identità, ma non avranno accesso ai loro abbonamenti Amazon Q Developer Pro.

  • Le sessioni di console con riconoscimento dell'identità richiedono un'istanza organizzativa di Identity Center. IAM

  • L'integrazione con Amazon Q non è supportata se abiliti IAM Identity Center in un opt-in Regione AWS.

  • Per abilitare le sessioni di console che riconoscono l'identità, devi disporre delle seguenti autorizzazioni:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • Per consentire agli utenti di utilizzare sessioni di console con riconoscimento dell'identità, è necessario concedere loro l'autorizzazione in base a una politica basata sull'identità. sts:setContext Per informazioni, consulta Concessione agli utenti delle autorizzazioni per l'utilizzo di sessioni di console con riconoscimento dell'identità.

Come abilitare le sessioni identity-aware-console

Puoi abilitare sessioni di console con riconoscimento dell'identità nella console Amazon Q o nella console IAM Identity Center.

Abilita sessioni di console con riconoscimento dell'identità nella console Amazon Q

Prima di abilitare le sessioni di console con riconoscimento dell'identità, è necessario disporre di un'istanza organizzativa di IAM Identity Center con una fonte di identità connessa. Se hai già configurato IAM Identity Center, vai al passaggio 3.

  1. Apri la console IAM Identity Center. Scegli Abilita e crea un'istanza organizzativa di IAM Identity Center. Per informazioni, consultare Abilitazione AWS IAM Identity Center.

  2. Connetti la tua fonte di IAM identità a Identity Center e fornisci agli utenti IAM Identity Center. Puoi connettere la tua fonte di identità esistente a IAM Identity Center o utilizzare la directory Identity Center se non stai già utilizzando un'altra fonte di identità. Per ulteriori informazioni, consulta IAMTutorial sui sorgenti di Identity Center Identity.

  3. Dopo aver completato la configurazione di IAM Identity Center, apri la console Amazon Q e segui i passaggi in Abbonamenti nella Amazon Q Developer User Guide. Assicurati di abilitare le sessioni di console con riconoscimento dell'identità.

    Nota

    Se non disponi di autorizzazioni sufficienti per abilitare le sessioni di console con riconoscimento dell'identità, potresti dover chiedere a un amministratore IAM dell'Identity Center di eseguire questa operazione per te nella console di Identity Center. IAM Per ulteriori informazioni, consulta la procedura successiva.

Abilita le sessioni di console con riconoscimento dell'identità nella console di Identity Center IAM

Se sei un amministratore di IAM Identity Center, un altro amministratore potrebbe chiederti di abilitare le sessioni di console con riconoscimento dell'identità nella console di Identity Center. IAM

  1. Apri la console IAM Identity Center.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. In Abilita sessioni con riconoscimento dell'identità, scegli Abilita.

  4. Nel secondo messaggio, scegli Abilita.

  5. Dopo aver abilitato le sessioni della console con riconoscimento dell'identità, viene visualizzato un messaggio di conferma nella parte superiore della pagina Impostazioni.

  6. Nella sezione Dettagli, lo stato delle sessioni con riconoscimento dell'identità è Abilitato.

Come funzionano le sessioni di console con riconoscimento dell'identità

IAMIdentity Center migliora la sessione corrente della console di un utente per includere l'ID dell'utente attivo di IAM Identity Center e l'ID di sessione di IAM Identity Center.

Le sessioni di console con riconoscimento dell'identità includono i tre valori seguenti:

  • Identity Store user ID (archivio di identità: UserId): questo valore viene utilizzato per identificare in modo univoco un utente nella fonte di identità connessa a Identity Center. IAM

  • Identity Store directory ARN (archivio di identità: IdentityStoreArn): questo valore è l'archivio ARN di identità connesso a IAM Identity Center e in cui è possibile cercare gli attributi. identitystore:UserId

  • IAMID di sessione di Identity Center: questo valore indica se la sessione di IAM Identity Center dell'utente è ancora valida.

I valori sono gli stessi, ma ottenuti in modi diversi e aggiunti in diversi punti del processo, a seconda di come l'utente accede:

  • IAMIdentity Center (portale di AWS accesso): in questo caso, l'ID utente e ARN i valori dell'archivio di identità dell'utente sono già forniti nella sessione attiva di IAM Identity Center. IAMIdentity Center migliora la sessione corrente aggiungendo solo l'ID di sessione.

  • Altri metodi di accesso: se l'utente accede AWS come IAM utente, con un IAM ruolo o come utente federato conIAM, non viene fornito nessuno di questi valori. IAMIdentity Center migliora la sessione corrente aggiungendo l'ID utente dell'archivio di identità, la directory ARN dell'archivio di identità e l'ID della sessione.