Abilitazione di sessioni di console con riconoscimento dell'identità - AWS IAM Identity Center
Prerequisiti e considerazioniCome abilitare le sessioni identity-aware-consoleCome funzionano le sessioni di console con riconoscimento dell'identità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione di sessioni di console con riconoscimento dell'identità

Una sessione con riconoscimento dell'identità per la console migliora la sessione di AWS console di un utente fornendo un contesto utente aggiuntivo per personalizzare l'esperienza dell'utente. Questa funzionalità è attualmente supportata per gli utenti Amazon Q Developer Pro di Amazon Q su AWS app e siti Web.

Puoi abilitare sessioni di console con riconoscimento dell'identità senza apportare modifiche ai modelli di accesso o alla federazione esistenti nella console. AWS Se i tuoi utenti accedono alla AWS console con IAM (ad esempio, se accedono come utenti IAM o tramite accesso federato con IAM), possono continuare a utilizzare questi metodi. Se i tuoi utenti AWS accedono al portale di accesso, possono continuare a utilizzare le proprie credenziali utente IAM Identity Center.

Prerequisiti e considerazioni

Prima di abilitare le sessioni della console con riconoscimento dell'identità, esamina i seguenti prerequisiti e considerazioni:

  • Se i tuoi utenti accedono ad Amazon Q da AWS app e siti Web tramite un abbonamento Amazon Q Developer Pro, devi abilitare le sessioni di console con riconoscimento dell'identità.

    Nota

    Prima di configurare la propagazione affidabile delle identità, esamina i seguenti prerequisiti e considerazioni.

    Gli utenti di Amazon Q Developer possono accedere ad Amazon Q senza sessioni con riconoscimento dell'identità, ma non avranno accesso ai loro abbonamenti Amazon Q Developer Pro.

  • Le sessioni di console con riconoscimento dell'identità richiedono un'istanza organizzativa di IAM Identity Center.

  • L'integrazione con Amazon Q non è supportata se abiliti IAM Identity Center in un opt-in Regione AWS.

  • Per abilitare le sessioni di console con riconoscimento dell'identità, devi disporre delle seguenti autorizzazioni:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • Per consentire agli utenti di utilizzare sessioni di console con riconoscimento dell'identità, è necessario concedere loro l'autorizzazione in base a una politica basata sull'identità. sts:setContext Per informazioni, consulta Concessione agli utenti delle autorizzazioni per l'utilizzo di sessioni di console con riconoscimento dell'identità.

Come abilitare le sessioni identity-aware-console

Puoi abilitare sessioni di console con riconoscimento dell'identità nella console Amazon Q o nella console IAM Identity Center.

Abilita sessioni di console con riconoscimento dell'identità nella console Amazon Q

Prima di abilitare le sessioni di console con riconoscimento dell'identità, è necessario disporre di un'istanza organizzativa di IAM Identity Center con una fonte di identità connessa. Se hai già configurato IAM Identity Center, vai al passaggio 3.

  1. Apri la console Centro identità IAM. Scegli Enable e crea un'istanza organizzativa di IAM Identity Center. Per informazioni, consultare Abilitazione AWS IAM Identity Center.

  2. Connetti la tua fonte di identità a IAM Identity Center e fornisci agli utenti IAM Identity Center. Puoi connettere la tua fonte di identità esistente a IAM Identity Center o utilizzare la directory Identity Center se non stai già utilizzando un'altra fonte di identità. Per ulteriori informazioni, consulta IAMTutorial sui sorgenti di Identity Center Identity.

  3. Dopo aver completato la configurazione di IAM Identity Center, apri la console Amazon Q e segui i passaggi in Abbonamenti nella Amazon Q Developer User Guide. Assicurati di abilitare le sessioni di console con riconoscimento dell'identità.

    Nota

    Se non disponi di autorizzazioni sufficienti per abilitare le sessioni di console con riconoscimento dell'identità, potresti dover chiedere a un amministratore di IAM Identity Center di eseguire questa attività per te nella console IAM Identity Center. Per ulteriori informazioni, consulta la procedura successiva.

Abilita le sessioni di console con riconoscimento dell'identità nella console IAM Identity Center

Se sei un amministratore di IAM Identity Center, un altro amministratore potrebbe chiederti di abilitare le sessioni di console con riconoscimento dell'identità nella console IAM Identity Center.

  1. Apri la console Centro identità IAM.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. In Abilita sessioni con riconoscimento dell'identità, scegli Abilita.

  4. Nel secondo messaggio, scegli Abilita.

  5. Dopo aver abilitato le sessioni della console con riconoscimento dell'identità, viene visualizzato un messaggio di conferma nella parte superiore della pagina Impostazioni.

  6. Nella sezione Dettagli, lo stato delle sessioni con riconoscimento dell'identità è Abilitato.

Come funzionano le sessioni di console con riconoscimento dell'identità

IAM Identity Center migliora la sessione corrente della console di un utente per includere l'ID utente IAM Identity Center attivo e l'ID di sessione IAM Identity Center.

Le sessioni di console con riconoscimento dell'identità includono i seguenti tre valori:

  • Identity Store user ID (archivio di identità: UserId): questo valore viene utilizzato per identificare in modo univoco un utente nella fonte di identità connessa a IAM Identity Center.

  • Identity store directory ARN (archivio di identità: IdentityStoreArn): questo valore è l'ARN dell'archivio di identità connesso a IAM Identity Center e per cui è possibile cercare gli attributi. identitystore:UserId

  • ID di sessione IAM Identity Center: questo valore indica se la sessione IAM Identity Center dell'utente è ancora valida.

I valori sono gli stessi, ma ottenuti in modi diversi e aggiunti in diversi punti del processo, a seconda di come l'utente accede:

  • IAM Identity Center (portale di AWS accesso): in questo caso, l'ID utente e i valori ARN dell'archivio di identità dell'utente sono già forniti nella sessione attiva di IAM Identity Center. IAM Identity Center migliora la sessione corrente aggiungendo solo l'ID di sessione.

  • Altri metodi di accesso: se l'utente accede AWS come utente IAM, con un ruolo IAM o come utente federato con IAM, nessuno di questi valori viene fornito. IAM Identity Center migliora la sessione corrente aggiungendo l'ID utente dell'archivio di identità, l'ARN della directory dell'archivio di identità e l'ID della sessione.