ID 対応コンソールセッションを使用するアクセス許可の付与

ID 対応コンソールセッションでは、AWS IAM Identity Center ユーザーおよびセッション ID を、サインイン時にユーザーの AWS コンソールセッションに含めることができます。例えば、Amazon Q Developer Pro では、ID 対応コンソールセッションを使用してサービスエクスペリエンスをパーソナライズします。ID 対応コンソールセッションについて詳しくは、「AWS IAM Identity Center ユーザーガイド」の「Enabling identity-aware console sessions」を参照してください。Amazon Q Developer のセットアップについては、「Amazon Q Developer ユーザーガイド」の「Setting up Amazon Q Developer」を参照してください。

ID 対応コンソールセッションをユーザーが利用できるようにするには、ID ベースのポリシーを使用して、自分のコンソールセッションを表すリソースに対する sts:SetContext アクセス許可を IAM プリンシパルに付与する必要があります。

重要

デフォルトでは、ユーザーには ID 対応コンソールセッションのコンテキストを設定するためのアクセス許可はありません。これを許可するには、以下のポリシー例に示すように、ID ベースのポリシーで sts:SetContext アクセス許可を IAM プリンシパルに付与する必要があります。

以下の ID ベースのポリシー例では、sts:SetContext アクセス許可を IAM プリンシパルに付与することで、プリンシパルが自身の AWS コンソールセッションに対して ID 対応コンソールセッションのコンテキストを設定できるようにします。ポリシーリソース arn:aws:sts::account-id:self は、呼び出し元の AWS セッションを表します。IAM Identity Center のアクセス許可セットを使用してこのポリシーをデプロイする場合など、同じアクセス許可ポリシーが複数のアカウントにデプロイされる場合は、account-id ARN セグメントをワイルドカード文字 * に置き換えることができます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:SetContext",
      "Resource": "arn:aws:sts::account-id:self"
    }
  ]
}