ID 対応コンソールセッションの有効化 - AWS IAM Identity Center
前提条件と考慮事項 identity-aware-console セッションを有効にする方法ID 対応コンソールセッションの仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID 対応コンソールセッションの有効化

コンソールのアイデンティティ対応セッションは、ユーザーのエクスペリエンスをパーソナライズするための追加のユーザーコンテキストを提供することで、ユーザーの AWS コンソールセッションを強化します。この機能は、現在、AWS アプリケーションおよびウェブサイト の Amazon Q の Amazon Q Developer Pro ユーザーでサポートされています。

既存のアクセスパターンやコンソールへのフェデレーションを変更せずに、アイデンティティ対応 AWS コンソールセッションを有効にできます。ユーザーが で AWS コンソールにサインインする場合 IAM (例えば、IAMユーザーとしてサインインする場合や、 でフェデレーティッドアクセスを介してサインインする場合IAM)、これらのメソッドを引き続き使用できます。ユーザーが AWS アクセスポータルにサインインすると、IAM引き続き Identity Center ユーザー認証情報を使用できます。

前提条件と考慮事項

ID 対応コンソールセッションを有効にする前に、以下の前提条件と考慮事項を確認してください。

  • ユーザーが Amazon Q Developer Pro サブスクリプションを通じて AWS アプリケーションやウェブサイトで Amazon Q にアクセスする場合は、アイデンティティ対応のコンソールセッションを有効にする必要があります。

    注記

    信頼できる ID の伝播を設定する前に、以下の前提条件と考慮事項を確認してください。

    Amazon Q Developer ユーザーは、アイデンティティ対応のセッションなしで Amazon Q にアクセスできますが、Amazon Q Developer Pro サブスクリプションにはアクセスできません。

  • ID 対応コンソールセッションには、IAMIdentity Center の組織インスタンスが必要です。

  • オプトイン で IAM Identity Center を有効にすると、Amazon Q との統合はサポートされていません AWS リージョン。

  • ID 対応コンソールセッションを有効にするには、次のアクセス許可が必要です。

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • ユーザーが ID 対応コンソールセッションを使用できるようにするには、アイデンティティベースのポリシーでsts:setContextアクセス許可を付与する必要があります。詳細については、「アイデンティティ対応コンソールセッションを使用するアクセス許可をユーザーに付与する」を参照してください。

identity-aware-console セッションを有効にする方法

ID 対応コンソールセッションは、Amazon Q コンソールまたは IAM Identity Center コンソールで有効にできます。

Amazon Q コンソールでアイデンティティ対応コンソールセッションを有効にする

ID 対応コンソールセッションを有効にする前に、ID ソースが接続された IAM Identity Center の組織インスタンスが必要です。Identity IAM Center を既に設定している場合は、ステップ 3 に進みます。

  1. IAM Identity Center コンソールを開きます。を有効にする を選択し、IAMIdentity Center の組織インスタンスを作成します。詳細については、有効化 AWS IAM Identity Center を参照してください。

  2. ID ソースを IAM Identity Center に接続し、ユーザーを IAM Identity Center にプロビジョニングします。既存の ID ソースを IAM Identity Center に接続するか、別の ID ソースをまだ使用していない場合は Identity Center ディレクトリを使用できます。詳細については、「IAM Identity Center Identity ソースチュートリアル」を参照してください。

  3. IAM Identity Center のセットアップが完了したら、Amazon Q コンソールを開き、「Amazon Q デベロッパーユーザーガイド」の「サブスクリプション」のステップに従います。ID 対応コンソールセッションを必ず有効にしてください。

    注記

    ID 対応コンソールセッションを有効にするのに十分なアクセス許可がない場合は、IAMIdentity Center コンソールでこのタスクを実行するように IAM Identity Center 管理者に依頼する必要がある場合があります。詳細については、次の手順を参照してください。

IAM Identity Center コンソールで ID 対応コンソールセッションを有効にする

IAM Identity Center 管理者の場合、Identity Center コンソールで ID 対応IAMコンソールセッションを有効にするように別の管理者から求められる場合があります。

  1. IAM Identity Center コンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. ID 対応セッションを有効にする で、「 を有効にする」を選択します。

  4. 2 番目のメッセージで、 を有効にする を選択します。

  5. ID 対応コンソールセッションの有効化が完了すると、設定ページの上部に確認メッセージが表示されます。

  6. 詳細 セクションでは、アイデンティティ対応セッションのステータスは が有効になります

ID 対応コンソールセッションの仕組み

IAM Identity Center は、アクティブな Identity Center ユーザーの ID と IAM Identity IAM Center セッション ID を含めるように、ユーザーの現在のコンソールセッションを強化します。

ID 対応コンソールセッションには、次の 3 つの値が含まれます。

  • Identity Store ユーザー ID (ID ストア:UserId) - この値は、IAMIdentity Center に接続されている ID ソース内のユーザーを一意に識別するために使用されます。

  • Identity Store ディレクトリ ARN (ID ストア:IdentityStoreArn) - この値は、Identity Center に接続されている IAM ID ストアARNの であり、 の属性を検索できますidentitystore:UserId

  • IAM Identity Center セッション ID - この値は、ユーザーの IAM Identity Center セッションがまだ有効かどうかを示します。

値は同じですが、ユーザーがサインインする方法に応じて、さまざまな方法で取得され、プロセスのさまざまなポイントに追加されます。

  • IAM Identity Center (AWS アクセスポータル): この場合、ユーザーの ID ストアユーザー ID とARN値は、アクティブな IAM Identity Center セッションで既に指定されています。IAM Identity Center は、セッション ID のみを追加することで、現在のセッションを強化します。

  • その他のサインイン方法 : ユーザーがIAMユーザー、IAMロール、または のフェデレーティッドユーザー AWS として にサインインする場合IAM、これらの値は提供されません。IAM Identity Center は、ID ストアユーザー ID、ID ストアディレクトリ 、およびセッション ID を追加することでARN、現在のセッションを強化します。