ID 対応コンソールセッションの有効化 - AWS IAM Identity Center
前提条件と考慮事項ID 対応コンソールセッションを有効にする方法ID 対応コンソールセッションの仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ID 対応コンソールセッションの有効化

コンソールのアイデンティティ対応セッションは、ユーザーのエクスペリエンスをパーソナライズするための追加のユーザーコンテキストを提供することで、ユーザーの AWS コンソールセッションを強化します。この機能は現在、AWS アプリやウェブサイト上の Amazon Q の Amazon Q Developer Pro ユーザー向けにサポートされています。

既存のアクセスパターンやコンソールへのフェデレーションを変更することなく、アイデンティティ対応 AWS コンソールセッションを有効にできます。ユーザーが IAM を使用して AWS コンソールにサインインする場合 (IAM ユーザーとしてサインインする場合や IAM とのフェデレーティッドアクセスを通じてサインインする場合など)、これらのメソッドを引き続き使用できます。ユーザーが AWS アクセスポータルにサインインすると、IAM アイデンティティセンターのユーザー認証情報を引き続き使用できます。

前提条件と考慮事項

ID 対応コンソールセッションを有効にする前に、以下の前提条件と考慮事項を確認してください。

  • ユーザーが Amazon Q Developer Pro サブスクリプションを介して AWS アプリやウェブサイトで Amazon Q にアクセスする場合は、アイデンティティ対応コンソールセッションを有効にする必要があります。

    注記

    信頼できる ID の伝播を設定する前に、以下の前提条件と考慮事項を確認してください。

    Amazon Q Developer ユーザーは、ID 対応セッションなしで Amazon Q にアクセスできますが、Amazon Q Developer Pro サブスクリプションにはアクセスできません。

  • ID 対応コンソールセッションには、IAM アイデンティティセンターの組織インスタンスが必要です。

  • IAM アイデンティティセンターをオプトイン AWS リージョンで有効にした場合、Amazon Q との統合はサポートされません。

  • ID 対応コンソールセッションを有効にするには、次の権限が必要です。

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • ユーザーが ID 対応コンソールセッションを使用できるようにするには、ID ベースのポリシーで sts:setContext 権限を付与する必要があります。詳細については、「Granting users permissions to use identity-aware console sessions」を参照してください。

ID 対応コンソールセッションを有効にする方法

ID 対応コンソールセッションは、Amazon Q コンソールまたは IAM アイデンティティセンターコンソールで有効にできます。

Amazon Q コンソールで ID 対応コンソールセッションを有効にする

ID 対応コンソールセッションを有効にする前に、ID ソースが接続された IAM アイデンティティセンターの組織インスタンスが必要です。IAM アイデンティティセンターを既に設定している場合は、ステップ 3 に進みます。

  1. IAM アイデンティティセンターコンソール を開きます。[有効化] を選択し、IAM アイデンティティセンターの組織インスタンスを作成します。詳細については、の有効化 AWS IAM Identity Center を参照してください。

  2. ID ソースを IAM アイデンティティセンターに接続し、ユーザーを IAM アイデンティティセンターにプロビジョニングします。既存の ID ソースを IAM アイデンティティセンターに接続するか、あるいは別に使用している ID ソースがない場合は Identity Center ディレクトリを利用できます。詳細については、「IAM Identity Center の ID ソースに関するチュートリアル」を参照してください。

  3. IAM アイデンティティセンターの設定が完了したら、Amazon Q コンソールを開き、「Amazon Q Developer User Guide」の「Subscriptions」のステップに従います。ID 対応コンソールセッションを必ず有効にしてください。

    注記

    ID 対応コンソールセッションを有効にするのに十分な権限がない場合は、IAM アイデンティティセンター管理者に依頼して IAM アイデンティティセンターコンソール上でこのタスクを実行してもらってください。詳細については、次の手順を参照してください。

IAM アイデンティティセンターコンソールで ID 対応コンソールセッションを有効にする

IAM アイデンティティセンター管理者は、別の管理者から IAM アイデンティティセンターコンソールでの ID 対応コンソールセッションの有効化を依頼されることがあります。

  1. IAM Identity Center コンソールを開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [ID 対応セッションを有効にする] で、[有効化] を選択します。

  4. 次に表示されるメッセージに対して、[有効化] を再度選択します。

  5. ID 対応コンソールセッションの有効化が完了すると、[設定] ページの上部に確認メッセージが表示されます。

  6. [詳細] セクションに表示される [ID 対応セッション] のステータスが [有効] になっているはずです。

ID 対応コンソールセッションの仕組み

IAM アイデンティティセンターでユーザーの現在のコンソールセッションを拡張することで、アクティブな IAM アイデンティティセンターユーザー ID と IAM アイデンティティセンターセッション ID を含むようにすることができます。

ID 対応コンソールセッションには、次の 3 つの値が含まれます。

  • Identity Store ユーザー ID (identitystore:UserId) - この値は、IAM アイデンティティセンターに接続されている ID ソース内のユーザーを一意に識別するのに使用されます。

  • ID ストアディレクトリ ARN (identitystore:IdentityStoreArn) - この値は、IAM アイデンティティセンターに接続され、identitystore:UserId の属性検索を可能にする ID ストアの ARN です。

  • IAM アイデンティティセンターセッション ID - この値は、ユーザーの IAM アイデンティティセンターセッションがまだ有効かどうかを示します。

値は同じですがさまざまな方法で取得され、ユーザーがサインインする方法に応じてプロセスのさまざまなポイントに追加されます。

  • IAM アイデンティティセンター (AWS アクセスポータル): この場合、ユーザーの ID ストアユーザー ID と ARN 値は、アクティブな IAM アイデンティティセンターセッションで既に指定されています。IAM アイデンティティセンターには、セッション ID のみを追加することで現在のセッションを拡張する機能があります。

  • その他のサインイン方法: ユーザーが IAM ユーザー、IAM ロール、または IAM のフェデレーションユーザーとして AWS にサインインする場合、これらの値は提供されません。IAM アイデンティティセンターは、ID ストアユーザー ID、ID ストアディレクトリ ARN、およびセッション ID を追加することで現在のセッションを拡張します。