Como conceder permissões para usar sessões de console com reconhecimento de identidade - AWS Identity and Access Management

Como conceder permissões para usar sessões de console com reconhecimento de identidade

As sessões de console com reconhecimento de identidade permitem que as IDs de sessão e de usuário de AWS IAM Identity Center sejam incluídos nas sessões de console de usuários da AWS quando eles fazem login. Por exemplo, o Amazon Q Developer Pro usa sessões de console com reconhecimento de identidade para personalizar a experiência do serviço. Para obter mais informações sobre sessões de console com reconhecimento de identidade, consulte Habilitar sessões de console com reconhecimento de identidade no Guia do usuário da AWS IAM Identity Center. Para obter informações sobre a configuração do Amazon Q Developer, consulte Configurando o Amazon Q Developer no Guia do usuário do Amazon Q Developer.

Para que sessões de console com reconhecimento de identidade estejam disponíveis para um usuário, você deve usar uma política baseada em identidade para conceder a entidade principal do IAM a permissão sts:SetContext para o recurso que representa sua própria sessão de console.

Importante

Por padrão, os usuários não têm permissão para definir o contexto para suas sessões de console com reconhecimento de identidade. Para permitir isso, você deve conceder a entidade principal do IAM a permissão sts:SetContext em uma política baseada em identidade, conforme mostrado no exemplo de política abaixo.

O exemplo a seguir de política baseada em identidade concede a permissão sts:SetContext a uma entidade principal do IAM, permitindo que o diretor defina um contexto de sessão de console com reconhecimento de identidade para suas próprias sessões de console da AWS. O recurso de política, arn:aws:sts::account-id:self, representa a sessão do chamador da AWS. O segmento do account-id do ARN pode ser substituído por um caractere curinga * nos casos em que a mesma política de permissão é implantada em várias contas, como quando essa política é implantada usando os conjuntos de permissões do IAM Identity Center.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:SetContext",
      "Resource": "arn:aws:sts::account-id:self"
    }
  ]
}