授予使用身份感知控制台会话的权限 - AWS Identity and Access Management

授予使用身份感知控制台会话的权限

身份感知控制台会话允许在 AWS IAM Identity Center 用户登录时将用户和会话 ID 包含在他们的 AWS 控制台会话中。例如,Amazon Q Developer Pro 使用身份感知控制台会话来个性化服务体验。有关身份感知控制台会话的更多信息,请参阅《AWS IAM Identity Center 用户指南》中的启用身份感知控制台会话。有关 Amazon Q 开发者版设置的信息,请参阅《Amazon Q 开发者版用户指南》中的设置 Amazon Q 开发者版

要使身份感知控制台会话可供用户使用,您必须使用基于身份的策略向 IAM 主体授予对代表其控制台会话的资源的 sts:SetContext 权限。

重要

默认情况下,用户无权为其身份感知控制台会话设置上下文。要允许这样做,您必须在基于身份的策略中向 IAM 主体授予 sts:SetContext 权限,如以下策略示例所示。

以下示例基于身份的策略向 IAM 主体授予 sts:SetContext 权限,允许主体为自己的 AWS 控制台会话设置身份感知控制台会话上下文。策略资源 arn:aws:sts::account-id:self 代表调用方的 AWS 会话。如果在多个账户中部署了相同的权限策略,例如使用 IAM Identity Center 权限集部署此策略,则可以将 account-id ARN 分段替换为通配符 *

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:SetContext", "Resource": "arn:aws:sts::account-id:self" } ] }