啟用識別感知主控台工作階段 - AWS IAM Identity Center
先決條件和考量事項如何啟用 identity-aware-console 工作階段身分識別感知主控台工作階段如何

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用識別感知主控台工作階段

控制台的身份感知會話增強了用戶的 AWS 主控台工作階段提供一些額外的使用者內容來個人化該使用者的體驗。Amazon Q 開發人員專業版使用者目前支援此功能 AWS 應用程式和網站

您可以啟用身分識別感知主控台工作階段,而不必變更現有的存取模式或聯合 AWS 控制台。如果您的使用者登入 AWS 控制台IAM(例如,如果他們以用IAM戶身份或通過聯合訪問登錄IAM),則他們可以繼續使用這些方法。如果您的使用者登入 AWS 存取入口網站,他們可以繼續使用其IAM身分識別中心使用者認證

先決條件和考量事項

啟用身分識別感知主控台工作階段之前,請檢閱下列先決條件和考量事項:

  • 如果您的使用者在上存取 Amazon Q AWS 透過 Amazon Q 開發人員 Pro 訂閱的應用程式和網站,您必須啟用身分識別感知主控台工作階段。

    注意

    在設定信任的識別傳播之前,請先檢閱下列先決條件和考量事項。

    Amazon Q 開發人員使用者可以在沒有身分識別感知工作階段的情況下存取 Amazon Q,但他們無法存取 Amazon Q 開發人員專業版訂閱。

  • IAM身分識別感知主控台工作階段需要 Identity Center 的組織執行個體。

  • 如果您在選擇加入中啟用IAM身分識別中心,則不支援與 Amazon Q 整合 AWS 區域.

  • 若要啟用身分識別感知主控台工作階段,您必須具備下列權限:

    • sso:CreateApplication

    • sso:GetSharedSsoConfiguration

    • sso:ListApplications

    • sso:PutApplicationAssignmentConfiguration

    • sso:PutApplicationAuthenticationMethod

    • sso:PutApplicationGrant

    • sso:PutApplicationAccessScope

    • signin:CreateTrustedIdentityPropagationApplicationForConsole

    • signin:ListTrustedIdentityPropagationApplicationsForConsole

  • 若要讓使用者能夠使用身分識別感知主控台工作階段,您必須在以身分識別為基礎的原則中授予他們sts:setContext權限。如需詳細資訊,請參閱授與使用者使用識別感知主控台工作階段的權限

如何啟用 identity-aware-console 工作階段

您可以在 Amazon Q 主控台或身分識別中心主控台中啟用IAM身分識別感知主控台工作階段。

在 Amazon Q 主控台中啟用身分識別感知主控台工作階段

啟用身分識別感知主控台工作階段之前,您必須擁有已連線身分識別來源的 I IAM dentity Center 組織執行個體。如果您已設定IAM身分識別中心,請跳至步驟 3。

  1. 開啟IAM身分識別中心主控台。選擇啟用,然後建立IAM身分識別中心的組織執行個體。如需相關資訊,請參閱 啟用 AWS IAM Identity Center

  2. 將您的身分識別來源 Connect 至IAM身分識別中心,並將使用者佈建至IAM身分 如果您尚未使用其他身分識別來IAM源,則可以將現有的身分識別來源連線至身分識別中心目錄,或使用 Identity Center 目錄。如需詳細資訊,請參閱IAM身分識別中心入門教學

  3. 完成IAM身分識別中心的設定後,請開啟 Amazon Q 主控台,並按照 Amazon Q 開發人員使用者指南中的訂閱中的步驟進行操作。請務必啟用身分識別感知主控台工作階段。

    注意

    如果您沒有足夠的權限來啟用身分識別感知主控台工作階段,您可能需要請 I IAM dentity Center 系統管理員在 I IAM dentity Center 主控台中為您執行此工作。如需詳細資訊,請參閱下一程序。

在IAM身分識別中心主控台中啟用身分識別感知主控台工

如果您是 I IAM dentity Center 系統管理員,系統可能會要求您在 Identity Center 主控台中啟用IAM身分識別感知主控台工作階段。

  1. 開啟IAM身分識別中心主控台。

  2. 在導覽窗格中,選擇設定

  3. 在 [啟用識別感知工作階段] 下,選擇 [啟用]

  4. 在第二個訊息中,選擇 [啟用]

  5. 啟用身分識別感知主控台工作階段後,「設定」頁面頂端會顯示確認訊息。

  6. 在「詳細資訊」段落中,識別感知工作階段的狀態為「已啟用」。

身分識別感知主控台工作階段如何

IAMIdentity Center 可增強使用者目前的主控台工作階段,以包含作用中的IAM身分識別中心使用者的 ID 和IAM身分識別中心工作階段 ID

身分識別感知主控台工作階段包含下列三個值:

  • 識別身分存放區使用者 ID (身份存儲:UserId)-此值用於唯一識別身分識別來源中連線至IAM身分識別中心的使用者。

  • 識別身分存放區目錄 ARN (身份存儲:IdentityStoreArn)-此值是連線至身分識別中心的身IAM分識別存放區,以及您可以在其中查詢屬性的位置identitystore:UserId。ARN

  • IAM身分識別中心工作階段 ID-此值表示使用者的IAM身分識別中心工作階段是否仍然有效。

這些值是相同的,但是以不同的方式獲得,並在過程的不同點添加,具體取決於用戶登錄的方式:

  • IAM身分識別中心 (AWS 存取入口網站):在此情況下,使用者的識別身分存放區使用者 ID 和ARN值已在作用中的IAM身分識別中心工作階段中提供。IAM身分識別中心透過僅新增工作階段 ID 來增強目前的工作階段。

  • 其他登入方法:如果使用者登入 AWS 身為具有IAM角色的IAM使用者,或身為聯合使用者IAM,都不會提供這些值。IAMIdentity Center 透過新增識別身分存放區使用者 ID、識別身分存放區目錄ARN和工作階段 ID 來增強目前的工作階段。