本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用身份增强的控制台会话
<a name="identity-enhanced-sessions"></a>

控制台的身份增强会话通过提供一些额外的用户上下文来个性化用户的体验，从而增强用户的 AWS 控制台会话。目前，Kiro Pro 用户[在 AWS 应用程序和网站上支持 Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) 功能。

您可以启用身份增强型控制台会话，而无需对现有访问模式进行任何更改或对控制台进行联 AWS 合。如果您的用户使用 IAM 登录 AWS 控制台（例如，如果他们以 IAM 用户身份登录或通过 IAM 联合访问登录），则他们可以继续使用这些方法。如果您的用户登录 AWS 访问门户，他们可以继续使用他们的 IAM Identity Center 用户证书。

**Topics**
+ [先决条件和注意事项](#prereqs-and-considerations)
+ [如何启用 identity-enhanced-console会话](#enable-identity-enhanced-sessions-q)
+ [身份增强控制台会话的工作原理](#how-identity-enhanced-sessions-work)

## 先决条件和注意事项
<a name="prereqs-and-considerations"></a>

在启用身份增强控制台会话之前，请先查看以下先决条件和注意事项：
+ 如果您的用户通过订阅 Kiro Pro 在 AWS 应用程序和网站上访问 Kiro，则必须启用身份增强型主机会话。
**注意**  
Kiro 用户无需身份增强会话即可访问 Kiro，但他们将无法访问 Kiro Pro 订阅。
+ 身份增强控制台会话需要用到 IAM Identity Center 的[组织实例](organization-instances-identity-center.md)。
+ 如果您选择 AWS 区域启用 IAM 身份中心，则不支持与 Kiro 集成。
+ 要启用身份增强控制台会话，必须具有以下权限：
  + `sso:CreateApplication`
  + `sso:GetSharedSsoConfiguration`
  + `sso:ListApplications`
  + `sso:PutApplicationAssignmentConfiguration`
  + `sso:PutApplicationAuthenticationMethod`
  + `sso:PutApplicationGrant`
  + `sso:PutApplicationAccessScope`
  + `signin:CreateTrustedIdentityPropagationApplicationForConsole`
  + `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ 要让用户使用身份增强控制台会话，必须在基于身份的策略中向他们授予 `sts:setContext` 权限。有关信息，请参阅[授予使用者使用身份增强控制台会话的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html)。

## 如何启用 identity-enhanced-console会话
<a name="enable-identity-enhanced-sessions-q"></a>

您可以在 Kiro 控制台或 IAM Identity Center 控制台中启用身份增强控制台会话。

**在 Kiro 控制台中启用身份增强型控制台会话**

在启用身份增强控制台会话之前，您必须拥有连接了身份源的 IAM Identity Center 组织实例。如果已经配置 IAM Identity Center，请跳到步骤 3。

1. 打开 IAM Identity Center 控制台。选择**启用**，然后创建 IAM Identity Center 的组织实例。有关信息，请参阅[启用 IAM Identity Center](enable-identity-center.md)。

1. 将身份源连接到 IAM Identity Center 并将用户预置到 IAM Identity Center 中。您可以将现有身份源连接到 IAM Identity Center；如果尚未使用其他身份源，也可以使用 Identity Center 目录。有关更多信息，请参阅 [IAM Identity Center 身份源教程](tutorials.md)。

1. 完成设置 IAM 身份中心后，打开 Kiro 控制台并按照《K *iro 用户*指南》中[订阅](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html)中的步骤进行操作。务必启用身份增强控制台会话。
**注意**  
如果您没有足够的权限启用身份增强控制台会话，则可能需要让 IAM Identity Center 管理员在 IAM Identity Center 控制台中代为执行此任务。有关该过程的更多信息，请参阅接下来的步骤。

**在 IAM Identity Center 控制台中启用身份增强控制台会话**

如果您是 IAM Identity Center 管理员，其他管理员可能会让您在 IAM Identity Center 控制台中启用身份增强控制台会话。

1. 打开 IAM Identity Center 控制台。

1. 在导航窗格中，选择**设置**。

1. 在**启用身份增强会话**下，选择**启用**。

1. 在第二条消息中选择**启用**。

1. 完成启用身份增强控制台会话后，**设置**页面的顶部会显示一条确认消息。

1. 在**详细信息**部分中，**身份增强会话**的状态显示为**已启用**。

## 身份增强控制台会话的工作原理
<a name="how-identity-enhanced-sessions-work"></a>

IAM Identity Center 可增强用户当前的控制台会话，使其包含活跃的 IAM Identity Center 用户的 ID 和 IAM Identity Center 会话 ID。

身份增强控制台会话包含以下三个值：
+ **身份存储用户 ID**（[身份存储：UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)）：此值用于唯一标识连接到 IAM Identity Center 的身份源中的用户。
+ **身份存储目录 ARN**（[身份存储：IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)）：此值是连接到 IAM Identity Center 的身份存储的 ARN，可在其中查找 `identitystore:UserId` 的属性。
+ **IAM Identity Center 会话 ID**：此值表示用户的 IAM Identity Center 会话是否仍然有效。

这些值虽然相同，但以不同方式获得，且在过程的不同时刻添加，具体取决于用户的登录方式：
+ **IAM 身份中心（AWS 访问门户）**：在本例中，用户的身份存储用户 ID 和 ARN 值已在活动的 IAM 身份中心会话中提供。IAM Identity Center 通过仅添加会话 ID 增强当前会话。
+ **其他登录方法**：如果用户以 IAM 用户、IAM 角色或 IAM 的联合用户身份登录 AWS ，则不提供这些值。IAM Identity Center 通过添加身份存储用户 ID、身份存储目录 ARN 和会话 ID 增强当前会话。