本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用身分增強主控台工作階段
<a name="identity-enhanced-sessions"></a>

主控台的身分增強工作階段透過提供一些額外的使用者內容來個人化該使用者的使用體驗，來增強使用者的 AWS 主控台工作階段。[AWS 應用程式和網站上的 Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) Pro 使用者目前支援此功能。

您可以啟用身分增強主控台工作階段，而無需在 AWS 主控台中對現有的存取模式或聯合進行任何變更。如果您的使用者使用 IAM 登入 AWS 主控台 （例如，如果他們以 IAM 使用者身分登入或透過 IAM 的聯合身分存取），他們可以繼續使用這些方法。如果您的使用者登入 AWS 存取入口網站，他們可以繼續使用其 IAM Identity Center 使用者憑證。

**Topics**
+ [先決條件和考量事項](#prereqs-and-considerations)
+ [如何啟用identity-enhanced-console工作階段](#enable-identity-enhanced-sessions-q)
+ [身分增強主控台工作階段的運作方式](#how-identity-enhanced-sessions-work)

## 先決條件和考量事項
<a name="prereqs-and-considerations"></a>

啟用身分增強主控台工作階段之前，請檢閱下列先決條件和考量事項：
+ 如果您的使用者透過 Kiro Pro 訂閱在 AWS 應用程式和網站上存取 Kiro，您必須啟用身分增強主控台工作階段。
**注意**  
Kiro 使用者可以在沒有身分增強工作階段的情況下存取 Kiro，但無法存取其 Kiro Pro 訂閱。
+ 身分增強主控台工作階段需要 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)。
+ 如果您在選擇加入中啟用 IAM Identity Center，則不支援與 Kiro 整合 AWS 區域。
+ 若要啟用身分增強主控台工作階段，您必須具有下列許可：
  + `sso:CreateApplication`
  + `sso:GetSharedSsoConfiguration`
  + `sso:ListApplications`
  + `sso:PutApplicationAssignmentConfiguration`
  + `sso:PutApplicationAuthenticationMethod`
  + `sso:PutApplicationGrant`
  + `sso:PutApplicationAccessScope`
  + `signin:CreateTrustedIdentityPropagationApplicationForConsole`
  + `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ 若要讓使用者能夠使用身分增強主控台工作階段，您必須在以身分為基礎的政策中授予他們`sts:setContext`許可。如需詳細資訊，請參閱[授予使用者使用身分增強主控台工作階段的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html)。

## 如何啟用identity-enhanced-console工作階段
<a name="enable-identity-enhanced-sessions-q"></a>

您可以在 Kiro 主控台或 IAM Identity Center 主控台中啟用身分增強主控台工作階段。

**在 Kiro 主控台中啟用身分增強主控台工作階段**

啟用身分增強主控台工作階段之前，您必須擁有已連接身分來源的 IAM Identity Center 組織執行個體。如果您已設定 IAM Identity Center，請跳至步驟 3。

1. 開啟 IAM Identity Center 主控台。選擇**啟用**，然後建立 IAM Identity Center 的組織執行個體。如需相關資訊，請參閱[啟用 IAM Identity Center](enable-identity-center.md)。

1. 將您的身分來源連接至 IAM Identity Center，並將使用者佈建至 IAM Identity Center。如果您尚未使用其他身分來源，您可以將現有的身分來源連線至 IAM Identity Center，或使用 Identity Center 目錄。如需詳細資訊，請參閱[IAM Identity Center 身分來源教學課程](tutorials.md)。

1. 完成設定 IAM Identity Center 後，請開啟 Kiro 主控台，並遵循 *Kiro 使用者指南*中的[訂閱](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html)步驟。請務必啟用身分增強主控台工作階段。
**注意**  
如果您沒有足夠的許可來啟用身分增強主控台工作階段，您可能需要要求 IAM Identity Center 管理員在 IAM Identity Center 主控台中為您執行此任務。如需詳細資訊，請參閱下一程序。

**在 IAM Identity Center 主控台中啟用身分增強主控台工作階段**

如果您是 IAM Identity Center 管理員，則其他管理員可能會要求您在 IAM Identity Center 主控台中啟用身分增強主控台工作階段。

1. 開啟 IAM Identity Center 主控台。

1. 在導覽窗格中，選擇**設定**。

1. 在**啟用身分增強工作階段**下，選擇**啟用**。

1. 在第二個訊息中，選擇**啟用**。

1. 完成啟用身分增強主控台工作階段後，確認訊息會出現在**設定**頁面頂端。

1. 在**詳細資訊**區段中，**身分增強工作階段**的狀態為**已啟用**。

## 身分增強主控台工作階段的運作方式
<a name="how-identity-enhanced-sessions-work"></a>

IAM Identity Center 會增強使用者目前的主控台工作階段，以包含作用中 IAM Identity Center 使用者的 ID 和 IAM Identity Center 工作階段 ID。

身分增強主控台工作階段包含下列三個值：
+ **身分存放區使用者 ID** ([identitystore:UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) - 此值用於唯一識別連接到 IAM Identity Center 的身分來源中的使用者。
+ **身分存放區目錄 ARN** ([identitystore：IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) - 此值是連接到 IAM Identity Center 的身分存放區的 ARN，您可以在其中查詢 的屬性`identitystore:UserId`。
+ **IAM Identity Center 工作階段 ID** - 此值指出使用者的 IAM Identity Center 工作階段是否仍然有效。

這些值相同，但以不同方式取得，並在程序的不同點新增，取決於使用者登入的方式：
+ **IAM Identity Center (AWS 存取入口網站）**：在此情況下，使用者的身分存放區使用者 ID 和 ARN 值已在作用中的 IAM Identity Center 工作階段中提供。IAM Identity Center 只會新增工作階段 ID，以增強目前的工作階段。
+ **其他登入方法**：如果使用者以 IAM 使用者、IAM 角色或 IAM 聯合身分使用者 AWS 身分登入 ，則不會提供任何這些值。IAM Identity Center 透過新增身分存放區使用者 ID、身分存放區目錄 ARN 和工作階段 ID 來增強目前的工作階段。