详细内容或原文请订阅后点击阅览
使用 IAM 联合用户访问管理实现对 Amazon Q Business 应用程序的安全 API 访问
Amazon Q Business 提供了一组丰富的 API 来执行管理任务并为您的企业构建具有定制用户体验的 AI 助手。在这篇文章中,我们展示了在使用 AWS Identity and Access Management (IAM) 联合进行用户访问管理时如何使用 Amazon Q Business API。
来源:亚马逊云科技 _机器学习Amazon Q Business IAM 联合需要使用与 IAM 的联合来联合企业 IdP(例如 Okta 或 Ping Identity)账户中配置的用户身份。这涉及以下步骤中描述的设置:
与 IAM 联合下图显示了高级架构和身份验证工作流。企业 IdP(例如 Okta 或 Ping Identity)用作经过身份验证的用户的访问管理器,以便使用 Amazon Q Web 体验与 Amazon Q Business 应用程序或使用 API 与自定义应用程序进行交互。
在 IAM 联合工作流中无法获取企业 IdP 中定义的组。如果您在数据源中使用 ACL 以及从企业 IdP 联合的组,则可以使用 Amazon Q PutGroup API 在 Amazon Q Business 用户存储中定义联合组。这样,Amazon Q Business 应用程序就可以验证用户对联合组的成员资格并相应地强制执行 ACL。此限制不适用于在数据源内本地定义 ACL 中使用的组的配置。有关更多信息,请参阅组映射。
PutGroup API 组映射此处使用 Okta 中定义的组核心团队进行了说明,如以下屏幕截图所示。
Amazon Q 商业用户存储 PutGroup API AWS 命令行界面 put-group先决条件
要实现本文中描述的示例用例,您需要一个 Okta 帐户。本文涵盖了 OIDC 和 SAML 2.0 的工作流程,因此您可以根据业务需求遵循其中一个或两个工作流程。您需要为 OIDC 或 SAML 模式创建应用程序集成,然后在您的 AWS 账户中配置相应的 IAM 身份提供商,这将是创建和配置您的 Amazon Q Business 应用程序所必需的。
您需要一个安装了 AWS CLI 和 AWS SDK for Python (Boto3) 的命令行环境。
AWS CLI AWS SDK for Python (Boto3) AWS 凭证 GitHub repoiam-federation-samples
OIDC
0