For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
¿Cómo soluciono los errores que recibo al configurar Amazon Q Business con IAM Identity Center?
Cuando intento configurar Amazon Q Business con AWS IAM Identity Center, recibo errores relacionados con los permisos, la autenticación de usuarios o las sesiones con reconocimiento de identidad. Quiero solucionar esos problemas.
Solución
Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.
Las SCP niegan explícitamente la acción
Las políticas de control de servicio (SCP) definen los permisos máximos disponibles para las cuentas de AWS en AWS Organizations. Si una SCP rechaza la acción, es posible que recibas el siguiente error:
“An error occurred during creation, but we do not know the cause”.
Para modificar una SCP, utiliza una cuenta de administración. Las cuentas de administración restringen las cuentas de miembro, que no pueden modificar las SCP. Si usas una cuenta de miembro, ponte en contacto con el administrador de tu cuenta de administración.
Si usas una cuenta de administración, sigue estos pasos:
- Abre la consola de Organizations.
- En el panel de navegación, elige Políticas de control de servicio.
- Revisa la lista de SCP para identificar si una SCP deniega explícitamente los permisos para las acciones de Amazon Q Business. O bien, para comprobar si hay eventos en los que se ha denegado el permiso, utiliza los registros de AWS CloudTrail.
- Si una SCP deniega los permisos, actualiza la SCP.
O bien, utiliza la federación de identidades de AWS Identity and Access Management (IAM) a través de un proveedor de identidades (IdP) externo para configurar la autenticación de Amazon Q Business. Cuando configuras Amazon Q Business a través de un IdP externo, las restricciones de SCP no se aplican porque los usuarios se autentican en el IdP.
Para obtener más información, consulta Creating an Amazon Q Business application using IAM Federation through Okta (Creación de una aplicación de Amazon Q Business mediante la federación de IAM a través de Okta).
La sincronización de SCIM crea usuarios duplicados
El sistema de administración de identidades entre dominios (SCIM) rellena los usuarios en IAM Identity Center a partir del IdP. Si utilizas la sincronización de SCIM para configurar IAM Identity Center desde un IdP externo, como Okta, es posible que recibas el siguiente error:
“User <> is not authorized to make this request because there is already an active user for this userId”.
Si creas un usuario manualmente antes de activar SCIM, se detecta una entrada duplicada. Para resolver este problema, elimina el usuario existente, activa SCIM y, a continuación, vuelve a añadir el usuario.
Para comprobar si el usuario existe en Amazon Q Business, ejecuta el comando get-user de la AWS CLI:
aws qbusiness get-user --application-id example-app-id --user-id example-user-id
Nota: Sustituye example-app-id por el ID de la aplicación y example-user-id por el ID de usuario. Puedes encontrar el ID de la aplicación en la consola de Amazon Q Business, en Aplicaciones.
Para eliminar el usuario, ejecuta el comando delete-user:
aws qbusiness delete-user --application-id example-app-id --user-id example-user-id
Nota: Sustituye example-app-id por el ID de la aplicación y example-user-id por el ID de usuario.
Para confirmar que el usuario se ha eliminado, ejecuta el comando get-user. A continuación, activa la sincronización de SCIM.
Para comprobar que el usuario se ha añadido a Amazon Q Business, sigue estos pasos:
- Abre la consola de Amazon Q Business.
- En el panel de navegación, selecciona Aplicaciones.
- Selecciona tu aplicación.
- En Administrar acceso de usuarios, busca al usuario.
Confirma que la sincronización de SCIM esté configurada correctamente para asignar usuarios a IAM Identity Center.
Faltan ajustes de sesión con reconocimiento de identidad
Las sesiones con reconocimiento de identidad son necesarias para que Amazon Q Business autentique a los usuarios, llame a las API y realice operaciones específicas de los usuarios. Si no se ha activado este tipo de sesiones en la cuenta de administración de tu organización, es posible que recibas el siguiente error:
“Contact your administrator in order to enable Amazon Q in the AWS Console. You must ensure identity-aware sessions are enabled in the AWS Orgs Management account”.
Para activar las sesiones con reconocimiento de identidad, sigue estos pasos:
- Activa una instancia organizativa de IAM Identity Center.
Nota: Si utilizas una configuración de IAM Identity Center entre regiones de AWS, asegúrate de que la instancia de la organización admita las conexiones entre regiones. - Activa las sesiones con reconocimiento de identidad.
- Confirma la disponibilidad de Amazon Q Business en tu región.
Información relacionada
Organization and account instances of IAM Identity Center (Instancias de organización y cuenta de IAM Identity Center)
- Etiquetas
- Amazon Q Business
- Idioma
- Español
Contenido relevante
- preguntada hace un año
- preguntada hace 9 meses
- preguntada hace 8 meses
- preguntada hace un año