Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment résoudre les erreurs que je reçois lorsque je configure Amazon Q Business avec IAM Identity Center ?

Lecture de 5 minute(s)
0

Lorsque j'essaie de configurer Amazon Q Business avec AWS IAM Identity Center, je reçois des erreurs liées aux autorisations, à l'authentification utilisateur ou aux sessions tenant compte de l'identité. Je souhaite résoudre ces problèmes.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Les SCP refusent explicitement l'action

Les politiques de contrôle des services (SCP) définissent les autorisations maximales disponibles pour les comptes AWS au sein des organisations AWS. Si un SCP refuse l'action, le message d'erreur suivant peut s'afficher :

« An error occurred during creation, but we do not know the cause. » (Une erreur s'est produite lors de la création, mais nous n'en connaissons pas la cause.)

Pour modifier un SCP, utilisez un compte de gestion. Les comptes de gestion limitent les comptes membres, et ces derniers ne peuvent pas modifier les SCP. Si vous utilisez un compte membre, contactez l'administrateur de votre compte de gestion.

Si vous utilisez un compte de gestion, procédez comme suit :

  1. Ouvrez la console Organizations.
  2. Dans le volet de navigation, choisissez Politiques de contrôle des services.
  3. Consultez la liste des SCP pour déterminer si un SCP refuse explicitement les autorisations pour les actions d'Amazon Q Business. Ou, pour vérifier les événements auxquels l'autorisation a été refusée, utilisez les journaux AWS CloudTrail.
  4. Si un SCP refuse des autorisations, mettez-le à jour.

Vous pouvez également utiliser la fédération d'identité AWS Identity and Access Management (IAM) via un fournisseur d'identité externe (IdP) pour configurer l'authentification pour Amazon Q Business. Lorsque vous configurez Amazon Q Business via un IdP externe, les restrictions SCP ne s'appliquent pas car les utilisateurs s'authentifient auprès de l'IdP.

Pour plus d'informations, consultez la section Création d'une application Amazon Q Business à l'aide d'IAM Federation via Okta.

La synchronisation SCIM crée des utilisateurs en double

Le système SCIM (Cross-Domain Identity Management) permet de renseigner les utilisateurs dans IAM Identity Center à partir de l'IdP. Si vous utilisez la synchronisation SCIM pour configurer IAM Identity Center à partir d'un IdP externe, tel qu'Okta, le message d'erreur suivant peut s'afficher :

« User <> is not authorized to make this request because there is already an active user for this userId. » (L'utilisateur <> n'est pas autorisé à effectuer cette demande car il existe déjà un utilisateur actif pour cet ID utilisateur.)

Si vous créez manuellement un utilisateur avant d'activer SCIM, une entrée en double est détectée. Pour résoudre ce problème, supprimez l'utilisateur existant, activez SCIM, puis ajoutez-le de nouveau.

Pour vérifier si l'utilisateur existe dans Amazon Q Business, exécutez la commande get-user de l’interface de ligne de commande AWS :

aws qbusiness get-user --application-id  example-app-id --user-id example-user-id

Remarque : Remplacez example-app-id par votre ID d’application et example-user-id par votre ID utilisateur. Vous trouverez votre ID d’application dans la console Amazon Q Business, sous Applications.

Pour supprimer l'utilisateur, exécutez la commande delete-user :

aws qbusiness delete-user --application-id example-app-id --user-id example-user-id

Remarque : Remplacez example-app-id par votre ID d’application et example-user-id par votre ID utilisateur.

Pour confirmer que l'utilisateur est supprimé, exécutez la commande get-user. Puis, activez la synchronisation SCIM.

Pour vérifier que l'utilisateur est ajouté à Amazon Q Business, procédez comme suit :

  1. Ouvrez la console Amazon Q Business.
  2. Dans le volet de navigation, sélectionnez Applications.
  3. Sélectionnez votre application.
  4. Dans Gérer les accès des utilisateurs, recherchez l'utilisateur.

Vérifiez que la synchronisation SCIM est correctement configurée pour mapper les utilisateurs à IAM Identity Center.

Des paramètres de session tenant compte de l'identité sont manquants

Des sessions tenant compte de l'identité sont requises pour qu'Amazon Q Business puisse authentifier les utilisateurs, appeler des API et effectuer des opérations spécifiques aux utilisateurs. Si les sessions tenant compte de l'identité ne sont pas activées dans le compte de gestion de votre organisation, le message d'erreur suivant peut s'afficher :

« Contact your administrator in order to enable Amazon Q in the AWS Console. You must ensure identity-aware sessions are enabled in the AWS Orgs Management account. » (Contactez votre administrateur afin d'activer Amazon Q dans la console AWS. Vous devez vous assurer que les sessions tenant compte de l'identité sont activées dans le compte AWS Orgs Management.)

Pour activer les sessions tenant compte de l'identité, procédez comme suit :

  1. Activez une instance d'organisation d'IAM Identity Center.
    Remarque : Si vous utilisez une configuration AWS IAM Identity Center interrégionale, assurez-vous que votre instance d’organisation prend en charge les connexions interrégionales.
  2. Activez les sessions tenant compte de l'identité.
  3. Vérifiez la disponibilité de votre région pour Amazon Q Business.

Informations connexes

Centre d'identité AWS IAM

Instances d'organisation et de compte d'IAM Identity Center

Sujets
Business ApplicationsMachine Learning & AI
Balises
Amazon Q Business
Langue
Français
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents