AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Come posso risolvere gli errori che ricevo quando configuro Amazon Q Business con il Centro identità IAM?
Quando provo a configurare Amazon Q Business con il Centro identità AWS IAM, ricevo errori relativi alle autorizzazioni, all'autenticazione degli utenti o alle sessioni con riconoscimento dell’identità. Desidero risolvere questi problemi.
Risoluzione
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Le SCP negano esplicitamente l'azione
Le policy di controllo dei servizi (SCP) definiscono le autorizzazioni massime disponibili per gli account AWS all'interno di AWS Organizations. Se una SCP nega l'azione, potresti ricevere il seguente errore:
"An error occurred during creation, but we do not know the cause."
Per modificare una SCP, utilizza un account di gestione. Gli account di gestione limitano gli account membri e gli account membri non possono modificare le SCP. Se utilizzi un account membro, rivolgiti all'amministratore dell'account di gestione.
Se utilizzi un account di gestione, completa i seguenti passaggi:
- Apri la console Organizations.
- Nel pannello di navigazione, scegli Policy di controllo dei servizi.
- Consulta l'elenco delle SCP per verificare se una SCP nega esplicitamente le autorizzazioni per le azioni di Amazon Q Business. Oppure utilizza i log di AWS CloudTrail per verificare la presenza di eventi con autorizzazione negata.
- Se una SCP nega le autorizzazioni, aggiorna la SCP.
Oppure utilizza la federazione delle identità di AWS Identity and Access Management (AWS IAM) tramite un gestore dell'identità digitale esterno per configurare l'autenticazione per Amazon Q Business. Quando configuri Amazon Q Business tramite un gestore dell'identità digitale esterno, le restrizioni delle SCP non si applicano perché gli utenti si autenticano attraverso il gestore dell'identità digitale.
Per ulteriori informazioni, consulta Creating an Amazon Q Business application using IAM Federation through Okta (Creazione di un'applicazione Amazon Q Business utilizzando la Federazione IAM tramite Okta).
La sincronizzazione SCIM crea utenti duplicati
SCIM (System for Cross-domain Identity Management) aggiunge gli utenti al Centro identità IAM dal gestore dell'identità digitale. Se utilizzi la sincronizzazione SCIM per configurare il Centro identità IAM da un gestore dell'identità digitale esterno, come Okta, potresti ricevere il seguente errore:
"User <> is not authorized to make this request because there is already an active user for this userId."
Se crei manualmente un utente prima di attivare SCIM, viene rilevata una voce duplicata. Per risolvere il problema, elimina l'utente esistente, attiva SCIM, quindi aggiungi nuovamente l'utente.
Per verificare se l'utente esiste in Amazon Q Business, esegui il comando AWS CLI get-user:
aws qbusiness get-user --application-id example-app-id --user-id example-user-id
Nota: sostituisci example-app-id con l'ID della tua applicazione e example-user-id con il tuo ID utente. Puoi trovare l'ID della tua applicazione nella console Amazon Q Business alla voce Applications (Applicazioni).
Per eliminare l'utente, esegui il comando delete-user:
aws qbusiness delete-user --application-id example-app-id --user-id example-user-id
Nota: sostituisci example-app-id con l'ID della tua applicazione e example-user-id con il tuo ID utente.
Per verificare se l'utente è stato eliminato, esegui il comando get-user. Quindi attiva la sincronizzazione SCIM.
Per verificare se l'utente è stato aggiunto ad Amazon Q Business, completa i seguenti passaggi:
- Apri la console Amazon Q Business.
- Nel pannello di navigazione, scegli Applications (Applicazioni).
- Seleziona l'applicazione.
- Trova l'utente in Manage user access (Gestisci l'accesso degli utenti).
Verifica che la sincronizzazione SCIM sia impostata correttamente per mappare gli utenti sul Centro identità IAM.
Mancano impostazioni relative alle sessioni con riconoscimento dell'identità
Affinché Amazon Q Business richiede sessioni con riconoscimento dell'identità per poter autenticare gli utenti, eseguire chiamate API ed effettuare operazioni specifiche dell'utente. Se nell'account di gestione dell'organizzazione le sessioni con riconoscimento dell'identità non sono attivate, potresti ricevere il seguente errore:
"Contact your administrator in order to enable Amazon Q in the AWS Console. You must ensure identity-aware sessions are enabled in the AWS Orgs Management account."
Per attivare le sessioni con riconoscimento dell'identità, completa i seguenti passaggi:
- Attiva un'istanza dell'organizzazione del Centro identità IAM.
Nota: se utilizzi una configurazione del Centro identità AWS IAM multi-Regione, assicurati che l'istanza dell'organizzazione supporti le connessioni multi-Regione. - Attiva le sessioni con riconoscimento dell'identità.
- Verifica la disponibilità della Regione per Amazon Q Business.
Informazioni correlate
- Lingua
- Italiano
