IAM Identity Center를 사용하여 Amazon Q Business를 설정할 때 발생하는 오류를 해결하려면 어떻게 해야 합니까?

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

SCP의 명시적 작업 거부

SCP(서비스 제어 정책)는 AWS Organizations 내 AWS 계정에 사용할 수 있는 최대 권한을 정의합니다. SCP가 작업을 거부하면 다음과 같은 오류가 표시될 수 있습니다.

"An error occurred during creation, but we do not know the cause."

SCP를 수정하려면 관리 계정을 사용하십시오. 관리 계정은 멤버 계정을 제한하며, 멤버 계정은 SCP를 수정할 수 없습니다. 멤버 계정을 사용하는 경우 관리 계정 관리자에게 문의하십시오.

관리 계정을 사용하는 경우 다음 단계를 완료하십시오.

1. Organizations 콘솔을 엽니다.
2. 탐색 창에서 서비스 제어 정책을 선택합니다.
3. SCP 목록을 검토하여 SCP가 Amazon Q Business 작업에 대한 권한을 명시적으로 거부하는지 확인하십시오. 또는 권한 거부 이벤트를 확인하려면 AWS CloudTrail 로그를 사용합니다.
4. SCP가 권한을 거부하는 경우 SCP를 업데이트합니다.

또는 외부 ID 제공업체(IdP)를 통한 AWS Identity and Access Management(IAM) ID 페더레이션을 사용하여 Amazon Q Business에 대한 인증을 설정할 수 있습니다. 외부 IdP를 통해 Amazon Q Business를 설정하면 사용자가 IdP에서 인증하기 때문에 SCP 제한이 적용되지 않습니다.

자세한 내용은 Okta를 통한 IAM 페더레이션을 사용한 Amazon Q Business 애플리케이션 생성을 참조하십시오.

SCIM 동기화로 인한 중복 사용자 발생

System for Cross-domain Identity Management(SCIM)는 은 IdP에서 IAM Identity Center로 사용자를 채웁니다. SCIM 동기화를 사용하여 외부 IdP(예: Okta)에서 IAM Identity Center를 설정하는 경우 다음과 같은 오류가 표시될 수 있습니다.

"User <> is not authorized to make this request because there is already an active user for this userId."

SCIM을 활성화하기 전에 수동으로 사용자를 생성하면 중복 항목이 감지됩니다. 이 문제를 해결하려면 기존 사용자를 삭제하고 SCIM을 활성화한 다음 사용자를 다시 추가하십시오.

사용자가 Amazon Q Business에 존재하는지 확인하려면 get-user AWS CLI 명령을 실행합니다.

aws qbusiness get-user --application-id  example-app-id --user-id example-user-id

참고: example-app-id를 애플리케이션 ID로, example-user-id를 사용자 ID로 바꾸십시오. 애플리케이션 ID는 Amazon Q Business 콘솔의 애플리케이션에서 찾아볼 수 있습니다.

사용자를 삭제하려면 delete-user 명령을 실행합니다.

aws qbusiness delete-user --application-id example-app-id --user-id example-user-id

참고: example-app-id를 애플리케이션 ID로, example-user-id를 사용자 ID로 바꾸십시오.

사용자가 삭제되었는지 확인하려면 get-user 명령을 실행합니다. 그런 다음 SCIM 동기화를 활성화합니다.

사용자가 Amazon Q Business에 추가되었는지 확인하려면 다음 단계를 완료합니다.

1. Amazon Q Business 콘솔을 엽니다.
2. 탐색 창에서 Applications(애플리케이션)을 선택합니다.
3. 애플리케이션을 선택합니다.
4. 사용자 액세스 관리에서 사용자를 찾습니다.

사용자를 IAM Identity Center에 매핑하도록 SCIM 동기화가 올바르게 설정되었는지 확인합니다.

ID 인식 세션 설정 누락

Amazon Q Business가 사용자를 인증하고, API를 호출하고, 사용자별 작업을 수행하려면 ID 인식 세션이 필요합니다. 조직의 관리 계정에서 ID 인식 세션이 활성화되지 않은 경우 다음 오류가 표시될 수 있습니다.

"Contact your administrator in order to enable Amazon Q in the AWS Console. You must ensure identity-aware sessions are enabled in the AWS Orgs Management account."

ID 인식 세션을 활성화하려면 다음 단계를 완료합니다.

1. IAM Identity Center의 조직 인스턴스를 활성화합니다.
   참고: AWS 리전 간 IAM Identity Center 설정을 사용하는 경우 조직 인스턴스가 리전 간 연결을 지원하는지 확인하십시오.
2. ID 인식 세션을 활성화합니다.
3. Amazon Q Business의 리전 가용성을 확인합니다.

관련 정보

AWS IAM Identity Center

IAM Identity Center의 조직 및 계정 인스턴스