跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

如何對使用 IAM Identity Center 設定 Amazon Q Business 時收到的錯誤進行疑難排解?

2 分的閱讀內容
0

當我嘗試使用 AWS IAM Identity Center 設定 Amazon Q Business 時,我收到與權限、使用者驗證或身分感知工作階段相關的錯誤。我想要對這些問題進行疑難排解。

解決方法

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本

SCP 明確拒絕該動作

服務控制政策 (SCP) 定義 AWS Organizations 內 AWS 帳戶可用的最大權限。如果 SCP 拒絕該動作,那麼您可能會收到以下錯誤訊息:

「建立過程中發生錯誤,但我們不知道原因。」

若要修改 SCP,請使用管理帳戶。管理帳戶會限制會員帳戶,且會員帳戶無法修改 SCP。如果您使用的是會員帳戶,請聯絡您的管理帳戶管理員。

如果您使用的是管理帳戶,請完成下列步驟:

  1. 開啟 Organizations console (Organizations 主控台)。
  2. 在導覽窗格中,選擇 Service Control Policies (服務控制政策)。
  3. 查看 SCP 清單,以確定 SCP 是否明確拒絕 Amazon Q Business 動作的權限。或者,若要檢查權限遭拒事件,請使用 AWS CloudTrail 日誌
  4. 如果 SCP 拒絕權限,請更新 SCP

或者,透過外部身分提供者 (IdP) 使用 AWS Identity and Access Management (IAM) 聯合身分來為 Amazon Q Business 設定驗證。當您透過外部 IdP 設定 Amazon Q Business 時,不會套用 SCP 限制,因為使用者會在 IdP 中進行驗證。

如需詳細資訊,請參閱透過 Okta 使用 IAM Federation 建立 Amazon Q Business 應用程式

SCIM 同步處理建立重複使用者

跨網域身分管理系統 (SCIM) 會將使用者從 IdP 填入 IAM Identity Center。如果您使用 SCIM 同步處理來從外部 IdP (例如 Okta) 設定 IAM Identity Center,那麼您可能會收到下列錯誤訊息:

「使用者 <> 無權發出此請求,因為已有作用中的使用者使用此 userId。」

如果您在啟動 SCIM 之前手動建立使用者,則會偵測到重複項目。若要解決此問題,請刪除現有使用者,啟動 SCIM,然後重新新增使用者。

若要檢查使用者是否存在於 Amazon Q Business 中,請執行 get-user AWS CLI 命令:

aws qbusiness get-user --application-id  example-app-id --user-id example-user-id

**注意:**將 example-app-id 替換為您的應用程式 ID,將 example-user-id 替換為您的使用者 ID。您可以在 Amazon Q Business console (Amazon Q Business 主控台) 中的 Applications (應用程式) 下,找到您的應用程式 ID。

若要刪除使用者,請執行 delete-user 命令:

aws qbusiness delete-user --application-id example-app-id --user-id example-user-id

**注意:**將 example-app-id 替換為您的應用程式 ID,將 example-user-id 替換為您的使用者 ID。

若要確認是否已刪除使用者,請執行 get-user 命令。然後,啟動 SCIM 同步處理。

若要確認使用者是否已新增至 Amazon Q Business,請完成下列步驟:

  1. 開啟 Amazon Q Business console (Amazon Q Business 主控台)。
  2. 在導覽窗格中,選擇 Applications (應用程式)。
  3. 選取您的應用程式。
  4. Manage user access (管理使用者存取權) 下,尋找使用者。

確認 SCIM 同步處理已正確設定,以將使用者對應至 IAM Identity Center。

缺少身分感知工作階段設定

Amazon Q Business 需要身分感知工作階段才能驗證使用者、呼叫 API,以及執行特定使用者的作業。如果組織的管理帳戶中未啟動身分感知工作階段,那麼您可能會收到下列錯誤訊息:

「請聯絡您的管理員,以在 AWS 主控台中啟用 Amazon Q。請務必確認您已在 AWS Orgs 管理帳戶中啟用身分感知工作階段。」

若要啟動身分感知工作階段,請完成下列步驟:

  1. 啟動 IAM Identity Center 的組織執行個體
    **注意:**如果您使用 AWS 跨區域 IAM Identity Center 設定,請確定您的組織執行個體支援跨區域連線。
  2. 啟動身分感知工作階段
  3. 確認您的區域可用性支援 Amazon Q Business。

相關資訊

AWS IAM Identity Center

IAM Identity Center 的組織和帳戶執行個體

主題
Business ApplicationsMachine Learning & AI
標籤
Amazon Q Business
語言
中文 (繁體)
AWS 官方已更新 1 年前
沒有評論

相關內容