Appearance
Kiro CLI Enterprise IAM Identity Center 连接用于把 AWS IdC 中的用户身份接入 Kiro。管理员需要已有 IAM Identity Center instance、支持的 AWS Region,以及 AWS 和外部 IdP 管理权限,然后在账号中启用并连接用户目录。
Kiro CLI Enterprise IAM Identity Center:连接企业用户目录
如果团队使用 AWS IAM Identity Center 管理用户,可以把它连接到 Kiro,用于后续订阅 users 和 groups。
这一步是 Kiro Enterprise onboarding 的身份基础:没有可用身份源,就无法把具体团队成员订阅到 Kiro。
前置条件
连接 IAM Identity Center 前,需要满足:
- AWS account 中已经设置 IAM Identity Center instance,并包含要订阅到 Kiro 的用户身份。
- IAM Identity Center instance 位于 Kiro 支持的 AWS Region。
- 管理员同时具备 AWS 管理权限;如果 IdC 连接了外部 provider,还需要对应 IdP 的管理员权限。
连接方式
基本流程是:
- 在 AWS account 中启用 AWS IAM Identity Center。
- 把用户添加到 IAM Identity Center directory。
- 或者把 IAM Identity Center 连接到外部 IdP。
- 在 Kiro console 中创建或连接 Kiro profile。
- 导入用户和 groups,再进行订阅。
如果这是第一次设置 IAM Identity Center,建议先完成 AWS 官方的 IdC getting started 流程,再接入 Kiro。
和外部 IdP 的关系
IAM Identity Center 可以直接管理用户,也可以连接外部 identity provider。常见组合:
- IAM Identity Center 内部 directory。
- IAM Identity Center + Okta。
- IAM Identity Center + Microsoft Entra ID。
如果使用外部 IdP,Kiro 侧仍然通过 IAM Identity Center 获取和管理身份映射,管理员需要同时确认 AWS 和 IdP 两边权限。
注意事项
- IAM Identity Center Region 和 Kiro profile Region 需要提前规划。
- 确认用户和 groups 已同步到 IdC。
- 订阅前检查 group 成员,避免无意订阅过多用户。
- 如果同一用户跨多个 Kiro profiles 被订阅,可能产生重复计费。
常见问题
Q: Kiro Enterprise 必须使用 IAM Identity Center 吗?
A: Kiro 支持通过 IAM Identity Center 接入,也支持直接连接外部 IdP。具体方式取决于你的企业身份架构。
Q: 连接 IAM Identity Center 前需要什么权限?
A: 需要 AWS 管理权限;如果 IdC 连接了外部 IdP,还需要外部 IdP 的管理员权限。
Q: 用户目录接入后下一步是什么?
A: 在 Kiro console 中创建或连接 Kiro profile,然后导入 users/groups 并订阅。