Appearance
在 AWS 账号中创建 Kiro Profile 并管理用户订阅,需要为管理员角色授予一组最小权限。通用权限覆盖 Profile 的创建、删除、更新及标签管理;如果组织使用外部身份提供商(IdP),还需要额外的登录域名和 SCIM 相关权限。本文列出所有必需的 IAM Action,以及官方推荐的延伸阅读资源。
Kiro CLI IAM 权限:创建 Profile 与管理订阅所需的最小权限集
必需权限
要在 AWS 账号中创建 Kiro Profile 并管理订阅,负责该操作的角色需具备以下 IAM 权限。
通用权限
无论使用哪种身份存储,管理 Kiro Profile 和用户订阅都需要以下权限(关于支持的身份存储,参见支持的身份提供商):
codewhisperer:ListProfiles
codewhisperer:CreateProfile
codewhisperer:DeleteProfile
codewhisperer:UpdateProfile
codewhisperer:TagResource
codewhisperer:UntagResource
codewhisperer:ListTagsForResource
codewhisperer:AllowVendedLogDeliveryForResource
q:ListDashboardMetrics外部身份提供商相关权限
如果你的组织集成了外部身份提供商(IdP),还需要以下额外权限:
q:ListLoginDomains
q:AssociateLoginDomain
q:DisassociateLoginDomain
q:ListScimAccessTokens
q:CreateScimAccessToken
q:DeleteScimAccessToken
q:ListGroups
q:ListUsers
q:BatchDescribeUsers
q:BatchDescribeGroups延伸阅读
常见问题
Q:codewhisperer:* 系列权限和 q:* 系列权限有什么区别?
Kiro 底层基于 Amazon Q(原 CodeWhisperer)构建,codewhisperer:* 权限负责 Profile 及资源标签的生命周期管理,q:* 权限负责登录域名、SCIM 同步、用户/组查询等企业集成功能。两组权限互补,缺少任意一组都可能导致特定管理操作失败。
Q:普通用户(非管理员)使用 Kiro 是否也需要这些权限?
不需要。这些权限仅针对负责在 AWS 账号中创建和管理 Kiro Profile 的管理员角色。终端用户通过 Kiro IDE/CLI 登录和使用功能,不需要任何额外的 IAM 权限配置。
Q:不使用外部 IdP 的情况下,可以只配置通用权限吗?
可以。如果你的组织使用 AWS Builder ID 或 IAM Identity Center 内置目录(非外部 IdP),只需配置"通用权限"部分的九条 Action,外部 IdP 相关的权限无需添加。