Appearance
连接 AWS IAM Identity Center 是 Kiro Enterprise 推荐的身份接入方式之一,适合已在 AWS 账号中部署 IAM Identity Center 的组织。管理员需要先确保 IdC 实例在支持区域内,然后在 Kiro console 中完成关联配置,之后即可将 IdC 中的用户订阅到 Kiro。
Kiro Enterprise:连接 AWS IAM Identity Center
AWS IAM Identity Center(IdC)是 AWS 提供的集中式单点登录服务。通过将 Kiro 与 IAM Identity Center 关联,你可以用现有的 AWS 身份管理体系控制 Kiro 的访问权限。
前提条件
在开始配置之前,请确认以下条件已满足:
- 你的 AWS 账号中已配置 IAM Identity Center(IdC)实例,并且目标用户的身份信息已在 IdC 目录中。
- IAM Identity Center 实例所在 AWS Region 必须是 Kiro 支持的区域。
- 你同时拥有 AWS 管理员权限和 IdP 管理员权限(如果 IdC 已连接外部 IdP)。
配置步骤
如果你是第一次设置 IAM Identity Center 实例,请参考 AWS 官方文档 Getting started with IAM Identity Center 完成初始配置。
基本步骤如下:
- 在 AWS 账号中启用 AWS IAM Identity Center。
- 在 IdC 目录中添加用户,或将 IdC 连接到外部 IdP(如 Okta、Microsoft Entra ID)。
- 在 Kiro console 中选择 IAM Identity Center 作为身份来源,完成关联。
- 完成后,按照 订阅指南 为用户创建 Kiro 订阅。
常见问题
Q: IAM Identity Center 必须在哪些区域才能与 Kiro 集成?
A: Kiro 只支持特定 AWS 区域中的 IAM Identity Center 实例,目前包括 us-east-1(美国东部弗吉尼亚)和 eu-central-1(欧洲法兰克福)。请确认你的 IdC 实例在支持区域内。
Q: 如果 IAM Identity Center 已经连接了 Okta 或 Entra,还需要额外配置吗?
A: 不需要在 Kiro 侧做额外配置,只需确保外部 IdP 到 IdC 的同步正常,用户能正确出现在 IdC 目录中即可。
Q: 连接 IAM Identity Center 后还需要做什么?
A: 完成 IdC 关联后,还需要在 Kiro console 中为具体用户或 group 创建订阅,用户才能登录使用 Kiro。