Appearance
要创建和管理 Kiro Profile 及用户订阅,IAM 角色需要一组 codewhisperer 和 q 命名空间的权限。接入外部身份提供商时还需要额外的 q 命名空间权限用于登录域关联和 SCIM 用户同步。本文列出所有必需的 IAM 权限及相关参考资源。
必需权限
创建 Kiro Profile 和管理订阅时,负责管理的 IAM 角色在 AWS 账号中需要具备以下权限。
通用权限
无论使用何种身份存储,管理 Kiro Profile 和用户订阅都需要以下权限。关于支持的身份存储请参阅对应文档。
codewhisperer:ListProfiles
codewhisperer:CreateProfile
codewhisperer:DeleteProfile
codewhisperer:UpdateProfile
codewhisperer:TagResource
codewhisperer:UntagResource
codewhisperer:ListTagsForResource
codewhisperer:AllowVendedLogDeliveryForResource
q:ListDashboardMetrics外部身份提供商相关权限
接入外部身份提供商时,还需要以下额外权限:
q:ListLoginDomains
q:AssociateLoginDomain
q:DisassociateLoginDomain
q:ListScimAccessTokens
q:CreateScimAccessToken
q:DeleteScimAccessToken
q:ListGroups
q:ListUsers
q:BatchDescribeUsers
q:BatchDescribeGroups延伸阅读
常见问题
Q:为什么 Kiro 的权限使用 codewhisperer 命名空间而不是 kiro?
A:Kiro 底层服务由 Amazon CodeWhisperer 演进而来,部分 IAM 操作仍保留了 codewhisperer: 前缀。这是历史命名原因,实际功能已对应到 Kiro 的 Profile 和订阅管理,配置时直接使用上述权限即可。
Q:这些权限应该授予给哪个 IAM 主体?
A:这些权限应授予负责管理 Kiro 企业部署的管理员角色,而不是 Kiro 的最终用户。建议遵循最小权限原则,创建专用的管理员角色并仅附加上述权限,避免将其附加到宽泛的管理员策略上。
Q:SCIM 相关权限(q:ListScimAccessTokens 等)什么时候才需要?
A:只有在通过 SCIM 协议与外部 IdP(如 Okta、Microsoft Entra ID)同步用户和群组时才需要这些权限。如果仅使用 IAM Identity Center 内置用户存储手动管理用户,则不需要 SCIM 相关权限。