Como soluciono os erros que recebo quando configuro o Amazon Q Business com o IAM Identity Center?

4 minuto de leitura

Quando tento configurar o Amazon Q Business com o Centro de Identidade do AWS IAM, recebo erros relacionados a permissões, autenticação de usuários ou sessões com reconhecimento de identidade. Quero solucionar esses problemas.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Os SCPs negam explicitamente a ação

As políticas de controle de serviços (SCPs) definem o máximo de permissões disponíveis para contas da AWS dentro do AWS Organizations. Se um SCP negar a ação, você poderá receber o seguinte erro:

“An error occurred during creation, but we do not know the cause.”

Para modificar um SCP, use uma conta gerencial. As contas gerenciais restringem as contas de membros, e as contas de membros não podem modificar os SCPs. Se você usa uma conta de membro, entre em contato com o administrador da conta gerencial.

Se você usa uma conta gerencial, conclua as seguintes etapas:

Abra o console de Organizações.
No painel de navegação, escolha Políticas de controle de serviços.
Analise a lista de SCPs para identificar se um SCP nega explicitamente permissões para ações do Amazon Q Business. Ou, para verificar eventos com permissão negada, use os logs do AWS CloudTrail.
Se um SCP estiver negando permissões, atualize o SCP.

Ou use a federação de identidades do AWS Identity and Access Management (AWS IAM) por meio de um provedor de identidades (IdP) externo para configurar a autenticação para o Amazon Q Business. Quando você configura o Amazon Q Business por meio de um IdP externo, as restrições de SCP não se aplicam porque os usuários se autenticam no IdP.

Para obter mais informações, consulte Criação de uma aplicação Amazon Q Business usando o federação IAM por meio do Okta.

A sincronização do SCIM cria usuários duplicados

O System for Cross-domain Identity Management (SCIM) preenche os usuários no IAM Identity Center a partir do IdP. Se você usar a sincronização SCIM para configurar o IAM Identity Center a partir de um IdP externo, como o Okta, poderá receber o seguinte erro:

“User <> is not authorized to make this request because there is already an active user for this userId.”

Se você criar manualmente um usuário antes de ativar o SCIM, uma entrada duplicada será detectada. Para resolver esse problema, exclua o usuário existente, ative o SCIM e adicione novamente o usuário.

Para verificar se o usuário existe no Amazon Q Business, execute o comando get-user da AWS CLI:

aws qbusiness get-user --application-id  example-app-id --user-id example-user-id

Observação: substitua example-app-id pelo ID da aplicação e example-user-id pelo ID de usuário. É possível encontrar o ID da sua aplicação no console Amazon Q Business em Aplicações.

Para excluir o usuário, execute o comando delete-user:

aws qbusiness delete-user --application-id example-app-id --user-id example-user-id

Observação: substitua example-app-id pelo ID da aplicação e example-user-id pelo ID de usuário.

Para confirmar que o usuário foi excluído, execute o comando get-user. Em seguida, ative a sincronização do SCIM.

Para verificar se o usuário foi adicionado ao Amazon Q Business, conclua as seguintes etapas:

Abra o console Amazon Q Business.
No painel de navegação, escolha Aplicações.
Selecione sua aplicação.
Em Gerenciar acesso do usuário, localize o usuário.

Confirme se a sincronização do SCIM está configurada corretamente para mapear usuários para o IAM Identity Center.

Faltam configurações de sessão com reconhecimento de identidade

Sessões com reconhecimento de identidade são necessárias para que o Amazon Q Business autentique usuários, chame APIs e realize operações específicas do usuário. Se as sessões com reconhecimento de identidade não estiverem ativadas na conta gerencial da sua organização, você poderá receber o seguinte erro:

“Contact your administrator in order to enable Amazon Q in the AWS Console. You must ensure identity-aware sessions are enabled in the AWS Orgs Management account.”

Para ativar sessões com reconhecimento de identidade, conclua as seguintes etapas:

Ative uma instância organizacional do IAM Identity Center.
Observação: Se você usa uma configuração do IAM Identity Center entre regiões da AWS, certifique-se de que a instância da sua organização ofereça suporte a conexões entre regiões.
Ative sessões com reconhecimento de identidade.
Confirme a disponibilidade da sua Região para o Amazon Q Business.

Informações relacionadas

Centro de Identidade do AWS IAM

Instâncias de organização e conta do IAM Identity Center

Tópicos: Business Applications Machine Learning & AI
Tags: Amazon Q Business
Idioma: Português

AWS OFICIALAtualizada há um ano

Sem comentários

Conteúdo relevante

Cobrança no Amazon Q
Nicolas M
feita há 10 meses
Amazon Q pro, usando o ID builder free
Resposta aceita
Yan Lemke de Castro
feita há 2 meses
Bug na exclusão de usuário IAM
Leonardo Akio
feita há um ano
AWS Builder ID login fails with “service error” during AWS Q CLI authentication
ELIAS
feita há 4 meses
Erro em restauração de banco do S3 para o RDS SQL Server entre contas - "Access Denied" em Restore Cross-Account
Resposta aceita
Rafael Pinheiro
feita há 8 meses
Por que recebo o erro “Permissions needed. Erro 403 Forbidden” quando eu acesso minha experiência na web do Amazon Q Business?
AWS OFICIALAtualizada há um ano
Como soluciono o problema “This application is not set up correctly. Please contact your admin for help.” no Amazon Q Business?
AWS OFICIALAtualizada há um ano
Como soluciono o erro “Server stopped responding” que recebo quando uso o Amazon Q Business?
AWS OFICIALAtualizada há um ano
Por que a minha Experiência Web do Amazon Q Business me retorna a seguinte mensagem de erro: “Sorry, I could not find relevant information to complete your request”?
AWS OFICIALAtualizada há um ano
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 10 meses