Konfiguration des Plugins CloudZero von Amazon Q Developer - Amazon Q Developer
VoraussetzungenGeheimnisse und ServicerollenKonfigurieren des CloudZero-PluginsKonfigurieren von BenutzerberechtigungenChatten mit dem CloudZero-Plugin

Konfiguration des Plugins CloudZero von Amazon Q Developer

CloudZero ist eine Plattform zur Cloud-Kostenoptimierung, die Kosten bewertet, um die Cloud-Effizienz zu verbessern. Wenn Sie Ihre AWS-Kosten mit CloudZero überwachen möchten, können Sie das Plugin CloudZero im Chat von Amazon Q Developer verwenden, um auf Kosteninformationen zuzugreifen, ohne die AWS Management Console zu verlassen.

Sie können das Plugin CloudZero verwenden, um Ihre AWS-Kosten zu verstehen, Einblicke in die Kostenoptimierung zu erhalten und die Abrechnung zu verfolgen. Nachdem Sie eine Antwort erhalten haben, können Sie weitere Fragen stellen, z. B. zum Status oder zu den Auswirkungen von CloudZero-Erkenntnissen auf die Kosten.

Zum Konfigurieren des Plugins geben Sie Authentifizierungsdaten von Ihrem CloudZero-Konto aus an, um eine Verbindung zwischen Amazon Q und CloudZero herzustellen. Nachdem Sie das Plugin konfiguriert haben, können Sie auf CloudZero-Daten zugreifen, indem Sie @cloudzero am Anfang Ihrer Frage im Amazon-Q-Chat hinzufügen.

Warnung

CloudZero-Benutzerberechtigungen werden vom CloudZero-Plugin in Amazon Q nicht erkannt. Wenn ein Administrator das CloudZero-Plugin in einem AWS-Konto konfiguriert, haben Benutzer mit Plugin-Berechtigungen in diesem Konto Zugriff auf alle Ressourcen im CloudZero-Konto, die durch das Plugin abgerufen werden können.

Sie können IAM-Richtlinien konfigurieren, um einzuschränken, auf welche Plugins Benutzer zugreifen können. Weitere Informationen finden Sie unter Konfigurieren von Benutzerberechtigungen.

Voraussetzungen

Berechtigungen hinzufügen

Zum Konfigurieren von Plugins sind die folgenden Administratorberechtigungen erforderlich:

Beziehen von Anmeldeinformationen

Notieren Sie sich zunächst folgende Informationen aus Ihrem CloudZero-Konto: Diese Authentifizierungsdaten werden als Geheimnis von AWS Secrets Manager gespeichert, wenn Sie das Plugin konfigurieren.

  • API-Schlüssel – ein Zugriffsschlüssel, mit dem Amazon Q die CloudZero-API aufrufen kann, um auf die Kosteninformationen und Rechnungsinformationen Ihres Unternehmens zuzugreifen. Sie finden den API-Schlüssel in Ihren CloudZero-Kontoeinstellungen. Weitere Informationen erhalten Sie unter Autorisierung in der CloudZero-Dokumentation.

Weitere Informationen zum Beziehen von Anmeldeinformationen für Ihr CloudZero-Konto finden Sie in der CloudZero-Dokumentation.

Geheimnisse und Servicerollen

Geheimnis von AWS Secrets Manager

Wenn Sie das Plugin konfigurieren, erstellt Amazon Q ein neues Geheimnis von AWS Secrets Manager, in dem Sie Ihre CloudZero-Authentifizierungsdaten speichern können. Alternativ können Sie ein vorhandenes Geheimnis verwenden, das Sie selbst erstellen.

Wenn Sie selbst ein Geheimnis erstellen, geben Sie den API-Schlüssel als Klartext ein:

your-api-key

Weitere Informationen zur Erstellung von Geheimnissen finden Sie unter Erstellen von Geheimnissen im Benutzerhandbuch für AWS Secrets Manager.

Servicerollen

Zum Konfigurieren des CloudZero-Plugins in Amazon Q Developer müssen Sie eine Servicerolle erstellen, die Amazon Q die Berechtigung erteilt, auf Ihr Secrets-Manager-Geheimnis zuzugreifen. Amazon Q übernimmt diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihre CloudZero-Anmeldeinformationen gespeichert sind.

Wenn Sie das Plugin in der AWS-Konsole konfigurieren, haben Sie die Möglichkeit, ein neues Geheimnis zu erstellen oder ein vorhandenes zu verwenden. Wenn Sie ein neues Geheimnis erstellen, wird die zugehörige Servicerolle für Sie generiert. Wenn Sie ein vorhandenes Geheimnis und eine bestehende Servicerolle verwenden, stellen Sie sicher, dass Ihre Servicerolle die folgenden Berechtigungen enthält und dass die folgende Vertrauensrichtlinie angehängt ist. Welche Servicerolle erforderlich ist, hängt von Ihrer geheimen Verschlüsselungsmethode ab.

Wenn Ihr Geheimnis mit einem von AWS verwalteten KMS-Schlüssel verschlüsselt wird, ist die folgende IAM-Servicerolle erforderlich:

JSON
Mehr anzeigenWeniger anzeigen

Wenn Ihr Geheimnis mit einem vom Kunden verwalteten AWS KMS-Schlüssel verschlüsselt wird, ist die folgende IAM-Servicerolle erforderlich:

JSON
Mehr anzeigenWeniger anzeigen

Damit Amazon Q die Servicerolle übernehmen darf, benötigt diese Rolle die folgende Vertrauensrichtlinie:

Anmerkung

Das Präfix codewhisperer ist ein älterer Name eines Service, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer – Zusammenfassung der Änderungen.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}
Mehr anzeigenWeniger anzeigen

Weitere Informationen zum Erstellen von Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im Benutzerhandbuch für AWS Identity and Access Management.

Konfigurieren des CloudZero-Plugins

Plugins konfigurieren Sie in der Konsole von Amazon Q Developer. Amazon Q verwendet die in AWS Secrets Manager gespeicherten Anmeldeinformationen, um Interaktionen mit CloudZero zu ermöglichen.

Konfigurieren Sie das CloudZero-Plugin wie folgt:

  1. Öffnen Sie die Konsole von Amazon Q Developer unter https://console.aws.amazon.com/amazonq/developer/home.

  2. Wählen Sie auf der Startseite der Konsole von Amazon Q Developer Einstellungen aus.

  3. Wählen Sie in der Navigationsleiste Plugins aus.

  4. Wählen Sie auf der Plugins-Seite das Pluszeichen im Bereich CloudZero aus. Die Plugin-Konfigurationsseite wird geöffnet.

  5. Wählen Sie unter AWS Secrets Manager konfigurieren entweder Neues Geheimnis erstellen oder Ein vorhandenes Geheimnis verwenden aus. Das Secrets-Manager-Geheimnis ist der Speicherort für Ihre CloudZero-Authentifizierungsdaten.

    Wenn Sie ein neues Geheimnis erstellen, geben Sie die folgenden Informationen ein:

    1. Geben Sie unter CloudZero-API-Schlüssel den API-Schlüssel für Ihre CloudZero-Organisation ein.

    2. Es wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihre CloudZero-Anmeldeinformationen gespeichert sind. Bearbeiten Sie die Servicerolle, die für Sie erstellt wurde, nicht.

    Wenn Sie ein vorhandenes Geheimnis verwenden, wählen Sie ein Geheimnis aus dem Dropdownmenü Geheimnis von AWS Secrets Manager aus. Das Geheimnis sollte die CloudZero-Authentifizierungsdaten enthalten, die im vorherigen Schritt angegeben wurden.

    Weitere Informationen zu den erforderlichen Anmeldeinformationen finden Sie unter Beziehen von Anmeldeinformationen.

  6. Wählen Sie unter AWS-IAM-Servicerolle konfigurieren entweder Neue Servicerolle erstellen oder Vorhandene Servicerolle verwenden aus.

    Anmerkung

    Wenn Sie in Schritt 6 die Option Neues Geheimnis erstellen ausgewählt haben, können Sie keine vorhandene Servicerolle verwenden. Eine neue Rolle wird für Sie erstellt.

    Wenn Sie eine neue Servicerolle erstellen, verwendet Amazon Q diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihre CloudZero-Anmeldeinformationen gespeichert sind. Bearbeiten Sie die Servicerolle, die für Sie erstellt wurde, nicht.

    Wenn Sie eine vorhandene Servicerolle verwenden, wählen Sie eine Rolle aus dem angezeigten Dropdown-Menü aus. Stellen Sie sicher, dass Ihre Servicerolle über die unter Servicerollen definierten Berechtigungen und Vertrauensrichtlinien verfügt.

  7. Wählen Sie Save configuration (Konfiguration speichern) aus.

  8. Sobald das CloudZero-Plugin-Fenster im Abschnitt Konfigurierte Plugins auf der Plugins-Seite angezeigt wird, haben Benutzer Zugriff auf das Plugin.

Wenn Sie die Anmeldeinformationen für ein Plugin aktualisieren möchten, müssen Sie Ihr aktuelles Plugin löschen und ein neues konfigurieren. Durch das Löschen eines Plugins werden alle vorherigen Spezifikationen entfernt. Jedes Mal, wenn Sie ein neues Plugin konfigurieren, wird ein neuer Plugin-ARN generiert.

Konfigurieren von Benutzerberechtigungen

Für die Verwendung von Plugins sind die folgenden Berechtigungen erforderlich:

  • Berechtigungen zum Chatten mit Amazon Q in der Konsole. Ein Beispiel für eine IAM-Richtlinie, die Berechtigungen zum Chatten erteilt, finden Sie unter Zulassen, dass Benutzer mit Amazon Q chatten.

  • Die q:UsePlugin-Berechtigung

Wenn Sie einer IAM-Identität Zugriff auf ein konfiguriertes CloudZero-Plugin gewähren, erhält die Identität Zugriff auf alle Ressourcen im CloudZero-Konto, die vom Plugin abgerufen werden können. CloudZero-Benutzerberechtigungen werden vom Plugin nicht erkannt. Wenn Sie den Zugriff auf ein Plugin kontrollieren möchten, geben Sie dazu den Plugin-ARN in einer IAM-Richtlinie an.

Jedes Mal, wenn Sie ein Plugin erstellen, löschen und neu konfigurieren, wird ihm ein neuer ARN zugewiesen. Wenn Sie einen Plugin-ARN in einer Richtlinie verwenden, muss dieser aktualisiert werden, wenn Sie Zugriff auf das neu konfigurierte Plugin gewähren möchten.

Den CloudZero-Plugin-ARN finden Sie, indem Sie die Seite Plugins in der Konsole von Amazon Q Developer aufrufen und das konfigurierte CloudZero-Plugin auswählen. Kopieren Sie auf der Plugin-Detailseite den Plugin-ARN. Sie können diesen ARN einer Richtlinie hinzufügen, um den Zugriff auf das CloudZero-Plugin zuzulassen oder zu verweigern.

Wenn Sie eine Richtlinie zur Kontrolle des Zugriffs auf CloudZero-Plugins erstellen, geben Sie CloudZero in der Richtlinie für den Plugin-Anbieter an.

Beispiele für IAM-Richtlinien, die den Plugin-Zugriff kontrollieren, finden Sie unter Zulassen, dass Benutzer mit Plugins von einem Anbieter chatten.

Chatten mit dem CloudZero-Plugin

Wenn Sie das CloudZero-Plugin verwenden möchten, geben Sie @cloudzero am Anfang einer Frage zu CloudZero oder zu Ihren AWS-Anwendungsüberwachungen und -fällen ein. Weitere Fragen oder Antworten auf Fragen von Amazon Q müssen ebenfalls @cloudzero enthalten.

Im Folgenden finden Sie einige Anwendungsfälle und zugehörige Fragen, die Sie stellen können, um das CloudZero-Plugin von Amazon Q optimal zu nutzen:

  • Mehr über die Verwendung von CloudZero mit AWS erfahren – Fragen Sie nach, wie CloudZero-Funktionen arbeiten. Amazon Q fragt Sie möglicherweise nach weiteren Informationen darüber, was Sie tun möchten, um die beste Antwort zu finden.

    • @cloudzero how do I use CloudZero?

    • @cloudzero how do I get started with CloudZero?

  • Kosteninformationen auflisten – Holen Sie sich eine Liste mit Kosteninformationen oder erfahren Sie mehr über einen bestimmten Einblick.

    • @cloudzero list my top cost insights

    • @cloudzero tell me more about insight <insight ID>

  • Rechnungsinformationen abrufen – Fragen Sie das CloudZero-Plugin von Amazon Q nach Ihren AWS-Rechnungsinformationen.

    • @cloudzero what were my AWS costs for December 2024?