Sicherheitsüberlegungen und bewährte Methoden - Amazon Q Developer
Sicherheitsrisiken verstehenAllgemeine bewährte SicherheitsmethodenSicheres Verwenden von /tools trust-all

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsüberlegungen und bewährte Methoden

Amazon Q bietet leistungsstarke Funktionen, mit denen Sie Ihr System und Ihre AWS-Ressourcen modifizieren können. Wenn Sie die Auswirkungen auf die Sicherheit verstehen und bewährte Methoden befolgen, können Sie diese Funktionen sicher nutzen.

Sicherheitsrisiken verstehen

Beachten Sie bei der Verwendung von Amazon Q die folgenden potenziellen Sicherheitsrisiken:

  • Unbeabsichtigte Systemänderungen: Amazon Q interpretiert Ihre Anfragen möglicherweise auf unerwartete Weise, was zu unbeabsichtigten Änderungen führt

  • Änderungen an AWS-Ressourcen: Ressourcen können erstellt, geändert oder gelöscht werden, was sich möglicherweise auf Produktionsumgebungen auswirkt oder Kosten verursacht

  • Datenverlust: Befehle, die Dateien löschen oder überschreiben, können zu Datenverlust führen

  • Sicherheitslücken: Befehle können die Systemsicherheit gefährden, wenn sie nicht ordnungsgemäß überprüft werden

Diese Risiken werden erheblich erhöht, wenn Sie /tools trust-all oder verwenden/acceptall, das Bestätigungsaufforderungen umgeht.

Zu den spezifischen Beispielen für Risiken gehören:

  • Eine Aufforderung zur „Bereinigung alter Dateien“ könnte wichtige Konfigurationsdateien löschen

  • Eine Anfrage zur „Optimierung meiner EC2 Instanzen“ kann dazu führen, dass laufende Instanzen beendet werden

  • Eine Anfrage zur „Behebung von Sicherheitsproblemen“ könnte Berechtigungen dahingehend ändern, dass sensible Daten offengelegt werden

Warnung

AWS empfiehlt, diesen /acceptall Modus /tools trust-all nicht in Produktionsumgebungen oder bei der Arbeit mit vertraulichen Daten oder Ressourcen zu verwenden. Sie sind für alle Aktionen verantwortlich, die Amazon Q ausführt, wenn diese Modi aktiviert sind.

Allgemeine bewährte Sicherheitsmethoden

Wenn Sie Amazon Q in einer beliebigen Umgebung verwenden, insbesondere in Umgebungen mit vertraulichen Dateien, privaten Schlüsseln, Token oder anderen vertraulichen Informationen, sollten Sie die Implementierung dieser Sicherheitsmaßnahmen in Betracht ziehen:

Beschränkung des Dateizugriffs

Standardmäßig kann Amazon Q Dateien lesen, ohne jedes Mal um Erlaubnis zu fragen (fs_readist standardmäßig vertrauenswürdig). In sensiblen Umgebungen können Sie dieses Verhalten einschränken:

Amazon Q> /tools untrust fs_read

Mit dieser Einstellung bittet Amazon Q vor dem Lesen einer Datei um Ihre ausdrückliche Zustimmung. Dadurch haben Sie eine genaue Kontrolle darüber, auf welche Dateien Amazon Q während Ihrer Sitzung zugreifen kann.

Sie können diese Einstellung auch dauerhaft machen, indem Sie sie zu Ihrem Shell-Startskript hinzufügen:

echo 'alias q="q --untrust-fs-read"' >> ~/.bashrc

Dadurch wird sichergestellt, dass jede neue Amazon Q-Sitzung mit „fs_readNicht vertrauenswürdig“ beginnt und eine ausdrückliche Genehmigung für den Dateizugriff erforderlich ist.

Zusätzliche Sicherheitsmaßnahmen

Für Umgebungen mit hochsensiblen Informationen sollten Sie die folgenden zusätzlichen Maßnahmen in Betracht ziehen:

  • Verwenden Sie Amazon Q in einer speziellen Entwicklungsumgebung, die keine sensiblen Anmeldeinformationen oder Daten enthält

  • Speichern Sie vertrauliche Dateien außerhalb Ihrer Projektverzeichnisse oder an Orten mit eingeschränkten Zugriffsrechten

  • Verwenden Sie Umgebungsvariablen für sensible Werte, anstatt sie in Dateien fest zu codieren

  • Erwägen Sie /tools untrust use_aws die Verwendung, um vor AWS-API-Aufrufen eine ausdrückliche Genehmigung anzufordern

  • Verwenden Sie Projektregeln, um Sicherheitsrichtlinien und Einschränkungen zu definieren (sieheProjektregeln verwenden)

Sicheres Verwenden von /tools trust-all

Wenn Sie /tools trustall oder /acceptall für bestimmte Workflows verwenden müssen, befolgen Sie diese Sicherheitsvorkehrungen, um Risiken zu minimieren:

  • Nur in Entwicklungs- oder Testumgebungen verwenden, niemals in der Produktion

  • /tools trust-allNur für bestimmte Aufgaben aktivieren und dann sofort deaktivieren, /tools reset um zu den Standardberechtigungen zurückzukehren

  • Erstellen Sie vor der Aktivierung eine Sicherungskopie wichtiger Daten /tools trust-all

  • AWS-Anmeldeinformationen mit minimalen Berechtigungen verwenden, wenn /tools trust-all aktiviert

  • Überwachen Sie sorgfältig alle Aktionen, die Amazon Q durchführt, während /tools trust-all es aktiviert ist.

Um nach der Verwendung zu den Standardberechtigungseinstellungen zurückzukehren/tools trust-all, verwenden Sie den Reset-Befehl:

Amazon Q> /tools reset

Dadurch werden alle Tools auf ihre Standardberechtigungsstufen zurückgesetzt, wobei standardmäßig nur fs_read vertrauenswürdig gilt.