Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Benutzerberechtigungen
Die folgenden Richtlinien ermöglichen Benutzern den Zugriff auf Funktionen von Amazon Q Developer in AWS Apps und Websites, einschließlich der AWS Management Console AWS Console Mobile Application, und AWS Documentation Website.
Richtlinien, die den Administratorzugriff auf Amazon Q Developer ermöglichen, finden Sie unterAdministratorberechtigungen.
Anmerkung
Benutzer, die in der IDE oder über die Befehlszeile auf Amazon Q zugreifen, benötigen keine IAM-Berechtigungen.
Erlauben Sie Benutzern den Zugriff auf Amazon Q mit einem Amazon Q Developer Pro-Abonnement
Die folgende Beispielrichtlinie gewährt die Erlaubnis, Amazon Q mit einem Amazon Q Developer Pro-Abonnement zu verwenden. Ohne diese Berechtigungen können Benutzer nur auf das kostenlose Kontingent von Amazon Q zugreifen. Um mit Amazon Q zu chatten oder andere Amazon Q-Funktionen zu nutzen, benötigen Benutzer zusätzliche Berechtigungen, wie sie beispielsweise in den Beispielrichtlinien in diesem Abschnitt gewährt werden.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetIdentity", "Effect": "Allow", "Action": [ "q:GetIdentityMetaData" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" } ] }
Amazon Q Zugriff auf vom Kunden verwaltete Schlüssel gewähren
Die folgende Beispielrichtlinie gewährt Benutzern Berechtigungen für den Zugriff auf Funktionen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurden, indem Amazon Q Zugriff auf den Schlüssel gewährt wird. Diese Richtlinie ist für die Verwendung von Amazon Q erforderlich, wenn ein Administrator einen vom Kunden verwalteten Schlüssel für die Verschlüsselung eingerichtet hat.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "QKMSDecryptGenerateDataKeyPermissions", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncryptFrom", "kms:ReEncryptTo" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "q.{{region}}.amazonaws.com" ] } } } ] }
Benutzern erlauben, mit Amazon Q zu chatten
Die folgende Beispielrichtlinie gewährt Berechtigungen zum Chatten mit Amazon Q in der Konsole.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation" ], "Resource": "*" } ] }
Erlauben Sie Benutzern die Verwendung von Amazon Q CLI mit AWS CloudShell
Die folgende Beispielrichtlinie gewährt Berechtigungen zur Verwendung von Amazon Q CLI mit AWS CloudShell.
Anmerkung
Das codewhisperer Präfix ist ein älterer Name eines Dienstes, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer — Zusammenfassung der Änderungen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codewhisperer:GenerateRecommendations", "codewhisperer:ListCustomizations", ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage" ], "Resource": "*" } ] }
Erlauben Sie Benutzern, Transformationen in der Befehlszeile auszuführen
Die folgende Beispielrichtlinie gewährt Berechtigungen zum Transformieren von Code mit dem Amazon Q-Befehlszeilentool für Transformationen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "qdeveloper:StartAgentSession", "qdeveloper:ImportArtifact", "qdeveloper:ExportArtifact", "qdeveloper:TransformCode" ], "Resource": "*" } ] }
Erlauben Sie Benutzern, Konsolenfehler mit Amazon Q zu diagnostizieren
Die folgende Beispielrichtlinie gewährt Berechtigungen zur Diagnose von Konsolenfehlern mit Amazon Q.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQTroubleshooting", "Effect": "Allow", "Action": [ "q:StartTroubleshootingAnalysis", "q:GetTroubleshootingResults", "q:StartTroubleshootingResolutionExplanation", "q:UpdateTroubleshootingCommandResult", "q:PassRequest", "cloudformation:GetResource" ], "Resource": "*" } ] }
Erlauben Sie Benutzern, mit Amazon Q Code aus CLI-Befehlen zu generieren
Die folgende Beispielrichtlinie gewährt Berechtigungen zum Generieren von Code aus aufgezeichneten CLI-Befehlen mit Amazon Q, wodurch die Verwendung der Console-to-Code Funktion ermöglicht wird.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConsoleToCode", "Effect": "Allow", "Action": "q:GenerateCodeFromCommands", "Resource": "*" } ] }
Erlauben Sie Benutzern, mit Amazon Q über Ressourcen zu chatten
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q über Ressourcen zu chatten, und ermöglicht Amazon Q, Ressourceninformationen in Ihrem Namen abzurufen. Amazon Q ist nur berechtigt, auf Ressourcen zuzugreifen, für die Ihre IAM-Identität berechtigt ist.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" } ] }
Erlauben Sie Amazon Q, in Ihrem Namen Aktionen im Chat durchzuführen
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q zu chatten, und ermöglicht Amazon Q, Aktionen in Ihrem Namen durchzuführen. Amazon Q ist nur berechtigt, Aktionen auszuführen, zu deren Ausführung Ihre IAM-Identität berechtigt ist.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" } ] }
Ermöglichen Sie Amazon Q den Zugriff auf Kostendaten und geben Sie Empfehlungen zur Kostenoptimierung
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q über Ihre Kosten zu chatten, und ermöglicht Amazon Q, auf Ihre Kostendaten zuzugreifen und Kostenanalysen und Optimierungsempfehlungen zu geben. Diese Richtlinie umfasst die entsprechenden Berechtigungen in AWS Cost Explorer AWS Cost Optimization Hub, und AWS Compute Optimizer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostAnalysis", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues" ], "Resource": "*" }, { "Sid": "AllowCostOptimization", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation" ], "Resource": "*" } ] }
Amazon Q die Erlaubnis verweigern, bestimmte Aktionen in Ihrem Namen durchzuführen
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q zu chatten, und ermöglicht Amazon Q, in Ihrem Namen alle Aktionen durchzuführen, zu deren Ausführung Ihre IAM-Identität berechtigt ist, mit Ausnahme von EC2 Amazon-Aktionen. Diese Richtlinie verwendet den aws:CalledViaglobalen Bedingungsschlüssel, um anzugeben, dass EC2 Amazon-Aktionen nur verweigert werden, wenn Amazon Q sie aufruft.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["q.amazonaws.com"] } } } ] }
Erlauben Sie Amazon Q die Erlaubnis, bestimmte Aktionen in Ihrem Namen durchzuführen
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q zu chatten, und ermöglicht Amazon Q, in Ihrem Namen alle Aktionen durchzuführen, zu deren Ausführung Ihre IAM-Identität berechtigt ist, mit Ausnahme von EC2 Amazon-Aktionen. Diese Richtlinie gewährt Ihrer IAM-Identität die Erlaubnis, jede EC2 Amazon-Aktion durchzuführen, erlaubt Amazon Q jedoch nur, die ec2:describeInstances Aktion durchzuführen. Diese Richtlinie verwendet den aws:CalledViaglobalen Bedingungsschlüssel, um anzugeben, dass Amazon Q nur Anrufe tätigen ec2:describeInstances darf und keine anderen EC2 Amazon-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:CalledVia": ["q.amazonaws.com"] } } }, { "Effect": "Allow", "Action": [ "ec2:describeInstances" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["q.amazonaws.com"] } } } ] }
Erlauben Sie Amazon Q die Erlaubnis, in Ihrem Namen Aktionen in bestimmten Regionen durchzuführen
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q zu chatten, und ermöglicht Amazon Q, nur in die us-west-2 Regionen us-east-1 und zu telefonieren, wenn Aktionen in Ihrem Namen ausgeführt werden. Amazon Q kann keine Anrufe in eine andere Region tätigen. Weitere Informationen darüber, in welche Regionen Sie telefonieren können, finden Sie unter aws: RequestedRegion im AWS Identity and Access Management Benutzerhandbuch.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-1", "us-west-2" ] } } } ] }
Amazon Q die Erlaubnis verweigern, Aktionen in Ihrem Namen durchzuführen
Die folgende Beispielrichtlinie verhindert, dass Amazon Q Aktionen in Ihrem Namen durchführt.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQPassRequest", "Effect": "Deny", "Action": [ "q:PassRequest" ], "Resource": "*" } ] }
Erlauben Sie Benutzern, mit Plugins von einem Anbieter zu chatten
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit jedem Plugin eines bestimmten Anbieters zu chatten, das ein Administrator konfiguriert. Dies wird durch den Plugin-ARN mit dem Namen des Plugin-Anbieters und einem Platzhalterzeichen () * angegeben. Wenn das Plugin gelöscht und neu konfiguriert wird, hat ein Benutzer mit diesen Berechtigungen weiterhin Zugriff auf das neu konfigurierte Plugin. Um diese Richtlinie zu verwenden, ersetzen Sie in der ARN im Resource Feld Folgendes:
-
AWS-region— Der AWS-Region Ort, an dem das Plugin erstellt wurde. -
AWS-account-ID— Die AWS Konto-ID des Kontos, in dem Ihr Plugin konfiguriert ist. -
plugin-provider— Der Name des Plugin-Anbieters, für den Sie Zugriff gewähren möchten, z. B.CloudZeroDatadog, oderWiz. Das Feld für den Plugin-Anbieter unterscheidet Groß- und Kleinschreibung.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation" ], "Resource": "*" }, { "Sid": "AllowAmazonQPluginAccess", "Effect": "Allow", "Action": [ "q:UsePlugin" ], "Resource": "arn:aws:qdeveloper:AWS-region:AWS-account-ID:plugin/plugin-provider/*" } ] }
Erlauben Sie Benutzern, mit einem bestimmten Plugin zu chatten
Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit einem bestimmten Plugin zu chatten, das durch den Plugin-ARN spezifiziert wird. Wenn das Plugin gelöscht und neu konfiguriert wird, hat ein Benutzer keinen Zugriff auf das neue Plugin, es sei denn, der Plugin-ARN wird in dieser Richtlinie aktualisiert. Um diese Richtlinie zu verwenden, ersetzen Sie in der ARN im Resource Feld Folgendes:
-
AWS-region— Der AWS-Region Ort, an dem das Plugin erstellt wurde. -
AWS-account-ID— Die AWS Konto-ID des Kontos, in dem Ihr Plugin konfiguriert ist. -
plugin-provider— Der Name des Plugin-Anbieters, für den Sie Zugriff gewähren möchten, z. B.CloudZeroDatadog, oderWiz. Das Feld für den Plugin-Anbieter unterscheidet Groß- und Kleinschreibung. -
plugin-ARN— Der ARN des Plugins, auf das Sie Zugriff gewähren möchten.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation" ], "Resource": "*" }, { "Sid": "AllowAmazonQPluginAccess", "Effect": "Allow", "Action": [ "q:UsePlugin" ], "Resource": "arn:aws:qdeveloper:AWS-region:AWS-account-ID:plugin/plugin-provider/plugin-ARN" } ] }
Zugriff auf Amazon Q verweigern
Die folgende Beispielrichtlinie verweigert alle Berechtigungen zur Nutzung von Amazon Q.
Anmerkung
Wenn Sie den Zugriff auf Amazon Q verweigern, werden das Amazon Q-Symbol und das Chat-Panel weiterhin in der AWS Konsole, auf der AWS Website, auf den AWS Dokumentationsseiten oder angezeigt AWS Console Mobile Application.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQFullAccess", "Effect": "Deny", "Action": [ "q:*" ], "Resource": "*" } ] }
Erlauben Sie Benutzern, ihre Berechtigungen einzusehen
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI AWS OR-API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
