Benutzerberechtigungen - Amazon Q Developer
Zulassen, dass Benutzer mit einem Abonnement von Amazon Q Developer Pro auf Amazon Q zugreifenGewähren des Amazon-Q-Zugriffs auf vom Kunden verwaltete SchlüsselZulassen, dass Benutzer mit Amazon Q chattenZulassen, dass Benutzer die Amazon Q CLI mit AWS CloudShell verwendenZulassen, dass Benutzer Transformationen in der Befehlszeile ausführenZulassen, dass Benutzer Konsolenfehler mit Amazon Q diagnostizierenZulassen, dass Benutzer mit Amazon Q Code aus CLI-Befehlen generierenZulassen, dass Benutzer mit Amazon Q über Ressourcen chattenZulassen, dass Amazon Q Aktionen in Ihrem Namen im Chat ausführtZulassen, dass Amazon Q auf Kostendaten zugreift und Empfehlungen zur Kostenoptimierung bietetVerweigern der Berechtigung für Amazon Q, bestimmte Aktionen in Ihrem Namen durchzuführenErteilen der Berechtigung für Amazon Q, bestimmte Aktionen in Ihrem Namen durchzuführenErteilen der Berechtigung für Amazon Q, in bestimmten Regionen Aktionen in Ihrem Namen durchzuführenVerweigern der Berechtigung für Amazon Q, Aktionen in Ihrem Namen durchzuführenZulassen, dass Benutzer mit Plugins von einem Anbieter chattenZulassen, dass Benutzer mit einem bestimmten Plugin chattenVerweigern des Zugriffs auf Amazon QGewähren der Berechtigung zur Anzeige der eigenen Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benutzerberechtigungen

Die folgenden Richtlinien ermöglichen Benutzern den Zugriff auf Funktionen von Amazon Q Developer in AWS Apps und Websites, einschließlich der AWS-Managementkonsole AWS Console Mobile Application, und AWS Documentation Website.

Richtlinien, die den Administratorzugriff auf Amazon Q Developer ermöglichen, finden Sie unter Administratorberechtigungen.

Anmerkung

Benutzer, die in der IDE auf Amazon Q oder über die Befehlszeile auf Amazon Q zugreifen, benötigen keine IAM-Berechtigungen.

Zulassen, dass Benutzer mit einem Abonnement von Amazon Q Developer Pro auf Amazon Q zugreifen

Die folgende Beispielrichtlinie gewährt die Berechtigung, Amazon Q mit einem Abonnement von Amazon Q Developer Pro zu verwenden. Ohne diese Berechtigungen können Benutzer nur auf das kostenlose Kontingent von Amazon Q zugreifen. Zum Chatten mit Amazon Q oder zum Verwenden anderer Amazon-Q-Funktionen benötigen Benutzer zusätzliche Berechtigungen, wie sie beispielsweise in den Beispielrichtlinien in diesem Abschnitt gewährt werden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowGetIdentity",
            "Effect": "Allow",
            "Action": [
                "q:GetIdentityMetaData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

Gewähren des Amazon-Q-Zugriffs auf vom Kunden verwaltete Schlüssel

Die folgende Beispielrichtlinie gewährt Benutzern Berechtigungen für den Zugriff auf Funktionen, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurden, indem Amazon Q Zugriff auf den Schlüssel erteilt wird. Diese Richtlinie ist für die Verwendung von Amazon Q erforderlich, wenn ein Administrator einen vom Kunden verwalteten Schlüssel für die Verschlüsselung eingerichtet hat.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "QKMSDecryptGenerateDataKeyPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo"
            ],
            "Resource": [
            "arn:aws:kms:us-east-1:111122223333:key/key_id"
            ],
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                    "q.us-east-1.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Zulassen, dass Benutzer mit Amazon Q chatten

Die folgende Beispielrichtlinie gewährt Berechtigungen zum Chatten mit Amazon Q in der Konsole.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAmazonQConversationAccess",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation"
      ],
      "Resource": "*"
    }
  ]
}

Zulassen, dass Benutzer die Amazon Q CLI mit AWS CloudShell verwenden

Die folgende Beispielrichtlinie gewährt Berechtigungen zur Verwendung von Amazon Q CLI mit AWS CloudShell.

Anmerkung

Das Präfix codewhisperer ist ein älterer Name eines Service, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer – Zusammenfassung der Änderungen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "codewhisperer:GenerateRecommendations",
                "codewhisperer:ListCustomizations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage"
            ],
            "Resource": "*"
        }
    ]
}

Zulassen, dass Benutzer Transformationen in der Befehlszeile ausführen

Die folgende Beispielrichtlinie gewährt Berechtigungen zum Transformieren von Code mit dem Amazon Q-Befehlszeilentool für Transformationen. Diese Richtlinie hat keinen Einfluss auf den Zugriff auf Amazon Q über die Befehlszeile.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "qdeveloper:StartAgentSession",
              "qdeveloper:ImportArtifact",
              "qdeveloper:ExportArtifact",
              "qdeveloper:TransformCode"
            ],
            "Resource": "*"
        }
    ]
}

Zulassen, dass Benutzer Konsolenfehler mit Amazon Q diagnostizieren

Die folgende Beispielrichtlinie gewährt Berechtigungen zur Diagnose von Konsolenfehlern mit Amazon Q.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAmazonQTroubleshooting",
      "Effect": "Allow",
      "Action": [
        "q:StartTroubleshootingAnalysis",
        "q:GetTroubleshootingResults",
        "q:StartTroubleshootingResolutionExplanation",
        "q:UpdateTroubleshootingCommandResult",
        "q:PassRequest",
        "cloudformation:GetResource"
      ],
      "Resource": "*"
    }
  ]
}

Zulassen, dass Benutzer mit Amazon Q Code aus CLI-Befehlen generieren

Die folgende Beispielrichtlinie gewährt Berechtigungen zum Generieren von Code aus aufgezeichneten CLI-Befehlen mit Amazon Q, wodurch die Verwendung der Console-to-Code Funktion ermöglicht wird.

JSON
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
       {
         "Sid": "AllowAmazonQConsoleToCode",
         "Effect": "Allow",
         "Action": "q:GenerateCodeFromCommands",
         "Resource": "*"
       }
   ]
}

Zulassen, dass Benutzer mit Amazon Q über Ressourcen chatten

Die folgende Beispielrichtlinie gewährt die Berechtigung, mit Amazon Q über Ressourcen zu chatten, und ermöglicht Amazon Q, Ressourceninformationen in Ihrem Namen abzurufen. Amazon Q ist nur berechtigt, auf Ressourcen zuzugreifen, für die Ihre IAM-Identität Berechtigungen besitzt.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAmazonQPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
         "cloudformation:GetResource",
         "cloudformation:ListResources"
      ],
      "Resource": "*"
    }
  ]
}

Zulassen, dass Amazon Q Aktionen in Ihrem Namen im Chat ausführt

Die folgende Beispielrichtlinie gewährt die Berechtigung, mit Amazon Q zu chatten, und ermöglicht Amazon Q, Aktionen in Ihrem Namen durchzuführen. Amazon Q ist nur berechtigt, Aktionen durchzuführen, für die Ihre IAM-Identität entsprechende Berechtigungen besitzt.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAmazonQPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation",
        "q:PassRequest"
      ],
      "Resource": "*"
    }
  ]
}

Zulassen, dass Amazon Q auf Kostendaten zugreift und Empfehlungen zur Kostenoptimierung bietet

Die folgende Beispielrichtlinie gewährt die Berechtigung, mit Amazon Q über Ihre Kosten zu chatten, und ermöglicht Amazon Q, auf Ihre Kostendaten zuzugreifen und Kostenanalysen sowie Optimierungsempfehlungen zu geben. Diese Richtlinie umfasst die entsprechenden Berechtigungen in AWS Cost Explorer AWS Cost Optimization Hub, und AWS Compute Optimizer.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAmazonQChatAndPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowCostAnalysis",
      "Effect": "Allow",
      "Action": [
        "ce:GetCostAndUsage",
        "ce:GetCostForecast",
        "ce:GetTags",
        "ce:GetCostCategories",
        "ce:GetDimensionValues"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowCostOptimization",
      "Effect": "Allow",
      "Action": [
        "cost-optimization-hub:GetRecommendation",
        "cost-optimization-hub:ListRecommendations",
        "cost-optimization-hub:ListRecommendationSummaries",
        "compute-optimizer:GetAutoScalingGroupRecommendations",
        "compute-optimizer:GetEBSVolumeRecommendations",
        "compute-optimizer:GetEC2InstanceRecommendations",
        "compute-optimizer:GetECSServiceRecommendations",
        "compute-optimizer:GetRDSDatabaseRecommendations",
        "compute-optimizer:GetLambdaFunctionRecommendations",
        "compute-optimizer:GetIdleRecommendations",
        "compute-optimizer:GetEffectiveRecommendationPreferences",
        "ce:GetReservationPurchaseRecommendation",
        "ce:GetSavingsPlansPurchaseRecommendation"
      ],
      "Resource": "*"
    }
  ]
}

Verweigern der Berechtigung für Amazon Q, bestimmte Aktionen in Ihrem Namen durchzuführen

Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q zu chatten, und ermöglicht Amazon Q, in Ihrem Namen alle Aktionen durchzuführen, zu deren Ausführung Ihre IAM-Identität berechtigt ist, mit Ausnahme von EC2 Amazon-Aktionen. Diese Richtlinie verwendet den aws:CalledViaglobalen Bedingungsschlüssel, um anzugeben, dass EC2 Amazon-Aktionen nur verweigert werden, wenn Amazon Q sie aufruft.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": "*",
      "Condition": {
            "ForAnyValue:StringEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    }
  ]
}

Erteilen der Berechtigung für Amazon Q, bestimmte Aktionen in Ihrem Namen durchzuführen

Die folgende Beispielrichtlinie gewährt die Erlaubnis, mit Amazon Q zu chatten, und ermöglicht Amazon Q, in Ihrem Namen alle Aktionen durchzuführen, zu deren Ausführung Ihre IAM-Identität berechtigt ist, mit Ausnahme von EC2 Amazon-Aktionen. Diese Richtlinie gewährt Ihrer IAM-Identität die Erlaubnis, jede EC2 Amazon-Aktion durchzuführen, erlaubt Amazon Q jedoch nur, die ec2:describeInstances Aktion durchzuführen. Diese Richtlinie verwendet den aws:CalledViaglobalen Bedingungsschlüssel, um anzugeben, dass Amazon Q nur Anrufe tätigen ec2:describeInstances darf und keine anderen EC2 Amazon-Aktionen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": "*",
      "Condition": {
            "ForAnyValue:StringNotEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:describeInstances"
      ],
      "Resource": "*",
       "Condition": {
            "ForAnyValue:StringEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    }
  ]
}

Erteilen der Berechtigung für Amazon Q, in bestimmten Regionen Aktionen in Ihrem Namen durchzuführen

Die folgende Beispielrichtlinie gewährt die Berechtigung, mit Amazon Q zu chatten, und ermöglicht Amazon Q, nur Aufrufe für die Regionen us-east-1 und us-west-2 zu tätigen, wenn Aktionen in Ihrem Namen durchgeführt werden. Amazon Q kann keine Aufrufe für eine andere Region tätigen. Weitere Informationen darüber, in welche Regionen Sie telefonieren können, finden Sie unter aws: RequestedRegion im AWS Identity and Access Management Benutzerhandbuch.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:UpdateConversation",
        "q:DeleteConversation",
        "q:PassRequest"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": [ 
                "us-east-1", 
                "us-west-2"
            ] 
        } 
      }
    }
  ]
}

Verweigern der Berechtigung für Amazon Q, Aktionen in Ihrem Namen durchzuführen

Die folgende Beispielrichtlinie verhindert, dass Amazon Q Aktionen in Ihrem Namen durchführt.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQPassRequest",
      "Effect": "Deny",
      "Action": [
        "q:PassRequest"
      ],
      "Resource": "*"
    }
  ]
}

Zulassen, dass Benutzer mit Plugins von einem Anbieter chatten

Die folgende Beispielrichtlinie gewährt die Berechtigung, mit Plugins von einem bestimmten Anbieter zu chatten, das von einem Administrator konfiguriert und durch den Plugin-ARN mit dem Namen des Plugin-Anbieters und einem Platzhalterzeichen (*) angegeben wird. Wenn das Plugin gelöscht und neu konfiguriert wird, hat ein Benutzer mit diesen Berechtigungen weiterhin Zugriff auf das neu konfigurierte Plugin. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie Folgendes im ARN im Feld Resource:

  • AWS-region— Der AWS-Region Ort, an dem das Plugin erstellt wurde.

  • AWS-account-ID— Die AWS Konto-ID des Kontos, in dem Ihr Plugin konfiguriert ist.

  • plugin-provider— Der Name des Plugin-Anbieters, für den Sie Zugriff gewähren möchten, z. B. CloudZeroDatadog, oderWiz. Im Feld „Plugin-Anbieter“ muss die Groß- und Kleinschreibung beachtet werden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAmazonQConversationAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:UpdateConversation",
                "q:DeleteConversation"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowAmazonQPluginAccess",
            "Effect": "Allow",
            "Action": [
                "q:UsePlugin"
            ],
            "Resource": "arn:aws:qdeveloper:us-east-1:111122223333:plugin/plugin-provider/*"
        }
    ]
}

Zulassen, dass Benutzer mit einem bestimmten Plugin chatten

Die folgende Beispielrichtlinie gewährt die Berechtigung, mit einem bestimmten Plugin zu chatten, das durch den Plugin-ARN angegeben wird. Wenn das Plugin gelöscht und neu konfiguriert wird, hat ein Benutzer keinen Zugriff auf das neue Plugin, es sei denn, der Plugin-ARN wird in dieser Richtlinie aktualisiert. Wenn Sie diese Richtlinie verwenden möchten, ersetzen Sie Folgendes im ARN im Feld Resource:

  • AWS-region— Der AWS-Region Ort, an dem das Plugin erstellt wurde.

  • AWS-account-ID— Die AWS Konto-ID des Kontos, in dem Ihr Plugin konfiguriert ist.

  • plugin-provider— Der Name des Plugin-Anbieters, für den Sie Zugriff gewähren möchten, z. B. CloudZeroDatadog, oderWiz. Im Feld „Plugin-Anbieter“ muss die Groß- und Kleinschreibung beachtet werden.

  • plugin-ARN— Der ARN des Plugins, auf das Sie Zugriff gewähren möchten.

Verweigern des Zugriffs auf Amazon Q

Die folgende Beispielrichtlinie verweigert alle Berechtigungen zur Verwendung von Amazon Q.

Anmerkung

Wenn Sie den Zugriff auf Amazon Q verweigern, werden das Amazon Q-Symbol und das Chat-Panel weiterhin in der AWS Konsole, auf der AWS Website, auf den AWS Dokumentationsseiten oder angezeigt AWS Console Mobile Application.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie beinhaltet die Erlaubnis, diese Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS durchzuführen.

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}