Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwalten des Zugriffs auf Amazon Q Developer für Drittanbieter-Integrationen

Für Integrationen von Drittanbietern müssen Sie den AWS Key Management Service (KMS) verwenden, um den Zugriff auf Amazon Q Developer zu verwalten, anstatt IAM-Richtlinien zu verwenden, die weder identitäts- noch ressourcenbasiert sind.

Zulassen, dass Administratoren vom Kunden verwaltete Schlüssel zur Aktualisierung von Rollenrichtlinien verwenden

Das folgende Beispiel für eine Schlüsselrichtlinie gewährt die Berechtigung kundenseitig verwaltete Schlüssel (CMK) zu verwenden, wenn Sie Ihre Schlüsselrichtlinie für eine konfigurierte Rolle in der KMS-Konsole erstellen. Bei der Konfiguration des CMK müssen Sie den ARN der IAM-Rolle angeben, eine Kennung, die von Ihrer Integration verwendet wird, um Amazon Q aufzurufen. Wenn Sie bereits eine Integration wie eine GitLab Instance integriert haben, müssen Sie die Instance erneut einbinden, damit alle Ressourcen mit CMK verschlüsselt werden.

Der kms:ViaService-Bedingungsschlüssel schränkt die Verwendung eines KMS-Schlüssels auf Anforderungen von bestimmten AWS-Services ein. Außerdem wird er verwendet, um die Berechtigung zur Verwendung eines KMS-Schlüssels zu verweigern, wenn die Anforderung von bestimmten Services stammt. Mit dem Bedingungsschlüssel können Sie einschränken, wer CMK zum Verschlüsseln oder Entschlüsseln von Inhalten verwenden kann. Weitere Informationen finden Sie unter kms: ViaService im AWS Key Management Service Developer Guide.

Mit dem KMS-Verschlüsselungskontext verfügen Sie über einen optionalen Satz von Schlüssel-Wert-Paaren, die in kryptografische Operationen mit symmetrischer Verschlüsselung von KMS-Schlüsseln einbezogen werden können, um die Autorisierung und Überprüfbarkeit zu verbessern. Der Verschlüsselungskontext kann verwendet werden, um die Integrität und Authentizität verschlüsselter Daten zu überprüfen, den Zugriff auf KMS-Schlüssel mit symmetrischer Verschlüsselung in wichtigen Richtlinien und IAM-Richtlinien zu kontrollieren und kryptografische Operationen in AWS-Protokollen zu identifizieren und zu kategorisieren. CloudTrail Weitere Informationen erhalten Sie unter Verschlüsselungskontext im Entwicklerhandbuch für AWS Key Management Service.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Sid0",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/rolename"
            },
            "Action": [
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "q.us-east-1.amazonaws.com",
                    "kms:EncryptionContext:aws-crypto-ec:aws:qdeveloper:accountId": "111122223333"
                }
            }
        },
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/rolename"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
}