Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwalten des Zugriffs auf Amazon Q Developer mit Richtlinien
Anmerkung
Die Informationen auf dieser Seite beziehen sich auf den Zugriff auf Amazon Q Developer. Informationen zur Verwaltung des Zugriffs auf Amazon Q Business finden Sie unter Beispiele für identitätsbasierte Richtlinien für Amazon Q Business im Entwicklerhandbuch für Amazon Q Business.
Die Richtlinien und Beispiele in diesem Thema sind spezifisch für Amazon Q auf der AWS-Managementkonsole AWS Console Mobile Application, AWS Documentation, AWS Website und in Chat-Anwendungen. Andere in Amazon Q integrierte Services erfordern möglicherweise andere Richtlinien oder Einstellungen. Endbenutzer von Amazon Q von Drittanbietern IDEs müssen keine IAM-Richtlinien verwenden. Weitere Informationen erhalten Sie in der Dokumentation zu dem Service, der eine Funktion oder eine Integration von Amazon Q enthält.
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon Q zu verwenden. IAM-Administratoren können den Zugriff auf Amazon Q Developer und seine Funktionen verwalten, indem sie den IAM-Identitäten entsprechende Berechtigungen gewähren.
Am schnellsten kann ein Administrator Benutzern Zugriff gewähren, indem er eine AWS verwaltete Richtlinie verwendet. Die AmazonQFullAccess-Richtlinie kann an IAM-Identitäten angehängt werden, um Vollzugriff auf Amazon Q Developer und seine Funktionen zu gewähren. Weitere Informationen zu dieser Richtlinie finden Sie unter AWS verwaltete Richtlinien für Amazon Q Developer.
Zur Verwaltung bestimmter Aktionen, die IAM-Identitäten mit Amazon Q Developer durchführen können, erstellen Administratoren benutzerdefinierte IAM-Richtlinien, die festlegen, welche Berechtigungen ein Benutzer, eine Gruppe oder eine Rolle hat. Sie können auch Richtlinien zur Servicesteuerung (SCPs) verwenden, um zu kontrollieren, welche Amazon Q-Funktionen in Ihrer Organisation verfügbar sind.
Eine Liste aller Amazon-Q-Berechtigungen, die Sie mit Richtlinien kontrollieren können, finden Sie unter Referenz für Berechtigungen von Amazon Q Developer.
Topics
Bewährte Methoden für Richtlinien
Identitätsbasierte Richtlinien können festlegen, ob jemand Ressourcen von Amazon Q Developer in Ihrem Konto erstellen, löschen oder darauf zugreifen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
-
Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien oder Von AWS verwaltete Richtlinien für Auftragsfunktionen im IAM-Benutzerhandbuch.
-
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
-
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
-
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
-
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.
Zuweisen von Berechtigungen
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Verwalten Sie den Zugriff mit Richtlinien zur Dienststeuerung (SCPs)
Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. Sie können steuern, welche Funktionen von Amazon Q Developer in Ihrer Organisation verfügbar sind, indem Sie eine SCP erstellen, die Berechtigungen für einige oder alle Amazon-Q-Aktionen festlegt.
Weitere Informationen zur Verwendung SCPs zur Zugriffskontrolle in Ihrer Organisation finden Sie im AWS Organizations Benutzerhandbuch unter Dienststeuerungsrichtlinien erstellen, aktualisieren und löschen und Dienststeuerungsrichtlinien anhängen und trennen.
Beispiel-SCP: Verweigern des Zugriffs auf Amazon Q außerhalb von EU-Regionen
Die folgende SCP verweigert den Zugriff auf Amazon Q Developer außerhalb der Region Europa (Frankfurt) (eu-central-1).
Anmerkung
Das Präfix codewhisperer ist ein älterer Name eines Service, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer – Zusammenfassung der Änderungen.
Beispiel-SCP: Verweigern des Zugriffs auf Amazon Q
Die folgende SCP verweigert den Zugriff auf Amazon Q Developer.
Anmerkung
Wenn Sie den Zugriff auf Amazon Q verweigern, werden das Amazon Q-Symbol oder das Chat-Panel in der AWS Konsole, AWS auf der Website, auf den AWS Dokumentationsseiten oder AWS Console Mobile Application nicht deaktiviert.
