Konfiguration des Plugins Wiz von Amazon Q Developer - Amazon Q Developer
VoraussetzungenGeheimnisse und ServicerollenKonfigurieren des Wiz-PluginsKonfigurieren von BenutzerberechtigungenChatten mit dem Wiz-Plugin

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration des Plugins Wiz von Amazon Q Developer

Wiz ist eine Cloud-Sicherheitsplattform, die Sicherheitsmanagement, Risikobewertung und Priorisierung sowie Schwachstellenmanagement bietet. Wenn Sie Ihre AWS Anwendungen Wiz auswerten und überwachen, können Sie das Plugin im Amazon Q-Chat verwenden, um auf Erkenntnisse zuzugreifen, Wiz ohne den zu verlassen AWS-Managementkonsole.

Sie können das Plugin verwenden, um Wiz-Probleme zu identifizieren und zu beheben, Ihre riskantesten Ressourcen zu bewerten und Schwachstellen oder Risiken zu verstehen. Nachdem Sie eine Antwort erhalten haben, können Sie weitere Fragen stellen, z. B. zur Behebung eines Problems.

Zum Konfigurieren des Plugins geben Sie Authentifizierungsdaten von Ihrem Wiz-Konto aus an, um eine Verbindung zwischen Amazon Q und Wiz herzustellen. Nachdem Sie das Plugin konfiguriert haben, können Sie auf Wiz-Metriken zugreifen, indem Sie @wiz am Anfang Ihrer Frage im Amazon-Q-Chat hinzufügen.

Warnung

WizBenutzerberechtigungen werden vom Wiz Plugin in Amazon Q nicht erkannt. Wenn ein Administrator das Wiz Plugin in einem AWS Konto konfiguriert, haben Benutzer mit Plugin-Berechtigungen in diesem Konto Zugriff auf alle Ressourcen im Wiz Konto, die durch das Plugin abgerufen werden können.

Sie können IAM-Richtlinien konfigurieren, um einzuschränken, auf welche Plugins Benutzer zugreifen können. Weitere Informationen finden Sie unter Konfigurieren von Benutzerberechtigungen.

Voraussetzungen

Berechtigungen hinzufügen

Zum Konfigurieren von Plugins sind die folgenden Administratorberechtigungen erforderlich:

Beziehen von Anmeldeinformationen

Notieren Sie sich zunächst folgende Informationen aus Ihrem Wiz-Konto: Diese Authentifizierungsdaten werden AWS Secrets Manager geheim gespeichert, wenn Sie das Plugin konfigurieren.

  • API-Endpunkt-URL – Die URL, über die Sie auf Wiz zugreifen. Beispiel, https://api.us1.app.Wiz.io/graphql. Weitere Informationen erhalten Sie unter API-Endpunkt-URL in der Wiz-Dokumentation.

  • Client-ID und Client-Geheimnis — Anmeldeinformationen, mit denen Amazon Q anrufen kann, Wiz APIs um auf Ihre Anwendung zuzugreifen. Weitere Informationen erhalten Sie unter Client-ID und Client-Geheimnis in der Wiz-Dokumentation.

Geheimnisse und Servicerollen

AWS Secrets Manager geheim

Wenn Sie das Plug-in konfigurieren, erstellt Amazon Q ein neues AWS Secrets Manager Geheimnis, in dem Sie Ihre Wiz Authentifizierungsdaten speichern können. Alternativ können Sie ein vorhandenes Geheimnis verwenden, das Sie selbst erstellen.

Wenn Sie selbst ein Geheimnis erstellen, stellen Sie sicher, dass es die folgenden Anmeldeinformationen enthält und das nachstehende JSON-Format verwendet: 

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Weitere Informationen zur Erstellung von Geheimnissen finden Sie unter Erstellen von Geheimnissen im Benutzerhandbuch für AWS Secrets Manager .

Servicerollen

Zum Konfigurieren des Wiz-Plugins in Amazon Q Developer müssen Sie eine Servicerolle erstellen, die Amazon Q die Berechtigung erteilt, auf Ihr Secrets-Manager-Geheimnis zuzugreifen. Amazon Q übernimmt diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihre Wiz-Anmeldeinformationen gespeichert sind.

Wenn Sie das Plugin in der AWS Konsole konfigurieren, haben Sie die Möglichkeit, ein neues Geheimnis zu erstellen oder ein vorhandenes zu verwenden. Wenn Sie ein neues Geheimnis erstellen, wird die zugehörige Servicerolle für Sie generiert. Wenn Sie ein vorhandenes Geheimnis und eine bestehende Servicerolle verwenden, stellen Sie sicher, dass Ihre Servicerolle diese Berechtigungen enthält und dass die folgende Vertrauensrichtlinie angehängt ist. Welche Servicerolle erforderlich ist, hängt von Ihrer geheimen Verschlüsselungsmethode ab.

Wenn Ihr Geheimnis mit einem von AWS verwalteten KMS-Schlüssel verschlüsselt wird, ist die folgende IAM-Servicerolle erforderlich:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
Mehr anzeigenWeniger anzeigen

Wenn Ihr Geheimnis mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist, ist die folgende IAM-Servicerolle erforderlich:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
Mehr anzeigenWeniger anzeigen

Damit Amazon Q die Servicerolle übernehmen darf, benötigt diese Rolle die folgende Vertrauensrichtlinie:

Anmerkung

Das Präfix codewhisperer ist ein älterer Name eines Service, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer – Zusammenfassung der Änderungen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
Mehr anzeigenWeniger anzeigen

Weitere Informationen zu Servicerollen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst.

Konfigurieren des Wiz-Plugins

Plugins konfigurieren Sie in der Konsole von Amazon Q Developer. Amazon Q verwendet die in AWS Secrets Manager gespeicherten Anmeldeinformationen, um Interaktionen mit Wiz zu ermöglichen.

Konfigurieren Sie das Wiz-Plugin wie folgt:

  1. Öffnen Sie die Amazon Q Developer Console unter https://console.aws.amazon.com/amazonq/developer/home

  2. Wählen Sie auf der Startseite der Konsole von Amazon Q Developer Einstellungen aus.

  3. Wählen Sie in der Navigationsleiste Plugins aus.

  4. Wählen Sie auf der Plugins-Seite das Pluszeichen im Bereich Wiz aus. Die Plugin-Konfigurationsseite wird geöffnet.

  5. Geben Sie als API-Endpunkt-URL die URL des API-Endpunkts ein, über den Sie auf Wiz zugreifen.

  6. Wählen Sie unter Konfigurieren AWS Secrets Manager entweder Neues Geheimnis erstellen oder Bestehendes Geheimnis verwenden aus. Das Secrets-Manager-Geheimnis ist der Speicherort für Ihre Wiz-Authentifizierungsdaten.

    Wenn Sie ein neues Geheimnis erstellen, geben Sie die folgenden Informationen ein:

    1. Geben Sie unter Client-ID die Client-ID für Ihr Wiz-Konto ein.

    2. Geben Sie unter Client-Secret das Client-Geheimnis für Ihr Wiz-Konto ein.

    3. Es wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihre Wiz-Anmeldeinformationen gespeichert sind. Bearbeiten Sie die Servicerolle, die für Sie erstellt wurde, nicht.

    Wenn Sie ein vorhandenes Geheimnis verwenden, wählen Sie ein Geheimnis aus dem Dropdownmenü Geheimnis von AWS Secrets Manager aus. Das Geheimnis sollte die Wiz-Authentifizierungsdaten enthalten, die im vorherigen Schritt angegeben wurden.

    Weitere Informationen zu den erforderlichen Anmeldeinformationen finden Sie unter Beziehen von Anmeldeinformationen .

  7. Wählen Sie für „ AWS IAM-Dienstrolle konfigurieren“ entweder Neue Servicerolle erstellen oder Bestehende Servicerolle verwenden aus.

    Anmerkung

    Wenn Sie in Schritt 6 die Option Neues Geheimnis erstellen ausgewählt haben, können Sie keine vorhandene Servicerolle verwenden. Eine neue Rolle wird für Sie erstellt.

    Wenn Sie eine neue Servicerolle erstellen, verwendet Amazon Q diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihre Wiz-Anmeldeinformationen gespeichert sind. Bearbeiten Sie die Servicerolle, die für Sie erstellt wurde, nicht.

    Wenn Sie eine vorhandene Servicerolle verwenden, wählen Sie eine Rolle aus dem angezeigten Dropdown-Menü aus. Stellen Sie sicher, dass Ihre Servicerolle über die unter Servicerollen definierten Berechtigungen und Vertrauensrichtlinien verfügt.

  8. Wählen Sie Save configuration (Konfiguration speichern) aus.

  9. Sobald das Wiz-Plugin-Fenster im Abschnitt Konfigurierte Plugins auf der Plugins-Seite angezeigt wird, haben Benutzer Zugriff auf das Plugin.

Wenn Sie die Anmeldeinformationen für ein Plugin aktualisieren möchten, müssen Sie Ihr aktuelles Plugin löschen und ein neues konfigurieren. Durch das Löschen eines Plugins werden alle vorherigen Spezifikationen entfernt. Jedes Mal, wenn Sie ein neues Plugin konfigurieren, wird ein neuer Plugin-ARN generiert.

Konfigurieren von Benutzerberechtigungen

Für die Verwendung von Plugins sind die folgenden Berechtigungen erforderlich:

  • Berechtigungen zum Chatten mit Amazon Q in der Konsole. Ein Beispiel für eine IAM-Richtlinie, die Berechtigungen zum Chatten erteilt, finden Sie unter Zulassen, dass Benutzer mit Amazon Q chatten.

  • Die q:UsePlugin-Berechtigung

Wenn Sie einer IAM-Identität Zugriff auf ein konfiguriertes Wiz-Plugin gewähren, erhält die Identität Zugriff auf alle Ressourcen im Wiz-Konto, die vom Plugin abgerufen werden können. Wiz-Benutzerberechtigungen werden vom Plugin nicht erkannt. Wenn Sie den Zugriff auf ein Plugin kontrollieren möchten, geben Sie dazu den Plugin-ARN in einer IAM-Richtlinie an.

Jedes Mal, wenn Sie ein Plugin erstellen, löschen und neu konfigurieren, wird ihm ein neuer ARN zugewiesen. Wenn Sie einen Plugin-ARN in einer Richtlinie verwenden, muss dieser aktualisiert werden, wenn Sie Zugriff auf das neu konfigurierte Plugin gewähren möchten.

Den Wiz-Plugin-ARN finden Sie, indem Sie die Seite Plugins in der Konsole von Amazon Q Developer aufrufen und das konfigurierte Wiz-Plugin auswählen. Kopieren Sie auf der Plugin-Detailseite den Plugin-ARN. Sie können diesen ARN einer Richtlinie hinzufügen, um den Zugriff auf das Wiz-Plugin zuzulassen oder zu verweigern.

Wenn Sie eine Richtlinie zur Kontrolle des Zugriffs auf Wiz-Plugins erstellen, geben Sie Wiz in der Richtlinie für den Plugin-Anbieter an.

Beispiele für IAM-Richtlinien, die den Plugin-Zugriff kontrollieren, finden Sie unter Zulassen, dass Benutzer mit Plugins von einem Anbieter chatten.

Chatten mit dem Wiz-Plugin

Wenn Sie das Wiz-Plugin von Amazon Q verwenden möchten, geben Sie @Wiz am Anfang einer Frage zu Ihren Wiz-Problemen ein. Weitere Fragen oder Antworten auf Fragen von Amazon Q müssen ebenfalls @Wiz enthalten.

Im Folgenden finden Sie einige Anwendungsfälle und zugehörige Fragen, die Sie stellen können, um das Wiz-Plugin von Amazon Q optimal zu nutzen:

  • Probleme mit kritischem Schweregrad anzeigen – Bitten Sie das Wiz-Plugin von Amazon Q, Ihre Probleme mit kritischem oder hohem Schweregrad aufzulisten. Das Plugin kann bis zu 10 Probleme zurückgeben. Sie können auch darum bitten, die 10 schwerwiegendsten Probleme aufzulisten.

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • Probleme nach Datum oder Status auflisten – Bitten Sie darum, Probleme anhand des Erstellungs-, Fälligkeits- oder Lösungsdatums aufzulisten. Sie können Probleme auch anhand von Eigenschaften wie Status, Schweregrad und Typ angeben.

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • Probleme mit Sicherheitsschwachstellen bewerten – Fragen Sie nach den Schwachstellen oder Sicherheitslücken Ihrer Probleme, die Sicherheitsbedrohungen darstellen.

    • @wiz which issues are associated with vulnerabilities or external exposures?