Konfiguration des Amazon Q Wiz Developer-Plug-ins - Amazon Q Developer
VoraussetzungenGeheimnisse und ServicerollenKonfigurieren Sie das Plug-in WizBenutzerberechtigungen konfigurierenChatten Sie mit dem Plugin Wiz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration des Amazon Q Wiz Developer-Plug-ins

Wizist eine Cloud-Sicherheitsplattform, die Sicherheitsmanagement, Risikobewertung und Priorisierung sowie Schwachstellenmanagement bietet. Wenn Sie Ihre AWS Anwendungen Wiz auswerten und überwachen, können Sie das Plugin im Amazon Q-Chat verwenden, um auf Erkenntnisse zuzugreifen, Wiz ohne den zu verlassen AWS Management Console.

Sie können das Plugin verwenden, um Wiz Probleme zu identifizieren und zu beheben, Ihre riskantesten Ressourcen zu bewerten und Sicherheitslücken oder Risiken zu verstehen. Nachdem Sie eine Antwort erhalten haben, können Sie weitere Fragen stellen, z. B. zur Behebung eines Problems.

Um das Plugin zu konfigurieren, geben Sie Authentifizierungsdaten von Ihrem Wiz Konto aus an, um eine Verbindung zwischen Amazon Q und zu aktivierenWiz. Nachdem Sie das Plugin konfiguriert haben, können Sie auf Wiz Metriken zugreifen, indem @wiz Sie am Anfang Ihrer Frage im Amazon Q-Chat etwas hinzufügen.

Warnung

WizBenutzerberechtigungen werden vom Wiz Plugin in Amazon Q nicht erkannt. Wenn ein Administrator das Wiz Plugin in einem AWS Konto konfiguriert, haben Benutzer mit Plugin-Berechtigungen in diesem Konto Zugriff auf alle Ressourcen im Wiz Konto, die durch das Plugin abgerufen werden können.

Sie können IAM-Richtlinien konfigurieren, um einzuschränken, auf welche Plugins Benutzer Zugriff haben. Weitere Informationen finden Sie unter Benutzerberechtigungen konfigurieren.

Voraussetzungen

Berechtigungen hinzufügen

Um Plugins zu konfigurieren, sind die folgenden Administratorberechtigungen erforderlich:

Erwerben Sie Anmeldeinformationen

Bevor Sie beginnen, notieren Sie sich die folgenden Informationen aus Ihrem Wiz Konto. Diese Authentifizierungsdaten werden AWS Secrets Manager geheim gespeichert, wenn Sie das Plugin konfigurieren.

  • API-Endpunkt-URL — Die URL, auf die Sie zugreifenWiz. Beispiel, https://api.us1.app.Wiz.io/graphql. Weitere Informationen finden Sie in der Wiz Dokumentation unter API-Endpunkt-URL.

  • Client-ID und Client-Geheimnis — Anmeldeinformationen, mit denen Amazon Q anrufen kann, Wiz APIs um auf Ihre Anwendung zuzugreifen. Weitere Informationen finden Sie in der Wiz Dokumentation unter Client-ID und Client-Geheimnis.

Geheimnisse und Servicerollen

AWS Secrets Manager geheim

Wenn Sie das Plug-in konfigurieren, erstellt Amazon Q ein neues AWS Secrets Manager Geheimnis, in dem Sie Ihre Wiz Authentifizierungsdaten speichern können. Alternativ können Sie ein vorhandenes Geheimnis verwenden, das Sie selbst erstellen.

Wenn Sie selbst ein Geheimnis erstellen, stellen Sie sicher, dass es die folgenden Anmeldeinformationen enthält und das folgende JSON-Format verwendet: 

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Weitere Informationen zum Erstellen von Geheimnissen finden Sie unter Create a Secret im AWS Secrets Manager Benutzerhandbuch.

Servicerollen

Um das Wiz Plugin in Amazon Q Developer zu konfigurieren, müssen Sie eine Servicerolle erstellen, die Amazon Q die Erlaubnis erteilt, auf Ihr Secrets Manager Manager-Geheimnis zuzugreifen. Amazon Q übernimmt diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihre Wiz Anmeldeinformationen gespeichert sind.

Wenn Sie das Plugin in der AWS Konsole konfigurieren, haben Sie die Möglichkeit, ein neues Geheimnis zu erstellen oder ein vorhandenes zu verwenden. Wenn Sie ein neues Geheimnis erstellen, wird die zugehörige Servicerolle für Sie erstellt. Wenn Sie ein vorhandenes Geheimnis und eine bestehende Servicerolle verwenden, stellen Sie sicher, dass Ihre Servicerolle diese Berechtigungen enthält und dass die folgende Vertrauensrichtlinie angehängt ist. Welche Servicerolle erforderlich ist, hängt von Ihrer geheimen Verschlüsselungsmethode ab.

Wenn Ihr Geheimnis mit einem AWS verwalteten KMS-Schlüssel verschlüsselt ist, ist die folgende IAM-Dienstrolle erforderlich:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}
Mehr anzeigenWeniger anzeigen

Wenn Ihr Geheimnis mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist, ist die folgende IAM-Servicerolle erforderlich:

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
Mehr anzeigenWeniger anzeigen

Damit Amazon Q die Servicerolle übernehmen kann, muss für die Servicerolle die folgende Vertrauensrichtlinie gelten:

Anmerkung

Das codewhisperer Präfix ist ein älterer Name eines Dienstes, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer — Zusammenfassung der Änderungen.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}
Mehr anzeigenWeniger anzeigen

Weitere Informationen zu Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service im AWS Identity and Access Management Benutzerhandbuch.

Konfigurieren Sie das Plug-in Wiz

Sie konfigurieren Plugins in der Amazon Q Developer Console. Amazon Q verwendet die in gespeicherten Anmeldeinformationen AWS Secrets Manager , um Interaktionen mit zu ermöglichenWiz.

Gehen Sie wie folgt vor, um das Wiz Plugin zu konfigurieren:

  1. Öffnen Sie die Amazon Q Developer Console unter https://console.aws.amazon.com/amazonq/developer/home

  2. Wählen Sie auf der Startseite der Amazon Q Developer Console die Option Einstellungen aus.

  3. Wählen Sie in der Navigationsleiste Plugins aus.

  4. Wählen Sie auf der Plugins-Seite das Pluszeichen im WizPanel aus. Die Plugin-Konfigurationsseite wird geöffnet.

  5. Geben Sie als API-Endpunkt-URL die URL des API-Endpunkts ein, auf den Sie zugreifenWiz.

  6. Wählen Sie AWS Secrets Manager unter Konfigurieren entweder Neues Geheimnis erstellen oder Bestehendes Geheimnis verwenden aus. Das Secrets Manager Manager-Geheimnis ist der Ort, an dem Ihre Wiz Authentifizierungsdaten gespeichert werden.

    Wenn Sie ein neues Geheimnis erstellen, geben Sie die folgenden Informationen ein:

    1. Geben Sie unter Kunden-ID die Kunden-ID für Ihr Wiz Konto ein.

    2. Geben Sie unter Client Secret den Client Secret für Ihr Wiz Konto ein.

    3. Es wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihre Wiz Anmeldeinformationen gespeichert sind. Bearbeiten Sie nicht die Servicerolle, die für Sie erstellt wurde.

    Wenn Sie ein vorhandenes Geheimnis verwenden, wählen Sie ein Geheimnis aus dem Dropdownmenü „AWS Secrets Manager Geheim“ aus. Das Geheimnis sollte die im vorherigen Schritt angegebenen Wiz Authentifizierungsdaten enthalten.

    Weitere Informationen zu den erforderlichen Anmeldeinformationen finden Sie unterErwerben Sie Anmeldeinformationen .

  7. Wählen Sie unter AWS IAM-Servicerolle konfigurieren entweder Neue Servicerolle erstellen oder Bestehende Servicerolle verwenden aus.

    Anmerkung

    Wenn Sie für Schritt 6 die Option Neues Geheimnis erstellen ausgewählt haben, können Sie keine vorhandene Servicerolle verwenden. Eine neue Rolle wird für Sie erstellt.

    Wenn Sie eine neue Servicerolle erstellen, wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihre Wiz Anmeldeinformationen gespeichert sind. Bearbeiten Sie nicht die Servicerolle, die für Sie erstellt wurde.

    Wenn Sie eine vorhandene Servicerolle verwenden, wählen Sie eine Rolle aus dem angezeigten Drop-down-Menü aus. Stellen Sie sicher, dass Ihre Servicerolle über die in Servicerollen definierten Berechtigungen und Vertrauensrichtlinien verfügt.

  8. Wählen Sie Save configuration (Konfiguration speichern) aus.

  9. Sobald das Wiz Plugin-Menü im Abschnitt Konfigurierte Plugins auf der Plugins-Seite angezeigt wird, haben Benutzer Zugriff auf das Plugin.

Wenn Sie die Anmeldeinformationen für ein Plugin aktualisieren möchten, müssen Sie Ihr aktuelles Plugin löschen und ein neues konfigurieren. Durch das Löschen eines Plugins werden alle vorherigen Spezifikationen entfernt. Jedes Mal, wenn Sie ein neues Plugin konfigurieren, wird ein neuer Plugin-ARN generiert.

Benutzerberechtigungen konfigurieren

Um Plugins verwenden zu können, sind die folgenden Berechtigungen erforderlich:

  • Berechtigungen zum Chatten mit Amazon Q in der Konsole. Ein Beispiel für eine IAM-Richtlinie, die die für den Chat erforderlichen Berechtigungen gewährt, finden Sie unterErlauben Sie Benutzern, mit Amazon Q zu chatten.

  • Die q:UsePlugin Erlaubnis.

Wenn Sie einer IAM-Identität Zugriff auf ein konfiguriertes Wiz Plugin gewähren, erhält die Identität Zugriff auf alle Ressourcen im Wiz Konto, die vom Plugin abgerufen werden können. WizBenutzerberechtigungen werden vom Plugin nicht erkannt. Wenn Sie den Zugriff auf ein Plugin kontrollieren möchten, können Sie dies tun, indem Sie den Plugin-ARN in einer IAM-Richtlinie angeben.

Jedes Mal, wenn Sie ein Plugin erstellen, löschen und neu konfigurieren, wird ihm ein neuer ARN zugewiesen. Wenn Sie einen Plugin-ARN in einer Richtlinie verwenden, muss dieser aktualisiert werden, wenn Sie Zugriff auf das neu konfigurierte Plugin gewähren möchten.

Um den Wiz Plugin-ARN zu finden, rufen Sie die Plugins-Seite in der Amazon Q Developer Console auf und wählen Sie das konfigurierte Wiz Plugin aus. Kopieren Sie auf der Plugin-Detailseite den Plugin-ARN. Sie können diesen ARN zu einer Richtlinie hinzufügen, um den Zugriff auf das Wiz Plugin zuzulassen oder zu verweigern.

Wenn Sie eine Richtlinie zur Steuerung des Zugriffs auf Wiz Plugins erstellen, geben Sie dies in der Richtlinie Wiz für den Plugin-Anbieter an.

Beispiele für IAM-Richtlinien, die den Plugin-Zugriff steuern, finden Sie unterErlauben Sie Benutzern, mit Plugins von einem Anbieter zu chatten.

Chatten Sie mit dem Plugin Wiz

Um das Amazon Wiz Q-Plugin zu verwenden, geben Sie @Wiz am Anfang eine Frage zu Ihren Wiz Problemen ein. Folgefragen oder Antworten auf Fragen von Amazon Q müssen ebenfalls enthalten@Wiz.

Im Folgenden finden Sie einige Anwendungsbeispiele und zugehörige Fragen, die Sie stellen können, um das Amazon Wiz Q-Plugin optimal zu nutzen:

  • Probleme mit kritischem Schweregrad anzeigen — Bitten Sie das Amazon Wiz Q-Plugin, Ihre Probleme mit kritischem oder hohem Schweregrad aufzulisten. Das Plugin kann bis zu 10 Probleme zurückgeben. Sie können auch darum bitten, die 10 schwerwiegendsten Probleme aufzulisten.

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • Probleme nach Datum oder Status auflisten — Bitten Sie darum, Probleme anhand des Erstellungs-, Fälligkeits- oder Lösungsdatums aufzulisten. Sie können Probleme auch anhand von Eigenschaften wie Status, Schweregrad und Typ angeben.

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • Beurteilen Sie Probleme mit Sicherheitslücken — Erkundigen Sie sich nach den Sicherheitslücken oder Sicherheitslücken, die Ihre Probleme als Sicherheitsbedrohungen darstellen.

    • @wiz which issues are associated with vulnerabilities or external exposures?