Sicherheit für Kostenmanagementfunktionen in Amazon Q Developer - AWS Kostenmanagement
Berechtigungen zur KostenanalyseBerechtigungen zur Kostenoptimierungq: Erlaubnis PassRequest Regionsübergreifende AnrufeDatenschutz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit für Kostenmanagementfunktionen in Amazon Q Developer

Im Folgenden finden Sie einen Überblick über die Berechtigungen und den Datenschutz für die Kostenmanagementfunktionen in Amazon Q Developer.

Berechtigungen zur Kostenanalyse

Alle von Amazon Q Developer bereitgestellten Kostendaten stammen aus dem Cost Explorer. Der IAM-Benutzer, der auf die Kostenanalysefunktion in Amazon Q Developer zugreift, muss über Berechtigungen zur Verwendung von Amazon Q Developer und über Berechtigungen zum Abrufen von Kosten- und Nutzungsdaten aus dem Cost Explorer verfügen. Am schnellsten kann ein Administrator Benutzern Zugriff auf Amazon Q Developer gewähren, indem er die AmazonQFullAccess verwaltete Richtlinie verwendet. Benutzer benötigen außerdem Zugriff auf die ce:GetCostAndUsage Genehmigung.

Die folgende IAM-Richtlinienerklärung gewährt Benutzern Zugriff auf die Kostenanalysefunktion in Amazon Q Developer:

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostAnalysisInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"ce:GetCostAndUsage",
				"ce:GetCostForecast",
				"ce:GetDimensionValues",
				"ce:GetTags",
				"ce:GetCostCategories"
			],
			"Resource": "*"
		}
	]
}

Berechtigungen zur Kostenoptimierung

Die folgende IAM-Richtlinienerklärung gewährt Benutzern Zugriff auf die Kostenoptimierungsfunktion in Amazon Q Developer:

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostOptimizationInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"cost-optimization-hub:GetRecommendation",
				"cost-optimization-hub:ListRecommendations",
				"cost-optimization-hub:ListRecommendationSummaries",
				"compute-optimizer:GetAutoScalingGroupRecommendations",
				"compute-optimizer:GetEBSVolumeRecommendations",
				"compute-optimizer:GetEC2InstanceRecommendations",
				"compute-optimizer:GetECSServiceRecommendations",
				"compute-optimizer:GetLambdaFunctionRecommendations",
				"compute-optimizer:GetRDSDatabaseRecommendations",
				"compute-optimizer:GetIdleRecommendations",
				"compute-optimizer:GetEffectiveRecommendationPreferences",
				"ce:GetReservationPurchaseRecommendation",
				"ce:GetSavingsPlansPurchaseRecommendation"
			],
			"Resource": "*"
		}
	]
}

q: Erlaubnis PassRequest

q:PassRequestist eine Amazon Q-Entwicklerberechtigung, die es Amazon Q Developer ermöglicht, in AWS APIs Ihrem Namen anzurufen. Wenn Sie die q:PassRequest Berechtigung zu einer IAM-Identität hinzufügen, erhält Amazon Q Developer die Erlaubnis, jede API aufzurufen, für deren Aufruf die IAM-Identität berechtigt ist. Wenn beispielsweise eine IAM-Rolle über die ce:GetCostAndUsage Berechtigung und die Berechtigung verfügt, kann Amazon Q Developer die q:PassRequest GetCostAndUsage API aufrufen, wenn ein Benutzer, der diese IAM-Rolle annimmt, Amazon Q Developer auffordert, Kosten- und Nutzungsdaten aus dem Cost Explorer abzurufen.

Sie können IAM-Prinzipalen auch den Zugriff auf den Cost Explorer und die Verwendung von Amazon Q Developer gestatten, sie jedoch daran hindern, die Kostenanalyse- oder Kostenoptimierungsfunktionen in Amazon Q Developer zu verwenden, indem Sie den aws:CalledVia globalen Bedingungsschlüssel verwenden. Die folgende IAM-Richtlinie bietet ein Beispiel für die Verwendung dieses Bedingungsschlüssels.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "ce:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ce:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Für Benutzer von AWS Organizations können Administratoren von Verwaltungskonten den Zugriff der Benutzer von Mitgliedskonten auf Cost Explorer- und Cost Optimization Hub-Daten (einschließlich des Zugriffs auf Rabatte, Gutschriften und Rückerstattungen) mithilfe der Cost Management-Einstellungen in der AWS Billing and Cost Management Kostenmanagement-Konsole einschränken. Diese Einstellungen gelten für Amazon Q Developer genauso wie für die Managementkonsole, das SDK und die CLI. Amazon Q Developer respektiert die bestehenden Präferenzen der Kunden.

Regionsübergreifende Anrufe

Daten aus den Diensten Cost Optimization Hub und Cost Explorer werden in der Region USA Ost (Nord-Virginia) gehostet. Daten von AWS Compute Optimizer werden in der AWS Region gehostet, in der sich die zugrunde liegenden Ressourcen, z. B. EC2 Instanzen, befinden. Anfragen zur Kostenanalyse und Kostenoptimierung können regionsübergreifende Anrufe erfordern. Weitere Informationen finden Sie unter Regionalübergreifende Verarbeitung in Amazon Q Developer im Amazon Q Developer User Guide.

Datenschutz

Wir können bestimmte Inhalte aus dem kostenlosen Kontingent für Amazon Q Developer zur Serviceverbesserung verwenden. Amazon Q Developer kann diese Inhalte beispielsweise verwenden, um bessere Antworten auf häufig gestellte Fragen zu geben, Betriebsprobleme von Amazon Q Developer zu beheben, zum Debuggen oder für Modellschulungen. Zu den Inhalten, die zur Serviceverbesserung verwendet werden AWS können, gehören beispielsweise Ihre Fragen an Amazon Q Developer sowie die Antworten und der Code, die Amazon Q Developer generiert. Wir verwenden keine Inhalte von Amazon Q Developer Pro oder Amazon Q Business zur Serviceverbesserung.

Die Art und Weise, wie Sie das kostenlose Kontingent für Amazon Q Developer mit Inhalten zur Serviceverbesserung abbestellen, hängt von der Umgebung ab, in der Sie Amazon Q verwenden. Konfigurieren Sie für die AWS Management AWS Console, die Console Mobile Application, AWS Websites und AWS Chatbot eine Deaktivierungsrichtlinie für KI-Dienste in AWS Organizations. Weitere Informationen finden Sie in den Opt-Out-Richtlinien für KI-Dienste im AWS Organizations User Guide. Passen Sie in der IDE für das kostenlose Kontingent für Amazon Q Developer Ihre Einstellungen in der IDE an. Weitere Informationen finden Sie unter Opt-Out of Data Sharing in der IDE im Amazon Q Developer User Guide.