Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheit für Kostenmanagementfunktionen in Amazon Q Developer
Im Folgenden finden Sie einen Überblick über Berechtigungen und Datenschutz für die Kostenmanagementfunktionen in Amazon Q Developer.
Übersicht über die Berechtigungen
Um die Kostenmanagementfunktionen in Amazon Q Developer nutzen zu können, benötigen Sie drei Gruppen von Identity and Access Management (IAM) -Berechtigungen:
-
Amazon Q-Berechtigungen: Berechtigungen zum Chatten mit Amazon Q in der Konsole (z. B.
q:StartConversationund q:SendMessage) -
Serviceberechtigungen: Berechtigungen für den Zugriff auf die zugrunde liegenden Billing and Cost Management Kostenmanagementdienste, die Kostendaten bereitstellen
-
PassRequest Erlaubnis: Die
q:PassRequestErlaubnis, die es Amazon Q ermöglicht, in AWS APIs Ihrem Namen anzurufen
Am schnellsten kann ein Administrator Benutzern Zugriff auf Amazon Q Developer gewähren, indem er die AmazonQFullAccess verwaltete Richtlinie verwendet.
Berechtigungen für Funktionen zur Kostenverwaltung
Die folgende IAM-Richtlinienerklärung gewährt Benutzern Zugriff auf alle Kostenmanagementfunktionen in Amazon Q Developer:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
Sie können diese Richtlinie einschränken, um nur Zugriff auf bestimmte Kostenmanagementfunktionen zu gewähren. Wenn Sie beispielsweise nicht möchten, dass Benutzer auf Kostendaten auf Ressourcenebene zugreifen, können Sie die ce:GetCostAndUsageWithResources Aktion entfernen oder eine ausdrückliche Ablehnungsklausel hinzufügen.
q: Erlaubnis PassRequest
q:PassRequestist eine Amazon Q-Entwicklerberechtigung, mit der Amazon Q Developer in AWS APIs Ihrem Namen anrufen kann. Wenn Sie die q:PassRequest Berechtigung zu einer IAM-Identität hinzufügen, erhält Amazon Q Developer die Erlaubnis, jede API aufzurufen, für deren Aufruf die IAM-Identität berechtigt ist. Wenn beispielsweise eine IAM-Rolle über die ce:GetCostAndUsage Berechtigung und die Berechtigung verfügt, kann Amazon Q Developer die q:PassRequest GetCostAndUsage API aufrufen, wenn ein Benutzer, der diese IAM-Rolle annimmt, Amazon Q Developer auffordert, Kosten- und Nutzungsdaten aus dem Cost Explorer abzurufen.
Sie können IAM-Prinzipalen auch den Zugriff auf den Cost Explorer und die Verwendung von Amazon Q Developer gestatten, sie jedoch daran hindern, die Kostenanalyse- oder Kostenoptimierungsfunktionen in Amazon Q Developer zu verwenden, indem Sie den aws:CalledVia globalen Bedingungsschlüssel verwenden. Die folgende IAM-Richtlinie bietet ein Beispiel für die Verwendung dieses Bedingungsschlüssels:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
Zugriff mit mehreren Konten
Für Benutzer von AWS Organizations können Administratoren von Verwaltungskonten den Zugriff der Benutzer von Mitgliedskonten auf Cost Explorer- und Cost Optimization Hub-Daten (einschließlich des Zugriffs auf Rabatte, Gutschriften und Rückerstattungen) mithilfe der Cost Management-Einstellungen in der AWS Billing and Cost Management Kostenmanagement-Konsole einschränken. Diese Einstellungen gelten für Amazon Q Developer genauso wie für die Managementkonsole, das SDK und die CLI. Amazon Q Developer respektiert die bestehenden Präferenzen der Kunden.
Regionsübergreifende Aufrufe
Daten aus den Diensten Cost Optimization Hub und Cost Explorer werden in der Region USA Ost (Nord-Virginia) gehostet. Daten von AWS Compute Optimizer werden in der AWS Region gehostet, in der sich die zugrunde liegenden Ressourcen, z. B. EC2 Instanzen, befinden. Die aus der AWS Preisliste APIs bereitgestellten Daten werden in us-east-1, eu-central-1 und ap-south-1 gehostet (beachten Sie, dass die AWS Preisliste APIs keine kundenspezifischen Daten enthält). Kostenmanagement-Anfragen in Amazon Q Developer können regionsübergreifende Anrufe erfordern. Weitere Informationen finden Sie unter Regionalübergreifende Verarbeitung in Amazon Q Developer im Amazon Q Developer User Guide.
Datenschutz
Wir können bestimmte Inhalte aus dem kostenlosen Kontingent für Amazon Q Developer zur Serviceverbesserung verwenden. Amazon Q Developer kann diese Inhalte beispielsweise verwenden, um bessere Antworten auf häufig gestellte Fragen zu geben, Betriebsprobleme von Amazon Q Developer zu beheben, zum Debuggen oder für Modellschulungen. Zu den Inhalten, die zur Serviceverbesserung verwendet werden AWS können, gehören beispielsweise Ihre Fragen an Amazon Q Developer sowie die Antworten und der Code, die Amazon Q Developer generiert. Wir verwenden keine Inhalte von Amazon Q Developer Pro oder Amazon Q Business zur Serviceverbesserung.
Wie Sie das kostenlose Kontingent für Amazon Q Developer mit Inhalten zur Serviceverbesserung abbestellen, hängt von der Umgebung ab, in der Sie Amazon Q verwenden. Konfigurieren Sie für die AWS Management AWS Console, die Console Mobile Application, AWS Websites und AWS Chatbot eine Deaktivierungsrichtlinie für KI-Services in AWS Organizations. Weitere Informationen finden Sie in den Opt-Out-Richtlinien für KI-Dienste im AWS Organizations User Guide.
