Configuración del complemento CloudZero de Amazon Q Developer - Amazon Q Developer
Requisitos previosSecretos y roles de servicioConfiguración del complemento CloudZeroConfiguración de permisos de usuarioChat con el complemento CloudZero

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del complemento CloudZero de Amazon Q Developer

CloudZero es una plataforma de optimización de costos en la nube que evalúa los costos para mejorar la eficiencia de la nube. Si CloudZero solía monitorear sus AWS costos, puede usar el CloudZero complemento en el chat para desarrolladores de Amazon Q para acceder a la información de costos sin salir del Consola de administración de AWS.

Puedes usar el CloudZero complemento para entender tus AWS costos, obtener información sobre la optimización de costos y hacer un seguimiento de la facturación. Tras recibir una respuesta, puede hacer preguntas de seguimiento, por ejemplo, sobre el estado o el impacto de la información de CloudZero en los costos.

Para configurar el complemento, debe proporcionar las credenciales de autenticación de su cuenta de CloudZero para habilitar una conexión entre Amazon Q y CloudZero. Después de configurar el complemento, puede acceder a los datos de CloudZero añadiendo @cloudzero al principio de su pregunta en el chat de Amazon Q.

aviso

CloudZeroEl CloudZero complemento de Amazon Q. No detecta los permisos de usuario. Cuando un administrador configura el CloudZero complemento en una AWS cuenta, los usuarios con permisos de complemento en esa cuenta tienen acceso a todos los recursos de la CloudZero cuenta que pueda recuperar el complemento.

Puede configurar las políticas de IAM para restringir los complementos a los que tienen acceso los usuarios. Para obtener más información, consulte Configuración de permisos de usuario.

Requisitos previos

Inclusión de permisos

Para configurar los complementos, se necesitan los siguientes permisos de nivel de administrador:

Adquisición de credenciales

Antes de comenzar, anote la siguiente información de su cuenta de CloudZero. Estas credenciales de autenticación se almacenarán en AWS Secrets Manager secreto al configurar el complemento.

  • Clave de API: una clave de acceso que permite a Amazon Q llamar a la API de CloudZero para acceder a la información de costos y facturación de su organización. Puede encontrar la clave de API en la configuración de su cuenta de CloudZero. Para obtener más información, consulte Autorización en la documentación de CloudZero.

Para obtener más información sobre la adquisición de credenciales de su cuenta de CloudZero, consulte la documentación de CloudZero.

Secretos y roles de servicio

AWS Secrets Manager secreto

Al configurar el complemento, Amazon Q crea un nuevo AWS Secrets Manager secreto para almacenar las credenciales de CloudZero autenticación. También puede usar un secreto existente que haya creado usted mismo.

Si crea un secreto usted mismo, introduzca la clave de API como texto no cifrado:

your-api-key

Para obtener más información acerca de la creación de secretos, consulte Create a secret en la Guía del usuario de AWS Secrets Manager .

Roles de servicio

Para configurar el complemento de CloudZero en Amazon Q Developer, debe crear un rol de servicio que conceda permiso a Amazon Q para acceder a su secreto de Secrets Manager. Amazon Q asume este rol para acceder al secreto donde están guardadas sus credenciales de CloudZero.

Al configurar el complemento en la AWS consola, tiene la opción de crear un nuevo secreto o utilizar uno existente. Si crea un nuevo secreto, el rol de servicio asociado se crea automáticamente. Si utiliza un secreto y un rol de servicio existente, asegúrese de que su rol de servicio contenga los siguientes permisos y tenga asociada la siguiente política de confianza. El rol de servicio necesario depende del método de cifrado del secreto.

Si el secreto está cifrado con una clave de KMS administrada por AWS , se requiere el siguiente rol de servicio de IAM:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
Mostrar másMostrar menos

Si el secreto está cifrado con una AWS KMS clave gestionada por el cliente, se requiere el siguiente rol de servicio de IAM:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
Mostrar másMostrar menos

Para que Amazon Q pueda asumir el rol de servicio, dicho rol necesita la siguiente política de confianza:

nota

El prefijo codewhisperer es un nombre heredado de un servicio que se fusionó con Amazon Q Developer. Para obtener más información, consulte Cambio de nombres de Amazon Q Developer: resumen de cambios.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
Mostrar másMostrar menos

Para obtener más información sobre las funciones de servicio, consulte Crear una función para delegar permisos a un AWS servicio en la Guía del AWS Identity and Access Management usuario.

Configuración del complemento CloudZero

Puede configurar complementos en la consola de Amazon Q Developer. Amazon Q utiliza las credenciales almacenadas en AWS Secrets Manager para permitir las interacciones con CloudZero.

Para configurar el complemento CloudZero, realice el siguiente procedimiento:

  1. Abre la consola Amazon Q Developer en https://console.aws.amazon.com/amazonq/developer/home

  2. En la página de inicio de la consola de Amazon Q Developer, seleccione Configuración.

  3. En la barra de navegación, elija Complementos.

  4. En la página de complementos, seleccione el signo más en el panel de CloudZero. Se abre la página de configuración del complemento.

  5. AWS Secrets Manager En Configurar, elija Crear un secreto nuevo o Usar un secreto existente. El secreto de Secrets Manager es donde se almacenarán sus credenciales de autenticación de CloudZero.

    Si crea un nuevo secreto, introduzca la siguiente información:

    1. En Clave de API de CloudZero, introduzca la clave de API de su organización de CloudZero.

    2. Se creará un rol de servicio que Amazon Q utilizará para acceder al secreto donde están almacenadas sus credenciales de CloudZero. No edite el rol de servicio que se ha creado para usted.

    Si utiliza un secreto existente, seleccione un secreto del menú desplegable Secreto de AWS Secrets Manager . El secreto debe incluir las credenciales de autenticación de CloudZero especificadas en el paso anterior.

    Para obtener más información sobre las credenciales necesarias, consulte Adquisición de credenciales.

  6. En Configurar el rol de servicio de AWS IAM, elija Crear un nuevo rol de servicio o Usar el rol de servicio existente.

    nota

    Si selecciona Crear un secreto nuevo en el paso 6, no podrá usar un rol de servicio existente. Se creará un nuevo rol de servicio.

    Si crea un nuevo rol de servicio, se generará un rol de servicio que Amazon Q utilizará para acceder al secreto en el que están almacenadas sus credenciales de CloudZero. No edite el rol de servicio que se ha creado para usted.

    Si utiliza un rol de servicio existente, elija uno del menú desplegable que aparece. Asegúrese de que el rol de servicio tiene los permisos y la política de confianza que se definen en Roles de servicio.

  7. Seleccione Guardar configuración.

  8. Cuando el panel del complemento CloudZero aparezca en la sección Complementos configurados de la página de complementos, los usuarios tendrán acceso al complemento.

Si desea actualizar las credenciales de un complemento, debe eliminar el complemento actual y configurar uno nuevo. Al eliminar un complemento, se eliminan todas las especificaciones anteriores. Cada vez que configure un nuevo complemento, se genera un nuevo ARN de complemento.

Configuración de permisos de usuario

Los siguientes permisos son necesarios para utilizar los complementos:

Cuando concede a una identidad de IAM acceso a un complemento CloudZero configurado, la identidad obtiene acceso a todos los recursos de la cuenta de CloudZero que pueda recuperar el complemento. El complemento no detecta los permisos de usuario de CloudZero. Si desea controlar el acceso a un complemento, puede hacerlo especificando el ARN del complemento en una política de IAM.

Cada vez que cree o elimine y vuelva a configurar un complemento, se le asigna un nuevo ARN. Si utiliza un ARN de complemento en una política, tendrá que actualizarlo si quiere conceder acceso al complemento recién configurado.

Para localizar el ARN del complemento CloudZero, vaya a la página Complementos de la consola de Amazon Q Developer y elija el complemento CloudZero configurado. En la página de detalles del complemento, copie el ARN del complemento. Puede agregar este ARN a una política para permitir o denegar el acceso al complemento CloudZero.

Si crea una política para controlar el acceso a los complementos CloudZero, especifique CloudZero en el proveedor del complemento en la política.

Para ver ejemplos de políticas de IAM que controlan el acceso al complemento, consulte Permiso a los usuarios para chatear con complementos de un proveedor.

Chat con el complemento CloudZero

Para usar el CloudZero complemento, introduzca @cloudzero al principio una pregunta sobre CloudZero los monitores y casos de su AWS aplicación. Las preguntas de seguimiento o las respuestas a las preguntas de Amazon Q también deben incluir @cloudzero.

A continuación, se muestran algunos ejemplos de casos de uso y preguntas asociadas que puede hacer para aprovechar al máximo el complemento CloudZero de Amazon Q:

  • Aprenda a usarlo CloudZero con AWS: pregunte cómo funcionan CloudZero las funciones. Amazon Q podría pedirle más información sobre lo que está intentando hacer para ofrecerle la mejor respuesta.

    • @cloudzero how do I use CloudZero?

    • @cloudzero how do I get started with CloudZero?

  • Enumerar información de costos: obtenga una lista de información sobre costos o descubra detalles sobre una información específica.

    • @cloudzero list my top cost insights

    • @cloudzero tell me more about insight <insight ID>

  • Obtén información de facturación: pregunta al CloudZero plugin Amazon Q acerca de tu información AWS de facturación.

    • @cloudzero what were my AWS costs for December 2024?