Consideraciones de seguridad y mejores prácticas - Amazon Q Developer
Comprender los riesgos de seguridadMejores prácticas generales de seguridadUsar /tools trust-all de forma segura

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones de seguridad y mejores prácticas

Amazon Q ofrece potentes capacidades que pueden modificar el sistema y los recursos de AWS. Comprender las implicaciones de seguridad y seguir las prácticas recomendadas le ayuda a utilizar estas capacidades de forma segura.

Comprender los riesgos de seguridad

Cuando utilices Amazon Q, ten en cuenta los siguientes posibles riesgos de seguridad:

  • Cambios involuntarios en el sistema: Amazon Q puede interpretar tus solicitudes de formas inesperadas y provocar modificaciones no deseadas

  • Modificaciones de los recursos de AWS: los recursos podrían crearse, modificarse o eliminarse, lo que podría afectar a los entornos de producción o generar costos

  • Pérdida de datos: los comandos que eliminan o sobrescriben archivos pueden provocar la pérdida de datos

  • Vulnerabilidades de seguridad: los comandos pueden comprometer la seguridad del sistema si no se revisan adecuadamente

Estos riesgos aumentan considerablemente cuando se utilizan /tools trust-all o /acceptall se omiten las solicitudes de confirmación.

Algunos ejemplos específicos de riesgos son:

  • Una solicitud para «limpiar archivos antiguos» podría eliminar archivos de configuración importantes

  • Una solicitud para «optimizar mis EC2 instancias» podría terminar con las instancias en ejecución

  • Una solicitud para «solucionar problemas de seguridad» podría modificar los permisos de forma que quedaran expuestos los datos confidenciales

aviso

AWS recomienda no utilizar el /acceptall modo /tools trust-all OR en entornos de producción o cuando se trabaja con datos o recursos confidenciales. Eres responsable de todas las acciones que lleve a cabo Amazon Q cuando estos modos estén activados.

Mejores prácticas generales de seguridad

Cuando utilice Amazon Q en cualquier entorno, especialmente en aquellos con archivos confidenciales, claves privadas, tokens u otra información confidencial, considere la posibilidad de implementar estas medidas de seguridad:

Limitar el acceso a los archivos

De forma predeterminada, Amazon Q puede leer archivos sin pedir permiso cada vez (de forma predeterminada, fs_read es de confianza). En el caso de entornos sensibles, puedes restringir este comportamiento:

Amazon Q> /tools untrust fs_read

Con esta configuración, Amazon Q solicitará tu permiso explícito antes de leer cualquier archivo. Esto le proporciona un control pormenorizado sobre los archivos a los que puede acceder Amazon Q durante la sesión.

También puede hacer que esta configuración sea persistente añadiéndola al script de inicio de su shell:

echo 'alias q="q --untrust-fs-read"' >> ~/.bashrc

Esto garantiza que cada nueva sesión de Amazon Q comience fs_read sin ser de confianza y requiera un permiso explícito para acceder a los archivos.

Medidas de seguridad adicionales

En el caso de entornos con información muy confidencial, tenga en cuenta estas medidas adicionales:

  • Utilice Amazon Q en un entorno de desarrollo dedicado que no contenga credenciales ni datos confidenciales

  • Guarde los archivos confidenciales fuera de los directorios de sus proyectos o en ubicaciones con permisos restringidos

  • Utilice variables de entorno para valores confidenciales en lugar de codificarlos en archivos

  • Considere la posibilidad de /tools untrust use_aws solicitar un permiso explícito antes de realizar llamadas a la API de AWS

  • Utilice las reglas del proyecto para definir las pautas y restricciones de seguridad (consulteUso de las reglas del proyecto)

Usar /tools trust-all de forma segura

Si debe usar /tools trustall o /acceptall para flujos de trabajo específicos, siga estas prácticas de seguridad para minimizar los riesgos:

  • Úselo únicamente en entornos de desarrollo o pruebas, nunca en producción

  • Actívala /tools trust-all solo para tareas específicas y, a continuación, /tools reset desactívala inmediatamente para volver a los permisos predeterminados

  • Haga una copia de seguridad de los datos importantes antes de activarlos /tools trust-all

  • Utilice las credenciales de AWS con permisos mínimos cuando /tools trust-all esté habilitada

  • Supervisa cuidadosamente todas las acciones que Amazon Q realiza mientras /tools trust-all está activado

Para volver a la configuración de permisos predeterminada después de usarlo/tools trust-all, usa el comando reset:

Amazon Q> /tools reset

De este modo, todas las herramientas recuperarán sus niveles de permiso predeterminados y, de forma predeterminada, solo serán fs_read confiables.