Administración del acceso a Amazon Q Developer para la integración de terceros

Para las integraciones de terceros, debe usar AWS Key Management Service (KMS) para administrar el acceso a Amazon Q Developer en lugar de las políticas de IAM que no se basan en la identidad ni en los recursos.

Permiso a los administradores para usar claves administradas por el cliente para actualizar las políticas de roles

En la siguiente política de claves de ejemplo se concede permiso para usar claves administradas por el cliente (CMK) al crear la política de claves en un rol configurado en la consola de KMS. Al configurar la CMK, debe proporcionar el ARN del rol de IAM, un identificador, utilizado por la integración para llamar a Amazon Q. Si ya ha incorporado una integración, como, por ejemplo, una instancia de GitLab, debe volver a incorporar la instancia para que todos los recursos se cifren con la CMK.

La clave de condición kms:ViaService limita el uso de una clave de KMS a determinadas solicitudes de servicios de AWS. También se utiliza para denegar permisos para usar una clave de KMS cuando la solicitud proceda de determinados servicios. Con la clave de condición, puede limitar quién puede usar la CMK para cifrar o descifrar contenido. Para obtener más información, consulte kms:ViaService en la Guía para desarrolladores de AWS Key Management Service.

Con el contexto de cifrado de KMS, dispone de un conjunto opcional de pares clave-valor que se pueden incluir en las operaciones criptográficas con claves de KMS de cifrado simétrico para mejorar la autorización y la auditabilidad. El contexto de cifrado se puede usar para verificar la integridad y la autenticidad de los datos cifrados, controlar el acceso a las claves de KMS de cifrado simétrico en las políticas de claves y las políticas de IAM e identificar y clasificar las operaciones criptográficas en los registros de AWS CloudTrail. Para obtener más información, consulte Contexto de cifrado en la Guía para desarrolladores de AWS Key Management Service.