Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración del acceso a Amazon Q Developer para la integración de terceros

Para las integraciones de terceros, debe usar el Servicio de administración de AWS claves (KMS) para administrar el acceso a Amazon Q Developer en lugar de las políticas de IAM que no se basan en la identidad ni en los recursos.

Permiso a los administradores para usar claves administradas por el cliente para actualizar las políticas de roles

En la siguiente política de claves de ejemplo se concede permiso para usar claves administradas por el cliente (CMK) al crear la política de claves en un rol configurado en la consola de KMS. Al configurar la CMK, debe proporcionar el ARN de la función de IAM, un identificador, que utiliza la integración para llamar a Amazon Q. Si ya ha incorporado una integración, como una GitLab instancia, debe volver a incorporar la instancia para que todos los recursos se cifren con la CMK.

La clave de condición kms:ViaService limita el uso de una clave de KMS a determinadas solicitudes de servicios de AWS. También se utiliza para denegar permisos para usar una clave de KMS cuando la solicitud proceda de determinados servicios. Con la clave de condición, puede limitar quién puede usar la CMK para cifrar o descifrar contenido. Para obtener más información, consulte kms: ViaService en la Guía para desarrolladores de AWS Key Management Service.

Con el contexto de cifrado de KMS, dispone de un conjunto opcional de pares clave-valor que se pueden incluir en las operaciones criptográficas con claves de KMS de cifrado simétrico para mejorar la autorización y la auditabilidad. El contexto de cifrado se puede utilizar para verificar la integridad y autenticidad de los datos cifrados, controlar el acceso a las claves KMS de cifrado simétrico en las políticas clave y las políticas de IAM, e identificar y clasificar las operaciones criptográficas en los registros de AWS. CloudTrail Para obtener más información, consulte Contexto de cifrado en la Guía para desarrolladores de AWS Key Management Service.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Sid0",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/rolename"
            },
            "Action": [
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "q.us-east-1.amazonaws.com",
                    "kms:EncryptionContext:aws-crypto-ec:aws:qdeveloper:accountId": "111122223333"
                }
            }
        },
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/rolename"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
}