Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración del acceso a Amazon Q Developer con políticas de IAM
nota
La información de esta página se refiere al acceso a Amazon Q Developer. Para obtener información sobre la gestión del acceso a Amazon Q Business, consulte los ejemplos de Identity-based políticas de Amazon Q Business en la Guía del usuario de Amazon Q Business.
Las políticas y los ejemplos de este tema son específicos de Amazon Q en el Consola de administración de AWS AWS sitio web y en las aplicaciones de chat. AWS Console Mobile Application AWS Documentation Es posible que otros servicios integrados con Amazon Q requieran políticas o configuraciones diferentes. Los usuarios finales de Amazon Q en IDE de terceros no están obligados a utilizar políticas de IAM. Para obtener más información, consulte la documentación de los servicios que contienen una característica o integración de Amazon Q.
De forma predeterminada, los usuarios y los roles no tienen permiso para utilizar Amazon Q. Los administradores de IAM pueden administrar el acceso a Amazon Q Developer y sus características mediante la concesión de permisos a las identidades de IAM.
La forma más rápida para que un administrador conceda acceso a los usuarios es mediante una política AWS gestionada. La política AmazonQFullAccess se puede asociar a las identidades de IAM para conceder el acceso total a Amazon Q Developer y sus características. Para obtener más información sobre esta política, consulte AWS políticas gestionadas para Amazon Q Developer.
Para administrar acciones específicas que las identidades de IAM pueden realizar con Amazon Q Developer, los administradores pueden crear políticas personalizadas que definan los permisos que tiene un usuario, grupo o rol. También puede utilizar políticas de control de servicios (SCP) para controlar qué características de Amazon Q están disponibles en su organización.
Para ver una lista de todos los permisos de Amazon Q que puede controlar con políticas, consulte Referencia de permisos de Amazon Q Developer.
Temas
Prácticas recomendadas sobre las políticas
Identity-based las políticas determinan si alguien puede crear, acceder o eliminar los recursos de Amazon Q Developer de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de tarea en la Guía de usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Validación de políticas con el Analizador de acceso de IAM en la Guía del usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte Acceso seguro a la API con MFA en la Guía del usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Asignar permisos
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en: AWS IAM Identity Center
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
Administración del acceso con políticas de control de servicios (SCP)
Las políticas de control de servicio (SCP) son un tipo de política de la organización que puede utilizar para administrar los permisos de la organización. Puede controlar qué características de Amazon Q Developer están disponibles en su organización creando una SCP que especifique los permisos para algunas o todas las acciones de Amazon Q.
Para obtener más información sobre el uso de las SCP con el fin de controlar el acceso en su organización, consulte Creating, updating, and deleting service control policies y Attaching and detaching service control policies en la Guía del usuario de AWS Organizations .
SCP de ejemplo: denegar el acceso a Amazon Q fuera de las regiones de la UE
El siguiente SCP deniega el acceso a cualquier uso de Amazon Q Developer fuera de la región Europa (Fráncfort) (eu-central-1).
nota
El prefijo codewhisperer es un nombre heredado de un servicio que se fusionó con Amazon Q Developer. Para obtener más información, consulte Cambio de nombres de Amazon Q Developer: resumen de cambios.
SCP de ejemplo: denegar el acceso a Amazon Q
El siguiente SCP deniega el acceso a Amazon Q Developer.
nota
Al denegar el acceso a Amazon Q no se inhabilitará el icono o el panel de chat de Amazon Q en la AWS consola, el AWS sitio web, las páginas de AWS documentación o AWS Console Mobile Application.
