Configuración del complemento Wiz de Amazon Q Developer - Amazon Q Developer
Requisitos previosSecretos y roles de servicioConfiguración del complemento WizConfiguración de permisos de usuarioChat con el complemento Wiz

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del complemento Wiz de Amazon Q Developer

Wiz es una plataforma de seguridad en la nube que ofrece administración de la posición de seguridad, evaluación y priorización de riesgos y administración de vulnerabilidades. Si lo utiliza Wiz para evaluar y supervisar sus AWS aplicaciones, puede utilizar el complemento del chat de Amazon Q para acceder a la información Wiz sin salir del Consola de administración de AWS.

Puede usar el complemento para identificar y recuperar problemas de Wiz, evaluar sus activos más arriesgados y comprender las vulnerabilidades o exposiciones. Tras recibir una respuesta, puede hacer preguntas de seguimiento, por ejemplo, cómo solucionar un problema.

Para configurar el complemento, debe proporcionar las credenciales de autenticación de su cuenta de Wiz para habilitar una conexión entre Amazon Q y Wiz. Después de configurar el complemento, puede acceder a las métricas de Wiz añadiendo @wiz al principio de su pregunta en el chat de Amazon Q.

aviso

WizEl Wiz complemento de Amazon Q. No detecta los permisos de usuario. Cuando un administrador configura el Wiz complemento en una AWS cuenta, los usuarios con permisos de complemento en esa cuenta tienen acceso a todos los recursos de la Wiz cuenta que pueda recuperar el complemento.

Puede configurar las políticas de IAM para restringir los complementos a los que tienen acceso los usuarios. Para obtener más información, consulte Configuración de permisos de usuario.

Requisitos previos

Inclusión de permisos

Para configurar los complementos, se necesitan los siguientes permisos de nivel de administrador:

Adquisición de credenciales

Antes de comenzar, anote la siguiente información de su cuenta de Wiz. Estas credenciales de autenticación se almacenarán en AWS Secrets Manager secreto al configurar el complemento.

  • URL del punto de conexión de la API: la URL con la que accede a Wiz. Por ejemplo, https://api.us1.app.Wiz.io/graphql. Para obtener más información, consulte API endpoint URL en la documentación sobre Wiz.

  • ID de cliente y secreto de cliente: credenciales que permiten a Amazon Q llamar Wiz APIs para acceder a tu aplicación. Para obtener más información, consulte Client ID and Client secret en la documentación de Wiz.

Secretos y roles de servicio

AWS Secrets Manager secreto

Al configurar el complemento, Amazon Q crea un nuevo AWS Secrets Manager secreto para almacenar las credenciales de Wiz autenticación. También puede usar un secreto existente que haya creado usted mismo.

Si crea un secreto usted mismo, asegúrese de que incluya las siguientes credenciales y que utiliza el siguiente formato JSON: 

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Para obtener más información acerca de la creación de secretos, consulte Create a secret en la Guía del usuario de AWS Secrets Manager .

Roles de servicio

Para configurar el complemento de Wiz en Amazon Q Developer, debe crear un rol de servicio que conceda permiso a Amazon Q para acceder a su secreto de Secrets Manager. Amazon Q asume este rol para acceder al secreto donde están guardadas sus credenciales de Wiz.

Al configurar el complemento en la AWS consola, tiene la opción de crear un nuevo secreto o utilizar uno existente. Si crea un nuevo secreto, el rol de servicio asociado se crea automáticamente. Si utiliza un secreto y un rol de servicio existente, asegúrese de que su rol de servicio contenga estos permisos y tenga asociada la siguiente política de confianza. El rol de servicio necesario depende del método de cifrado del secreto.

Si el secreto está cifrado con una clave de KMS administrada por AWS , se requiere el siguiente rol de servicio de IAM:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
Mostrar másMostrar menos

Si el secreto está cifrado con una AWS KMS clave gestionada por el cliente, se requiere el siguiente rol de servicio de IAM:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
Mostrar másMostrar menos

Para que Amazon Q pueda asumir el rol de servicio, dicho rol necesita la siguiente política de confianza:

nota

El prefijo codewhisperer es un nombre heredado de un servicio que se fusionó con Amazon Q Developer. Para obtener más información, consulte Cambio de nombres de Amazon Q Developer: resumen de cambios.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
Mostrar másMostrar menos

Para obtener más información sobre las funciones de servicio, consulte Crear una función para delegar permisos a un AWS servicio en la Guía del AWS Identity and Access Management usuario.

Configuración del complemento Wiz

Puede configurar complementos en la consola de Amazon Q Developer. Amazon Q utiliza las credenciales almacenadas en AWS Secrets Manager para permitir las interacciones con Wiz.

Para configurar el complemento Wiz, realice el siguiente procedimiento:

  1. Abre la consola Amazon Q Developer en https://console.aws.amazon.com/amazonq/developer/home

  2. En la página de inicio de la consola de Amazon Q Developer, seleccione Configuración.

  3. En la barra de navegación, elija Complementos.

  4. En la página de complementos, seleccione el signo más en el panel de Wiz. Se abre la página de configuración del complemento.

  5. En la URL del punto de conexión de API, introduzca la URL del punto de conexión de API con la que accede a Wiz.

  6. AWS Secrets Manager En Configurar, elija Crear un secreto nuevo o Usar un secreto existente. El secreto de Secrets Manager es donde se almacenarán sus credenciales de autenticación de Wiz.

    Si crea un nuevo secreto, introduzca la siguiente información:

    1. En ID de cliente, introduzca el ID de cliente de su cuenta de Wiz.

    2. En Secreto de cliente, introduzca el secreto de cliente de su cuenta de Wiz.

    3. Se creará un rol de servicio que Amazon Q utilizará para acceder al secreto donde están almacenadas sus credenciales de Wiz. No edite el rol de servicio que se ha creado para usted.

    Si utiliza un secreto existente, seleccione un secreto del menú desplegable Secreto de AWS Secrets Manager . El secreto debe incluir las credenciales de autenticación de Wiz especificadas en el paso anterior.

    Para obtener más información sobre las credenciales necesarias, consulte Adquisición de credenciales .

  7. En Configurar el rol de servicio de AWS IAM, elija Crear un nuevo rol de servicio o Usar el rol de servicio existente.

    nota

    Si selecciona Crear un secreto nuevo en el paso 6, no podrá usar un rol de servicio existente. Se creará un nuevo rol de servicio.

    Si crea un nuevo rol de servicio, se generará un rol de servicio que Amazon Q utilizará para acceder al secreto en el que están almacenadas sus credenciales de Wiz. No edite el rol de servicio que se ha creado para usted.

    Si utiliza un rol de servicio existente, elija uno del menú desplegable que aparece. Asegúrese de que el rol de servicio tiene los permisos y la política de confianza que se definen en Roles de servicio.

  8. Seleccione Guardar configuración.

  9. Cuando el panel del complemento Wiz aparezca en la sección Complementos configurados de la página de complementos, los usuarios tendrán acceso al complemento.

Si desea actualizar las credenciales de un complemento, debe eliminar el complemento actual y configurar uno nuevo. Al eliminar un complemento, se eliminan todas las especificaciones anteriores. Cada vez que configure un nuevo complemento, se genera un nuevo ARN de complemento.

Configuración de permisos de usuario

Los siguientes permisos son necesarios para utilizar los complementos:

Cuando concede a una identidad de IAM acceso a un complemento Wiz configurado, la identidad obtiene acceso a todos los recursos de la cuenta de Wiz que pueda recuperar el complemento. El complemento no detecta los permisos de usuario de Wiz. Si desea controlar el acceso a un complemento, puede hacerlo especificando el ARN del complemento en una política de IAM.

Cada vez que cree o elimine y vuelva a configurar un complemento, se le asigna un nuevo ARN. Si utiliza un ARN de complemento en una política, tendrá que actualizarlo si quiere conceder acceso al complemento recién configurado.

Para localizar el ARN del complemento Wiz, vaya a la página Complementos de la consola de Amazon Q Developer y elija el complemento Wiz configurado. En la página de detalles del complemento, copie el ARN del complemento. Puede agregar este ARN a una política para permitir o denegar el acceso al complemento Wiz.

Si crea una política para controlar el acceso a los complementos Wiz, especifique Wiz en el proveedor del complemento en la política.

Para ver ejemplos de políticas de IAM que controlan el acceso al complemento, consulte Permiso a los usuarios para chatear con complementos de un proveedor.

Chat con el complemento Wiz

Para usar el complemento Wiz de Amazon Q, introduzca @Wiz al principio de una pregunta sobre sus problemas de Wiz. Las preguntas de seguimiento o las respuestas a las preguntas de Amazon Q también deben incluir @Wiz.

A continuación, se muestran algunos ejemplos de casos de uso y preguntas asociadas que puede hacer para aprovechar al máximo el complemento Wiz de Amazon Q:

  • Ver los problemas de gravedad crítica: solicite al complemento Wiz de Amazon Q que enumere los problemas críticos o de alta gravedad. El complemento puede devolver hasta 10 problemas. También puede solicitar una lista de los 10 problemas más graves.

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • Enumerar los problemas según la fecha o el estado: solicite que se enumeren los problemas según la fecha de creación, la fecha de vencimiento o la fecha de resolución. También puede especificar los problemas en función de propiedades como el estado, la gravedad y el tipo.

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • Evaluar los problemas con las vulnerabilidades de seguridad: pregunte acerca de las vulnerabilidades o exposiciones que representan una amenaza para la seguridad en sus problemas.

    • @wiz which issues are associated with vulnerabilities or external exposures?