Seguridad para las capacidades de gestión de costes en Amazon Q Developer - AWS Gestión de costes
Permisos de análisis de costesPermisos de optimización de costesq: permiso PassRequest Llamadas entre regionesProtección de los datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad para las capacidades de gestión de costes en Amazon Q Developer

A continuación, se proporciona una descripción general de los permisos y la protección de datos para las funciones de gestión de costes de Amazon Q Developer.

Permisos de análisis de costes

Todos los datos de costes proporcionados por Amazon Q Developer provienen de Cost Explorer. El usuario de IAM que accede a la función de análisis de costes de Amazon Q Developer debe tener permisos para utilizar Amazon Q Developer y permisos para recuperar datos de costes y uso de Cost Explorer. La forma más rápida para que un administrador conceda a los usuarios acceso a Amazon Q Developer es utilizar la política AmazonQFullAccess gestionada. Los usuarios también necesitan acceder al permiso ce:GetCostAndUsage.

La siguiente declaración de política de IAM concede a los usuarios acceso a la función de análisis de costes de Amazon Q Developer:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostAnalysisInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"ce:GetCostAndUsage",
				"ce:GetCostForecast",
				"ce:GetDimensionValues",
				"ce:GetTags",
				"ce:GetCostCategories"
			],
			"Resource": "*"
		}
	]
}

Permisos de optimización de costes

La siguiente declaración de política de IAM concede a los usuarios acceso a la capacidad de optimización de costes de Amazon Q Developer:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostOptimizationInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"cost-optimization-hub:GetRecommendation",
				"cost-optimization-hub:ListRecommendations",
				"cost-optimization-hub:ListRecommendationSummaries",
				"compute-optimizer:GetAutoScalingGroupRecommendations",
				"compute-optimizer:GetEBSVolumeRecommendations",
				"compute-optimizer:GetEC2InstanceRecommendations",
				"compute-optimizer:GetECSServiceRecommendations",
				"compute-optimizer:GetLambdaFunctionRecommendations",
				"compute-optimizer:GetRDSDatabaseRecommendations",
				"compute-optimizer:GetIdleRecommendations",
				"compute-optimizer:GetEffectiveRecommendationPreferences",
				"ce:GetReservationPurchaseRecommendation",
				"ce:GetSavingsPlansPurchaseRecommendation"
			],
			"Resource": "*"
		}
	]
}

q: permiso PassRequest

q:PassRequestes un permiso de desarrollador de Amazon Q que permite a un desarrollador de Amazon Q llamar AWS APIs en tu nombre. Al añadir el q:PassRequest permiso a una identidad de IAM, el desarrollador de Amazon Q obtiene permiso para llamar a cualquier API a la que la identidad de IAM tenga permiso para llamar. Por ejemplo, si una función de IAM tiene el ce:GetCostAndUsage permiso y el q:PassRequest permiso, Amazon Q Developer podrá llamar a la GetCostAndUsage API cuando un usuario que asuma esa función de IAM solicite a Amazon Q Developer que recupere los datos de coste y uso de Cost Explorer.

También puede permitir que los directores de IAM accedan a Cost Explorer y utilicen Amazon Q Developer, pero restringirles el uso de las capacidades de análisis o optimización de costos de Amazon Q Developer mediante la clave de condición aws:CalledVia global. La siguiente política de IAM proporciona un ejemplo del uso de esta clave de condición.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "ce:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ce:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Para los usuarios de AWS Organizations, los administradores de cuentas de administración pueden restringir el acceso de los usuarios de las cuentas miembros a los datos de Cost Explorer y Cost Optimization Hub (incluido el acceso a descuentos, créditos y reembolsos) mediante las preferencias de administración de costos en la consola AWS Billing and Cost Management. Estas preferencias se aplican a Amazon Q Developer del mismo modo que se aplican a la consola de administración, el SDK y la CLI. Amazon Q Developer respeta las preferencias actuales de los clientes.

Llamadas entre regiones

Los datos de los servicios Cost Optimization Hub y Cost Explorer se alojan en la región EE.UU. Este (Norte de Virginia). Los datos de AWS Compute Optimizer se alojan en la AWS región en la que se encuentran los recursos subyacentes, como las EC2 instancias. Las solicitudes de análisis y optimización de costos pueden requerir llamadas entre regiones. Para obtener más información, consulte Procesamiento entre regiones en Amazon Q Developer en la Guía del usuario para desarrolladores de Amazon Q.

Protección de los datos

Es posible que usemos cierto contenido de la capa gratuita para desarrolladores de Amazon Q para mejorar el servicio. Los desarrolladores de Amazon Q pueden usar este contenido, por ejemplo, para proporcionar mejores respuestas a preguntas comunes, solucionar problemas operativos de los desarrolladores de Amazon Q, para la depuración o para la formación de modelos. El contenido que AWS puede utilizarse para mejorar el servicio incluye, por ejemplo, sus preguntas a Amazon Q Developer y las respuestas y el código que genera Amazon Q Developer. No utilizamos contenido de Amazon Q Developer Pro o Amazon Q Business para mejorar el servicio.

La forma de excluirse de la capa gratuita para desarrolladores de Amazon Q mediante el uso del contenido para mejorar los servicios depende del entorno en el que utilice Amazon Q. Para la consola de AWS administración, la aplicación móvil de la AWS consola, los AWS sitios web y el AWS chatbot, configure una política de exclusión de los servicios de IA en Organizations AWS . Para obtener más información, consulte las políticas de exclusión de los servicios de IA en la AWS Guía del usuario de Organizations. En el IDE, para el nivel gratuito de Amazon Q Developer, ajuste la configuración en el IDE. Para obtener más información, consulte Excluirse del intercambio de datos en el IDE en la Guía del usuario para desarrolladores de Amazon Q.