Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad para las capacidades de administración de costos en Amazon Q Developer
A continuación, se proporciona una descripción general de los permisos y la protección de datos para las funciones de administración de costos de Amazon Q Developer.
Información general de los permisos
Para utilizar las funciones de gestión de costes de Amazon Q Developer, necesita tres conjuntos de permisos de Identity and Access Management (IAM):
-
Permisos de Amazon Q: permisos para chatear con Amazon Q en la consola (como
q:StartConversationy q:SendMessage) -
Permisos de servicio: permisos para acceder a los servicios subyacentes de Billing and Cost Management que proporcionan datos de costos
-
PassRequest permiso: el
q:PassRequestpermiso que permite a Amazon Q llamar AWS APIs en tu nombre
La forma más rápida de que un administrador conceda a los usuarios acceso a Amazon Q Developer es mediante una política administrada de AmazonQFullAccess.
Permisos para las funciones de gestión de costes
La siguiente declaración de política de IAM concede a los usuarios acceso a todas las funciones de gestión de costes de Amazon Q Developer:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
Puede restringir esta política para conceder acceso únicamente a capacidades específicas de gestión de costes. Por ejemplo, si no desea que los usuarios accedan a los datos de costes a nivel de recursos, puede eliminar la ce:GetCostAndUsageWithResources acción o añadir una declaración de denegación explícita.
q: permiso PassRequest
q:PassRequestes un permiso de desarrollador de Amazon Q que permite a un desarrollador de Amazon Q llamar AWS APIs en tu nombre. Al agregar el permiso q:PassRequest a una identidad de IAM, Amazon Q Developer obtiene permiso para llamar a cualquier API a la que la identidad de IAM tenga permiso para llamar. Por ejemplo, si un rol de IAM tiene el ce:GetCostAndUsage permiso y el q:PassRequest permiso, el desarrollador de Amazon Q puede llamar a la GetCostAndUsage API cuando un usuario que asume ese rol de IAM le pida al desarrollador de Amazon Q que recupere los datos de costo y uso de Cost Explorer.
También puede permitir que los directores de IAM accedan al Explorador de costos y utilicen Amazon Q Developer, pero restringirles el uso de las capacidades de análisis u optimización de costos de Amazon Q Developer mediante la clave de condición globalaws:CalledVia. La siguiente política de IAM proporciona un ejemplo del uso de esta clave de condición:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
Acceso a varias cuentas
Para los usuarios de AWS Organizations, los administradores de cuentas de administración pueden restringir el acceso de los usuarios de las cuentas miembros a los datos de Cost Explorer y Cost Optimization Hub (incluido el acceso a descuentos, créditos y reembolsos) mediante las preferencias de administración de costos en la consola AWS Billing and Cost Management. Estas preferencias se aplican a Amazon Q Developer del mismo modo que se aplican a la consola de administración, el SDK y la CLI. Amazon Q Developer respeta las preferencias actuales de los clientes.
Llamadas entre regiones
Los datos de los servicios del Centro de optimización de costos y Explorador de costos se alojan en la región este de EE. UU. (Norte de Virginia). Los datos de AWS Compute Optimizer se alojan en la AWS región en la que se encuentran los recursos subyacentes, como las EC2 instancias. Los datos proporcionados desde la lista de AWS precios APIs se alojan en us-east-1, eu-central-1 y ap-south-1 (tenga en cuenta que la lista de precios no incluye ningún dato específico del cliente). AWS APIs Las solicitudes de administración de costos en Amazon Q Developer pueden requerir llamadas entre regiones. Para obtener más información, consulte Cross region inference in Amazon Q Developer en la Guía del usuario de Amazon Q Developer.
Protección de datos
Podemos utilizar cierto contenido del nivel gratuito de Amazon Q Developer para mejorar el servicio. Amazon Q Developer puede usar este contenido, por ejemplo, para proporcionar mejores respuestas a preguntas habituales, solucionar problemas operativos de Amazon Q Developer, eliminar errores o para entrenamiento del modelo. El contenido que se AWS puede utilizar para mejorar el servicio incluye, por ejemplo, sus preguntas a Amazon Q Developer y las respuestas y el código que genera Amazon Q Developer. No utilizamos contenido de Amazon Q Developer Pro o Amazon Q Business para mejorar el servicio.
La forma de excluirse de la capa gratuita para desarrolladores de Amazon Q mediante el uso del contenido para mejorar los servicios depende del entorno en el que utilice Amazon Q. Para la consola de AWS administración, la aplicación móvil de la AWS consola, los AWS sitios web y el AWS chatbot, configure una política de exclusión de los servicios de IA en Organizations AWS . Para obtener más información, consulte Políticas de exclusión de los servicios de IA en la Guía del usuario de AWS Organizations.
