Configuration du plug-in CloudZero d’Amazon Q Developer - Amazon Q Developer
PrérequisSecrets et rôles de serviceConfiguration du plug-in CloudZeroConfiguration d’autorisations utilisateurChat avec le plug-in CloudZero

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du plug-in CloudZero d’Amazon Q Developer

CloudZeroest une plateforme d'optimisation des coûts du cloud qui évalue les coûts afin d'améliorer l'efficacité du cloud. Si vous avez l'CloudZerohabitude de surveiller vos AWS coûts, vous pouvez utiliser le CloudZero plugin dans le chat Amazon Q Developer pour accéder aux informations sur les coûts sans quitter le AWS Management Console.

Vous pouvez utiliser le CloudZero plugin pour comprendre vos AWS coûts, obtenir des informations sur l'optimisation des coûts et suivre la facturation. Après avoir reçu une réponse, vous pouvez poser des questions complémentaires, telles que le statut ou l'impact financier des CloudZero informations.

Pour configurer le plug-in, vous devez fournir les informations d’authentification de votre compte CloudZero afin d’établir une connexion entre Amazon Q et CloudZero. Après avoir configuré le plugin, vous pouvez accéder aux CloudZero données en les ajoutant @cloudzero au début de votre question dans le chat Amazon Q.

Avertissement

CloudZeroles autorisations utilisateur ne sont pas détectées par le CloudZero plugin sur Amazon Q. Lorsqu'un administrateur configure le CloudZero plugin dans un AWS compte, les utilisateurs disposant d'autorisations sur ce compte ont accès à toutes les ressources du CloudZero compte consultables par le plugin.

Vous pouvez configurer des politiques IAM pour limiter les plug-ins auxquels les utilisateurs ont accès. Pour de plus amples informations, veuillez consulter Configuration d’autorisations utilisateur.

Prérequis

Ajout d’autorisations

Pour configurer des plug-ins, les autorisations de niveau administrateur suivantes sont requises :

Acquisition des informations d’identification

Avant de commencer, notez les informations suivantes de votre compte CloudZero. Ces informations d'authentification seront stockées dans un AWS Secrets Manager secret lorsque vous configurerez le plugin.

  • Clé d'API : clé d'accès qui permet à Amazon Q d'appeler l'CloudZeroAPI pour accéder aux informations sur les coûts et aux informations de facturation de votre organisation. Vous trouverez la clé API dans les paramètres de votre CloudZero compte. Pour plus d'informations, consultez l'autorisation dans la CloudZero documentation.

Pour plus d'informations sur l'acquisition d'informations d'identification à partir de votre CloudZero compte, consultez la CloudZerodocumentation.

Secrets et rôles de service

AWS Secrets Manager secret

Lorsque vous configurez le plugin, Amazon Q crée un nouveau AWS Secrets Manager secret pour que vous puissiez stocker les informations CloudZero d'authentification. Vous pouvez également utiliser un secret que vous avez vous-même créé.

Si vous créez vous-même un secret, entrez la clé d'API sous forme de texte brut :

your-api-key

Pour plus d’informations sur la création de secrets, consultez Création d’un secret dans le Guide de l’utilisateur AWS Secrets Manager .

Rôles du service

Pour configurer le plug-in CloudZero dans Amazon Q Developer, vous devez créer un rôle de service qui autorise Amazon Q à accéder à votre secret Secrets Manager. Amazon Q assume ce rôle pour accéder au secret dans lequel sont stockées vos informations d’identification CloudZero.

Lorsque vous configurez le plugin dans la AWS console, vous avez la possibilité de créer un nouveau secret ou d'utiliser un secret existant. Si vous créez un secret, le rôle de service associé est créé pour vous. Si vous utilisez un secret et un rôle de service existants, assurez-vous que votre rôle de service contient les autorisations suivantes et qu’il est attaché à la politique d’approbation ci-dessous. Le rôle de service requis dépend de la méthode de chiffrement de votre secret.

Si votre secret est chiffré à l’aide d’une clé KMS gérée par AWS , le rôle de service IAM suivant est requis :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
Afficher plusAfficher moins

Si votre secret est chiffré à l'aide d'une AWS KMS clé gérée par le client, le rôle de service IAM suivant est requis :

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
Afficher plusAfficher moins

Pour autoriser Amazon Q à assumer le rôle de service, celui-ci doit respecter la politique d’approbation suivante :

Note

Le préfixe codewhisperer est un nom hérité d’un service qui a fusionné avec Amazon Q Developer. Pour de plus amples informations, veuillez consulter Changement de nom d’Amazon Q Developer : résumé des modifications.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
Afficher plusAfficher moins

Pour plus d'informations sur les rôles de service, voir Créer un rôle pour déléguer des autorisations à un AWS service dans le Guide de AWS Identity and Access Management l'utilisateur.

Configuration du plug-in CloudZero

Vous allez configurez le plug-in dans la console Amazon Q Developer. Amazon Q utilise les informations d’identification stockées dans AWS Secrets Manager pour interagir avec CloudZero.

Pour configurer le plug-in CloudZero, suivez la procédure ci-dessous :

  1. Ouvrez la console Amazon Q Developer sur le site du https://console.aws.amazon.com/amazonq/développeur/à la maison

  2. Sur la page d’accueil de la console Amazon Q Developer, sélectionnez Paramètres.

  3. Dans la barre de navigation, choisissez Plug-ins.

  4. Sur la page des plug-ins, choisissez le signe plus dans le volet CloudZero. La page de configuration du plug-in s’ouvre.

  5. Pour Configurer AWS Secrets Manager, choisissez Créer un nouveau secret ou Utiliser un secret existant. Le secret Secrets Manager est l’emplacement de stockage de vos informations d’authentification CloudZero.

    Si vous créez un secret, saisissez les informations suivantes :

    1. Sous Clé d’API CloudZero, saisissez la clé d’API de votre organisation CloudZero.

    2. Un rôle de service est créé. Amazon Q l’utilisera pour accéder au secret dans lequel vos informations d’identification CloudZero sont stockées. Ne modifiez pas le rôle de service créé pour vous.

    Si vous utilisez un secret existant, choisissez-en un dans le menu déroulant Secret AWS Secrets Manager . Le secret doit inclure les informations d’authentification CloudZero spécifiées à l’étape précédente.

    Pour plus d’informations sur les informations d’identification requises, consultez Acquisition des informations d’identification.

  6. Pour Configurer le rôle de service AWS IAM, choisissez Créer un nouveau rôle de service ou Utiliser un rôle de service existant.

    Note

    Si vous avez choisi Créer un secret à l’étape 6, vous ne pouvez pas utiliser un rôle de service existant. Un nouveau rôle est créé pour vous.

    Amazon Q l’utilisera pour accéder au secret dans lequel vos informations d’identification CloudZero sont stockées. Ne modifiez pas le rôle de service créé pour vous.

    Si vous utilisez un rôle de service existant, choisissez-en un dans le menu déroulant qui s’affiche. Assurez-vous que votre rôle de service dispose des autorisations et de la politique d’approbation définies dans Rôles du service.

  7. Choisissez Save configuration.

  8. Une fois que le volet du plug-in CloudZero apparaît dans la section Plug-ins configurés de la page Plug-ins, les utilisateurs ont accès au plug-in.

Si vous souhaitez mettre à jour les informations d’identification d’un plug-in, vous devez supprimer le plug-in actuel et en configurer un nouveau. La suppression d’un plug-in entraîne la suppression de toutes les spécifications antérieures. Chaque fois que vous configurez un nouveau plug-in, un nouvel ARN de plug-in est généré.

Configuration d’autorisations utilisateur

Les autorisations suivantes sont requises pour utiliser des plug-ins :

Lorsque vous autorisez une identité IAM à accéder à un plug-in CloudZero configuré, celle-ci accède à toutes les ressources du compte CloudZero qui peuvent être récupérées par le plug-in. Les autorisations utilisateur CloudZero ne sont pas détectées par le plug-in. Si vous souhaitez contrôler l’accès à un plug-in, vous pouvez le faire en spécifiant son ARN dans une politique IAM.

Chaque fois que vous créez ou supprimez et reconfigurez un plug-in, un nouvel ARN lui est attribué. Si vous utilisez un ARN de plug-in dans une politique, celle-ci doit être mise à jour si vous souhaitez autoriser l’accès au nouveau plug-in configuré.

Pour localiser l’ARN du plug-in CloudZero, accédez à la page Plug-ins de la console Amazon Q Developer et choisissez le plug-in CloudZero configuré. Sur la page des détails du plug-in, copiez l’ARN du plug-in. Vous pouvez ajouter cet ARN à une politique afin d’autoriser ou de refuser l’accès au plug-in CloudZero.

Si vous créez une politique pour contrôler l’accès aux plug-ins CloudZero, spécifiez CloudZero comme fournisseur de plug-in dans la politique.

Pour obtenir des exemples de politiques IAM qui contrôlent l’accès aux plug-ins, consultez Utilisateurs autorisé à discuter avec les plug-ins d’un seul fournisseur.

Chat avec le plug-in CloudZero

Pour utiliser le CloudZero plugin, saisissez @cloudzero au début d'une question concernant CloudZero ou concernant les moniteurs et les cas de votre AWS application. Les questions complémentaires ou les réponses aux questions d’Amazon Q doivent également inclure @cloudzero.

Voici quelques exemples de cas d’utilisation et de questions connexes que vous pouvez poser pour tirer le meilleur parti du plug-in CloudZero d’Amazon Q :

  • En savoir plus sur l'utilisation CloudZero avec AWS — Renseignez-vous sur le fonctionnement CloudZero des fonctionnalités. Amazon Q peut vous demander des informations supplémentaires sur ce que vous essayez de faire pour vous apporter la meilleure réponse.

    • @cloudzero how do I use CloudZero?

    • @cloudzero how do I get started with CloudZero?

  • Obtenir des informations sur les coûts : obtenez une liste d’informations sur les coûts ou découvrez-en davantage sur une information spécifique.

    • @cloudzero list my top cost insights

    • @cloudzero tell me more about insight <insight ID>

  • Obtenir des informations de facturation : demandez au CloudZero plugin Amazon Q vos informations AWS de facturation.

    • @cloudzero what were my AWS costs for December 2024?