Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations des utilisateurs
Les politiques suivantes permettent aux utilisateurs d'accéder aux fonctionnalités d'Amazon Q Developer sur AWS les applications et les sites Web, y compris le AWS Management Console AWS Console Mobile Application, et le AWS Documentation site.
Pour les politiques qui autorisent l'accès administratif à Amazon Q Developer, consultezAutorisations d'administrateur.
Note
Les utilisateurs qui accèdent à Amazon Q dans l'IDE ou sur la ligne de commande n'ont pas besoin d'autorisations IAM.
Autoriser les utilisateurs à accéder à Amazon Q avec un abonnement Amazon Q Developer Pro
L'exemple de politique suivant autorise l'utilisation d'Amazon Q avec un abonnement Amazon Q Developer Pro. Sans ces autorisations, les utilisateurs ne peuvent accéder qu'au niveau gratuit d'Amazon Q. Pour discuter avec Amazon Q ou utiliser d'autres fonctionnalités d'Amazon Q, les utilisateurs ont besoin d'autorisations supplémentaires, telles que celles accordées par les exemples de politiques présentés dans cette section.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGetIdentity", "Effect": "Allow", "Action": [ "q:GetIdentityMetaData" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" } ] }
Autoriser Amazon Q à accéder aux clés gérées par le client
L'exemple de politique suivant accorde aux utilisateurs l'autorisation d'accéder aux fonctionnalités chiffrées à l'aide d'une clé gérée par le client en autorisant Amazon Q à accéder à la clé. Cette politique est requise pour utiliser Amazon Q si un administrateur a configuré une clé gérée par le client pour le chiffrement.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "QKMSDecryptGenerateDataKeyPermissions", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncryptFrom", "kms:ReEncryptTo" ], "Resource": [ "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]" ], "Condition": { "StringLike": { "kms:ViaService": [ "q.{{region}}.amazonaws.com" ] } } } ] }
Autoriser les utilisateurs à discuter avec Amazon Q
L'exemple de politique suivant accorde des autorisations pour discuter avec Amazon Q dans la console.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation" ], "Resource": "*" } ] }
Autoriser les utilisateurs à utiliser Amazon Q CLI avec AWS CloudShell
L'exemple de politique suivant accorde des autorisations pour utiliser Amazon Q CLI avec AWS CloudShell.
Note
Le codewhisperer préfixe est un ancien nom issu d'un service fusionné avec Amazon Q Developer. Pour de plus amples informations, veuillez consulter Changement du nom du développeur Amazon Q - Résumé des modifications.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "codewhisperer:GenerateRecommendations", "codewhisperer:ListCustomizations", ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage" ], "Resource": "*" } ] }
Autoriser les utilisateurs à exécuter des transformations sur la ligne de commande
L'exemple de politique suivant accorde des autorisations pour transformer du code avec l'outil de ligne de commande Amazon Q pour les transformations.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "qdeveloper:StartAgentSession", "qdeveloper:ImportArtifact", "qdeveloper:ExportArtifact", "qdeveloper:TransformCode" ], "Resource": "*" } ] }
Permettre aux utilisateurs de diagnostiquer les erreurs de console avec Amazon Q
L'exemple de politique suivant accorde des autorisations pour diagnostiquer les erreurs de console avec Amazon Q.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQTroubleshooting", "Effect": "Allow", "Action": [ "q:StartTroubleshootingAnalysis", "q:GetTroubleshootingResults", "q:StartTroubleshootingResolutionExplanation", "q:UpdateTroubleshootingCommandResult", "q:PassRequest", "cloudformation:GetResource" ], "Resource": "*" } ] }
Permettre aux utilisateurs de générer du code à partir de commandes CLI avec Amazon Q
L'exemple de politique suivant accorde des autorisations pour générer du code à partir de commandes CLI enregistrées avec Amazon Q, ce qui permet d'utiliser Console-to-Code cette fonctionnalité.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConsoleToCode", "Effect": "Allow", "Action": "q:GenerateCodeFromCommands", "Resource": "*" } ] }
Permettre aux utilisateurs de discuter des ressources avec Amazon Q
L'exemple de politique suivant accorde l'autorisation de discuter avec Amazon Q au sujet des ressources et permet à Amazon Q de récupérer des informations sur les ressources en votre nom. Amazon Q est uniquement autorisé à accéder aux ressources pour lesquelles votre identité IAM est autorisée.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" } ] }
Autoriser Amazon Q à effectuer des actions en votre nom dans le chat
L'exemple de politique suivant accorde l'autorisation de discuter avec Amazon Q et permet à Amazon Q d'effectuer des actions en votre nom. Amazon Q est uniquement autorisé à effectuer des actions que votre identité IAM est autorisée à effectuer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" } ] }
Autoriser Amazon Q à accéder aux données sur les coûts et à fournir des recommandations d'optimisation des coûts
L'exemple de politique suivant autorise Amazon Q à discuter de vos coûts et permet à Amazon Q d'accéder à vos données de coûts et de fournir une analyse des coûts et des recommandations d'optimisation. Cette politique inclut les autorisations pertinentes dans AWS Cost Explorer Hub d'optimisation des coûts AWS, et AWS Compute Optimizer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostAnalysis", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues" ], "Resource": "*" }, { "Sid": "AllowCostOptimization", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation" ], "Resource": "*" } ] }
Refuser à Amazon Q l'autorisation d'effectuer des actions spécifiques en votre nom
L'exemple de politique suivant accorde l'autorisation de discuter avec Amazon Q et permet à Amazon Q d'effectuer toute action en votre nom que votre identité IAM est autorisée à effectuer, à l'exception des EC2 actions Amazon. Cette politique utilise la clé de condition aws:CalledVia globale pour spécifier que les EC2 actions Amazon ne sont refusées que lorsqu'Amazon Q les appelle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["q.amazonaws.com"] } } } ] }
Autorisez Amazon Q à effectuer des actions spécifiques en votre nom
L'exemple de politique suivant accorde l'autorisation de discuter avec Amazon Q et permet à Amazon Q d'effectuer toute action en votre nom que votre identité IAM est autorisée à effectuer, à l'exception des EC2 actions Amazon. Cette politique accorde à votre identité IAM l'autorisation d'effectuer n'importe quelle EC2 action Amazon, mais autorise uniquement Amazon Q à effectuer l'ec2:describeInstancesaction. Cette politique utilise la clé de condition aws:CalledVia globale pour spécifier qu'Amazon Q est uniquement autorisé à appelerec2:describeInstances, et aucune autre EC2 action Amazon n'est autorisée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringNotEquals": { "aws:CalledVia": ["q.amazonaws.com"] } } }, { "Effect": "Allow", "Action": [ "ec2:describeInstances" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": ["q.amazonaws.com"] } } } ] }
Autorisez Amazon Q à effectuer des actions en votre nom dans des régions spécifiques
L'exemple de politique suivant accorde l'autorisation de discuter avec Amazon Q et permet à Amazon Q de passer des appels uniquement vers les us-west-2 régions us-east-1 et lorsqu'il effectue des actions en votre nom. Amazon Q ne peut passer d'appels vers aucune autre région. Pour plus d'informations sur la manière de spécifier les régions vers lesquelles vous pouvez passer des appels, consultez aws : RequestedRegion dans le guide de AWS Identity and Access Management l'utilisateur.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "us-east-1", "us-west-2" ] } } } ] }
Refuser à Amazon Q l'autorisation d'effectuer des actions en votre nom
L'exemple de politique suivant empêche Amazon Q d'effectuer des actions en votre nom.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQPassRequest", "Effect": "Deny", "Action": [ "q:PassRequest" ], "Resource": "*" } ] }
Permettre aux utilisateurs de discuter avec les plugins d'un seul fournisseur
L'exemple de politique suivant accorde l'autorisation de discuter avec n'importe quel plugin d'un fournisseur donné configuré par un administrateur, spécifié par l'ARN du plugin avec le nom du fournisseur du plugin et un caractère générique ()*. Si le plugin est supprimé et reconfiguré, un utilisateur disposant de ces autorisations conservera l'accès au plugin nouvellement configuré. Pour utiliser cette politique, remplacez le texte suivant dans l'ARN du Resource champ :
-
AWS-region— L' Région AWS endroit où le plugin a été créé. -
AWS-account-ID— L' AWS identifiant du compte sur lequel votre plugin est configuré. -
plugin-provider— Le nom du fournisseur de plugins auquel vous souhaitez autoriser l'accèsCloudZeroDatadog, que vous aimez ouWiz. Le champ du fournisseur de plugins distingue les majuscules et minuscules.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation" ], "Resource": "*" }, { "Sid": "AllowAmazonQPluginAccess", "Effect": "Allow", "Action": [ "q:UsePlugin" ], "Resource": "arn:aws:qdeveloper:AWS-region:AWS-account-ID:plugin/plugin-provider/*" } ] }
Permettre aux utilisateurs de discuter avec un plugin spécifique
L'exemple de politique suivant accorde l'autorisation de discuter avec un plugin spécifique, spécifié par l'ARN du plugin. Si le plugin est supprimé et reconfiguré, l'utilisateur n'aura pas accès au nouveau plugin à moins que l'ARN du plugin ne soit mis à jour dans cette politique. Pour utiliser cette politique, remplacez le texte suivant dans l'ARN du Resource champ :
-
AWS-region— L' Région AWS endroit où le plugin a été créé. -
AWS-account-ID— L' AWS identifiant du compte sur lequel votre plugin est configuré. -
plugin-provider— Le nom du fournisseur de plugins auquel vous souhaitez autoriser l'accèsCloudZeroDatadog, que vous aimez ouWiz. Le champ du fournisseur de plugins distingue les majuscules et minuscules. -
plugin-ARN— L'ARN du plugin auquel vous souhaitez autoriser l'accès.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation" ], "Resource": "*" }, { "Sid": "AllowAmazonQPluginAccess", "Effect": "Allow", "Action": [ "q:UsePlugin" ], "Resource": "arn:aws:qdeveloper:AWS-region:AWS-account-ID:plugin/plugin-provider/plugin-ARN" } ] }
Refuser l’accès à Amazon Q
L'exemple de politique suivant refuse toutes les autorisations d'utilisation d'Amazon Q.
Note
Lorsque vous refusez l'accès à Amazon Q, l'icône Amazon Q et le panneau de discussion apparaissent toujours dans la AWS console, le AWS site Web, les pages de AWS documentation ou AWS Console Mobile Application.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQFullAccess", "Effect": "Deny", "Action": [ "q:*" ], "Resource": "*" } ] }
Permettre aux utilisateurs de consulter leurs autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
