Prérequis Secrets et rôles de service Configuration du plug-in Wiz Configuration d’autorisations utilisateur Discussion avec le plug-in Wiz

Configuration du plug-in Wiz d’Amazon Q Developer

Wiz est une plateforme de sécurité du cloud, qui assure la gestion de la posture de sécurité, l’évaluation et la hiérarchisation des risques, ainsi que la gestion des vulnérabilités. Si vous utilisez Wiz pour évaluer et surveiller vos applications AWS, vous pouvez utiliser le plug-in Wiz dans le chat Amazon Q pour accéder aux informations sans quitter la AWS Management Console.

Vous pouvez utiliser le plug-in pour identifier et résoudre les problèmes Wiz, évaluer les ressources les plus à risque et comprendre les vulnérabilités ou les expositions. Après avoir reçu une réponse, vous pouvez poser des questions complémentaires, notamment sur la manière de résoudre un problème.

Pour configurer le plug-in, vous devez fournir les informations d’authentification de votre compte Wiz afin d’établir une connexion entre Amazon Q et Wiz. Après avoir configuré le plug-in, vous pouvez accéder aux métriques Wiz en ajoutant @wiz au début de votre question dans le chat Amazon Q.

Avertissement

Les autorisations utilisateur Wiz ne sont pas détectées par le plug-in Wiz dans Amazon Q. Lorsqu’un administrateur configure le plug-in Wiz dans un compte AWS, les utilisateurs disposant d’autorisations sur ce compte ont accès à toutes les ressources du compte Wiz que le plug-in peut récupérer.

Vous pouvez configurer des politiques IAM pour limiter les plug-ins auxquels les utilisateurs ont accès. Pour plus d’informations, consultez Configuration d’autorisations utilisateur.

Prérequis

Ajout d’autorisations

Pour configurer des plug-ins, les autorisations de niveau administrateur suivantes sont requises :

Autorisations d’accéder à la console Amazon Q Developer. Pour obtenir un exemple de politique IAM qui accorde les autorisations requises, consultez Administrateurs autorisés à utiliser la console Amazon Q Developer.
Autorisations de configurer des plug-ins. Pour obtenir un exemple de politique IAM qui accorde les autorisations requises, consultez Administrateurs autorisés à configurer les plug-ins.

Acquisition des informations d’identification

Avant de commencer, notez les informations suivantes de votre compte Wiz. Ces informations d’authentification seront stockées dans un secret AWS Secrets Manager lorsque vous configurerez le plug-in.

URL du point de terminaison d’API : URL d’accès à Wiz. Par exemple, https://api.us1.app.Wiz.io/graphql. Pour plus d’informations, consultez API endpoint URL dans la documentation Wiz.
ID client et secret client : informations d’identification qui permettent à Amazon Q d’appeler les API Wiz pour accéder à votre application. Pour plus d’informations, consultez Client ID and Client secret dans la documentation Wiz.

Secrets et rôles de service

Secret AWS Secrets Manager

Lorsque vous configurez le plug-in, Amazon Q crée un secret AWS Secrets Manager pour que vous puissiez y stocker les informations d’authentification Wiz. Vous pouvez également utiliser un secret que vous avez vous-même créé.

Si vous créez vous-même un secret, assurez-vous qu’il inclut les informations d’identification suivantes et qu’il utilise le format JSON ci-dessous :


{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Pour plus d’informations sur la création de secrets, consultez Création d’un secret dans le Guide de l’utilisateur AWS Secrets Manager.

Rôles de service

Pour configurer le plug-in Wiz dans Amazon Q Developer, vous devez créer un rôle de service qui autorise Amazon Q à accéder à votre secret Secrets Manager. Amazon Q assume ce rôle pour accéder au secret dans lequel sont stockées vos informations d’identification Wiz.

Lorsque vous configurez le plug-in dans la console AWS, vous avez la possibilité de créer un secret ou d’en utiliser un existant. Si vous créez un secret, le rôle de service associé est créé pour vous. Si vous utilisez un secret et un rôle de service existants, assurez-vous que votre rôle de service contient ces autorisations et qu’il est attaché à la politique d’approbation ci-dessous. Le rôle de service requis dépend de la méthode de chiffrement de votre secret.

Si votre secret est chiffré à l’aide d’une clé KMS gérée par AWS, le rôle de service IAM suivant est requis :

Afficher plus

Afficher moins

Si votre secret est chiffré à l’aide d’une clé AWS KMS gérée par le client, le rôle de service IAM suivant est requis :

Afficher plus

Afficher moins

Pour autoriser Amazon Q à assumer le rôle de service, celui-ci doit respecter la politique d’approbation suivante :

Note

Le préfixe codewhisperer est un nom hérité d’un service qui a fusionné avec Amazon Q Developer. Pour plus d’informations, consultez Changement de nom d’Amazon Q Developer : résumé des modifications.

Afficher plus

Afficher moins

Pour plus d’informations sur les rôles de service, consultez Création d’un rôle pour la délégation d’autorisations à un service AWS dans le Guide de l’utilisateur AWS Identity and Access Management.

Configuration du plug-in Wiz

Vous allez configurez le plug-in dans la console Amazon Q Developer. Amazon Q utilise les informations d’identification stockées dans AWS Secrets Manager pour interagir avec Wiz.

Pour configurer le plug-in Wiz, suivez la procédure ci-dessous :

Ouvrez la console Amazon Q Developer à l’adresse https://console.aws.amazon.com/amazonq/developer/home
Sur la page d’accueil de la console Amazon Q Developer, sélectionnez Paramètres.
Dans la barre de navigation, choisissez Plug-ins.
Sur la page des plug-ins, choisissez le signe plus dans le volet Wiz. La page de configuration du plug-in s’ouvre.
Pour URL du point de terminaison d’API, saisissez l’URL du point de terminaison d’API par laquelle vous accédez à Wiz.
Sous Configurer AWS Secrets Manager, choisissez Créer un secret ou Utiliser un secret existant. Le secret Secrets Manager est l’emplacement de stockage de vos informations d’authentification Wiz.

Si vous créez un secret, saisissez les informations suivantes :
1. Sous ID client, saisissez l’ID client de votre compte Wiz.
2. Sous Secret client, saisissez le secret client de votre compte Wiz.
3. Un rôle de service est créé. Amazon Q l’utilisera pour accéder au secret dans lequel vos informations d’identification Wiz sont stockées. Ne modifiez pas le rôle de service créé pour vous.
Si vous utilisez un secret existant, choisissez-en un dans le menu déroulant Secret AWS Secrets Manager. Le secret doit inclure les informations d’authentification Wiz spécifiées à l’étape précédente.

Pour plus d’informations sur les informations d’identification requises, consultez Acquisition des informations d’identification .
Sous Configurer le rôle de service AWS IAM, choisissez Créer un nouveau rôle de service ou Utiliser un rôle de service existant.

Note
Si vous avez choisi Créer un secret à l’étape 6, vous ne pouvez pas utiliser un rôle de service existant. Un nouveau rôle est créé pour vous.

Amazon Q l’utilisera pour accéder au secret dans lequel vos informations d’identification Wiz sont stockées. Ne modifiez pas le rôle de service créé pour vous.

Si vous utilisez un rôle de service existant, choisissez-en un dans le menu déroulant qui s’affiche. Assurez-vous que votre rôle de service dispose des autorisations et de la politique d’approbation définies dans Rôles de service.
Choisissez Enregistrer la configuration.
Une fois que le volet du plug-in Wiz apparaît dans la section Plug-ins configurés de la page Plug-ins, les utilisateurs ont accès au plug-in.

Si vous souhaitez mettre à jour les informations d’identification d’un plug-in, vous devez supprimer le plug-in actuel et en configurer un nouveau. La suppression d’un plug-in entraîne la suppression de toutes les spécifications antérieures. Chaque fois que vous configurez un nouveau plug-in, un nouvel ARN de plug-in est généré.

Configuration d’autorisations utilisateur

Les autorisations suivantes sont requises pour utiliser des plug-ins :

Autorisations de discuter avec Amazon Q dans la console. Pour obtenir un exemple de politique IAM qui accorde les autorisations requises, consultez Utilisateurs autorisés à discuter avec Amazon Q.
Autorisation q:UsePlugin.

Lorsque vous autorisez une identité IAM à accéder à un plug-in Wiz configuré, celle-ci accède à toutes les ressources du compte Wiz qui peuvent être récupérées par le plug-in. Les autorisations utilisateur Wiz ne sont pas détectées par le plug-in. Si vous souhaitez contrôler l’accès à un plug-in, vous pouvez le faire en spécifiant son ARN dans une politique IAM.

Chaque fois que vous créez ou supprimez et reconfigurez un plug-in, un nouvel ARN lui est attribué. Si vous utilisez un ARN de plug-in dans une politique, celle-ci doit être mise à jour si vous souhaitez autoriser l’accès au nouveau plug-in configuré.

Pour localiser l’ARN du plug-in Wiz, accédez à la page Plug-ins de la console Amazon Q Developer et choisissez le plug-in Wiz configuré. Sur la page des détails du plug-in, copiez l’ARN du plug-in. Vous pouvez ajouter cet ARN à une politique afin d’autoriser ou de refuser l’accès au plug-in Wiz.

Si vous créez une politique pour contrôler l’accès aux plug-ins Wiz, spécifiez Wiz comme fournisseur de plug-in dans la politique.

Pour obtenir des exemples de politiques IAM qui contrôlent l’accès aux plug-ins, consultez Utilisateurs autorisé à discuter avec les plug-ins d’un seul fournisseur.

Discussion avec le plug-in Wiz

Pour utiliser le plug-in Wiz d’Amazon Q, saisissez @Wiz au début d’une question au sujet de vos problèmes Wiz. Les questions complémentaires ou les réponses aux questions d’Amazon Q doivent également inclure @Wiz.

Voici quelques exemples de cas d’utilisation et de questions connexes que vous pouvez poser pour tirer le meilleur parti du plug-in Wiz d’Amazon Q :

Afficher les problèmes de gravité critique : demandez au plug-in Wiz d’Amazon Q de recenser vos problèmes critiques ou très graves. Le plug-in peut renvoyer jusqu’à 10 problèmes. Vous pouvez également lui demander de répertorier les 10 problèmes les plus graves.
- @wiz what are my critical severity issues?
- @wiz can you specify the top 5?
Répertorier les problèmes en fonction de leur date ou de leur statut : demandez la liste des problèmes en fonction de leur date de création, de leur date d’échéance ou de leur date de résolution. Vous pouvez également filtrer les problèmes en fonction de propriétés telles que le statut, la gravité et le type.
- @wiz which issues are due before <date>?
- @wiz what are my issues that have been resolved since <date>?
Évaluer les problèmes liés à des failles de sécurité : posez des questions sur les vulnérabilités ou les risques liés à vos problèmes, qui constituent une menace pour la sécurité.
- @wiz which issues are associated with vulnerabilities or external exposures?

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Datadog

Console-to-Code