Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité pour les fonctionnalités de gestion des coûts dans Amazon Q Developer
Vous trouverez ci-dessous un aperçu des autorisations et de la protection des données pour les fonctionnalités de gestion des coûts d'Amazon Q Developer.
Présentation des autorisations
Pour utiliser les fonctionnalités de gestion des coûts d'Amazon Q Developer, vous avez besoin de trois ensembles d'autorisations Identity and Access Management (IAM) :
-
Autorisations Amazon Q : autorisations pour discuter avec Amazon Q dans la console (telles que
q:StartConversationet q :SendMessage) -
Autorisations de service : autorisations d'accès aux services Billing and Cost Management sous-jacents qui fournissent des données sur les coûts
-
PassRequest autorisation :
q:PassRequestautorisation qui permet à Amazon Q d'appeler AWS APIs en votre nom
Le moyen le plus rapide pour un administrateur d'accorder aux utilisateurs l'accès à Amazon Q Developer consiste à utiliser la politique AmazonQFullAccess gérée.
Autorisations pour les fonctionnalités de gestion des coûts
La déclaration de politique IAM suivante accorde aux utilisateurs l'accès à toutes les fonctionnalités de gestion des coûts d'Amazon Q Developer :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
Vous pouvez définir cette politique de manière à n'accorder l'accès qu'à des fonctionnalités spécifiques de gestion des coûts. Par exemple, si vous ne souhaitez pas que les utilisateurs accèdent aux données de coût au niveau des ressources, vous pouvez supprimer l'ce:GetCostAndUsageWithResourcesaction ou ajouter une déclaration de refus explicite.
q : PassRequest autorisation
q:PassRequestest une autorisation de développeur Amazon Q qui permet au développeur Amazon Q d'appeler AWS APIs en votre nom. Lorsque vous ajoutez l'q:PassRequestautorisation à une identité IAM, Amazon Q Developer obtient l'autorisation d'appeler toute API que l'identité IAM est autorisée à appeler. Par exemple, si un rôle IAM dispose de l'ce:GetCostAndUsageautorisation et de l'q:PassRequestautorisation, Amazon Q Developer peut appeler l' GetCostAndUsage API lorsqu'un utilisateur assumant ce rôle IAM demande à Amazon Q Developer de récupérer les données de coût et d'utilisation de Cost Explorer.
Vous pouvez également autoriser les responsables IAM à accéder à Cost Explorer et à utiliser Amazon Q Developer, mais les empêcher d'utiliser les fonctionnalités d'analyse ou d'optimisation des coûts d'Amazon Q Developer, en utilisant la clé de condition aws:CalledVia globale. La politique IAM suivante fournit un exemple d'utilisation de cette clé de condition :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
Accès à plusieurs comptes
Pour les utilisateurs d' AWS Organizations, les administrateurs des comptes de gestion peuvent restreindre l'accès des utilisateurs des comptes membres aux données de Cost Explorer et Cost Optimization Hub (y compris l'accès aux remises, aux crédits et aux remboursements) en utilisant les préférences de gestion des coûts de la console AWS Billing and Cost Management. Ces préférences s'appliquent à Amazon Q Developer de la même manière qu'elles s'appliquent à la console de gestion, au SDK et à la CLI. Amazon Q Developer respecte les préférences existantes des clients.
Appels entre régions
Les données des services Cost Optimization Hub et Cost Explorer sont hébergées dans la région de l'est des États-Unis (Virginie du Nord). Les données provenant de Optimiseur de calcul AWS sont hébergées dans la AWS région où se trouvent les ressources sous-jacentes, telles que les instances EC2. Les données fournies à partir de la liste de AWS prix APIs sont hébergées dans us-east-1, eu-central-1 et ap-south-1 (notez que la liste de prix ne fournit aucune donnée spécifique au client). AWS APIs Les demandes de gestion des coûts dans Amazon Q Developer peuvent nécessiter des appels interrégionaux. Pour plus d'informations, consultez la section Traitement interrégional dans Amazon Q Developer dans le guide de l'utilisateur Amazon Q Developer.
Protection des données
Nous pouvons utiliser certains contenus d'Amazon Q Developer Free Tier pour améliorer le service. Amazon Q Developer peut utiliser ce contenu, par exemple, pour fournir de meilleures réponses aux questions courantes, résoudre les problèmes opérationnels d'Amazon Q Developer, pour le débogage ou pour la formation de modèles. Le contenu AWS susceptible d'être utilisé pour améliorer le service inclut, par exemple, vos questions adressées à Amazon Q Developer ainsi que les réponses et le code générés par Amazon Q Developer. Nous n’utilisons pas le contenu d’Amazon Q Developer Pro ou d’Amazon Q Business pour améliorer le service.
La manière dont vous pouvez vous désinscrire du niveau gratuit d'Amazon Q pour les développeurs qui utilise du contenu pour améliorer les services dépend de l'environnement dans lequel vous utilisez Amazon Q. Pour la console de AWS gestion, l'application mobile de la AWS console, les AWS sites Web et le AWS Chatbot, configurez une politique de désactivation des services d'intelligence artificielle dans AWS Organizations. Pour plus d'informations, consultez les politiques de désinscription des services d'intelligence artificielle dans le Guide de l'utilisateur AWS des Organizations.
