Pertimbangan keamanan dan praktik terbaik - Amazon Q Developer
Memahami risiko keamananPraktik terbaik keamanan umumMenggunakan /tools trust-all dengan aman

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan keamanan dan praktik terbaik

Amazon Q menyediakan kemampuan canggih yang dapat memodifikasi sistem dan sumber daya AWS Anda. Memahami implikasi keamanan dan mengikuti praktik terbaik membantu Anda menggunakan kemampuan ini dengan aman.

Memahami risiko keamanan

Saat menggunakan Amazon Q, waspadai potensi risiko keamanan berikut:

  • Perubahan sistem yang tidak diinginkan: Amazon Q dapat menafsirkan permintaan Anda dengan cara yang tidak terduga, yang mengarah ke modifikasi yang tidak diinginkan

  • Modifikasi sumber daya AWS: Sumber daya dapat dibuat, dimodifikasi, atau dihapus, berpotensi memengaruhi lingkungan produksi atau menimbulkan biaya

  • Kehilangan data: Perintah yang menghapus atau menimpa file dapat mengakibatkan kehilangan data

  • Kerentanan keamanan: Perintah mungkin membahayakan keamanan sistem jika tidak ditinjau dengan benar

Risiko-risiko ini meningkat secara signifikan saat menggunakan /tools trust-all atau/acceptall, yang memintas konfirmasi yang diminta.

Contoh spesifik risiko meliputi:

  • Permintaan untuk “membersihkan file lama” mungkin menghapus file konfigurasi penting

  • Permintaan untuk “mengoptimalkan EC2 instance saya” mungkin menghentikan instance yang sedang berjalan

  • Permintaan untuk “memperbaiki masalah keamanan” dapat mengubah izin dengan cara yang mengekspos data sensitif

Awas

AWS merekomendasikan untuk tidak menggunakan /tools trust-all atau /acceptall mode di lingkungan produksi atau saat bekerja dengan data atau sumber daya sensitif. Anda bertanggung jawab atas semua tindakan yang dilakukan oleh Amazon Q saat mode ini diaktifkan.

Praktik terbaik keamanan umum

Saat menggunakan Amazon Q di lingkungan apa pun, terutama yang memiliki file sensitif, kunci pribadi, token, atau informasi rahasia lainnya, pertimbangkan untuk menerapkan langkah-langkah keamanan ini:

Membatasi akses file

Secara default, Amazon Q dapat membaca file tanpa meminta izin setiap kali (dipercaya fs_read secara default). Untuk lingkungan sensitif, Anda dapat membatasi perilaku ini:

Amazon Q> /tools untrust fs_read

Dengan pengaturan ini, Amazon Q akan meminta izin eksplisit Anda sebelum membaca file apa pun. Ini memberi Anda kontrol terperinci atas file mana yang dapat diakses Amazon Q selama sesi Anda.

Anda juga dapat membuat pengaturan ini persisten dengan menambahkannya ke skrip startup shell Anda:

echo 'alias q="q --untrust-fs-read"' >> ~/.bashrc

Ini memastikan bahwa setiap sesi Amazon Q baru dimulai dengan fs_read tidak tepercaya, memerlukan izin eksplisit untuk akses file.

Langkah-langkah keamanan tambahan

Untuk lingkungan dengan informasi yang sangat sensitif, pertimbangkan langkah-langkah tambahan ini:

  • Gunakan Amazon Q di lingkungan pengembangan khusus yang tidak berisi kredensi atau data sensitif

  • Simpan file sensitif di luar direktori proyek Anda atau di lokasi dengan izin terbatas

  • Gunakan variabel lingkungan untuk nilai sensitif alih-alih mengkodekannya dalam file

  • Pertimbangkan /tools untrust use_aws untuk menggunakan untuk meminta izin eksplisit sebelum melakukan panggilan AWS API

  • Gunakan aturan proyek untuk menentukan pedoman dan batasan keamanan (lihatMenggunakan aturan proyek)

Menggunakan /tools trust-all dengan aman

Jika Anda harus menggunakan /tools trustall atau /acceptall untuk alur kerja tertentu, ikuti praktik keselamatan berikut untuk meminimalkan risiko:

  • Hanya digunakan dalam lingkungan pengembangan atau pengujian, tidak pernah dalam produksi

  • Aktifkan /tools trust-all hanya untuk tugas tertentu, lalu segera nonaktifkan menggunakan /tools reset untuk kembali ke izin default

  • Cadangkan data penting sebelum mengaktifkan /tools trust-all

  • Gunakan kredensi AWS dengan izin minimal saat diaktifkan /tools trust-all

  • Pantau dengan cermat semua tindakan yang dilakukan Amazon Q saat /tools trust-all diaktifkan

Untuk kembali ke pengaturan izin default setelah menggunakan/tools trust-all, gunakan perintah reset:

Amazon Q> /tools reset

Ini mengembalikan semua alat ke tingkat izin default mereka, dengan hanya fs_read dipercaya secara default.