Keamanan untuk kemampuan manajemen biaya di Amazon Q Developer - AWS Manajemen Biaya
Ikhtisar izinIzin untuk kemampuan manajemen biayaq: PassRequest izinAkses multi-akunPanggilan lintas wilayahPerlindungan data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan untuk kemampuan manajemen biaya di Amazon Q Developer

Berikut ini memberikan ikhtisar izin dan perlindungan data untuk kemampuan manajemen biaya di Amazon Q Developer.

Ikhtisar izin

Untuk menggunakan kemampuan manajemen biaya di Amazon Q Developer, Anda memerlukan tiga set izin Identity and Access Management (IAM):

  1. Izin Amazon Q: Izin untuk mengobrol dengan Amazon Q di konsol (seperti q:StartConversation dan q:) SendMessage

  2. Izin layanan: Izin untuk mengakses layanan Billing and Cost Management yang mendasari yang menyediakan data biaya

  3. PassRequest izin: q:PassRequest Izin yang memungkinkan Amazon Q menelepon AWS APIs atas nama Anda

Cara tercepat bagi administrator untuk memberi pengguna akses ke Pengembang Amazon Q adalah dengan menggunakan kebijakan AmazonQFullAccess terkelola.

Izin untuk kemampuan manajemen biaya

Pernyataan kebijakan IAM berikut memberi pengguna akses ke semua kemampuan manajemen biaya di Amazon Q Developer:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAmazonQChatAndPassRequest",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:UpdateConversation",
                "q:DeleteConversation",
                "q:PassRequest"
            ],
            "Resource": "*"
       },
        {
            "Sid": "AllowCostExplorerAccess",
            "Effect": "Allow",
            "Action": [
                "ce:GetCostAndUsage",
                "ce:GetCostAndUsageWithResources",
                "ce:GetCostForecast",
                "ce:GetUsageForecast",
                "ce:GetTags",
                "ce:GetCostCategories",
                "ce:GetDimensionValues",
                "ce:GetSavingsPlansUtilization",
                "ce:GetSavingsPlansCoverage",
                "ce:GetSavingsPlansUtilizationDetails",
                "ce:GetReservationUtilization",
                "ce:GetReservationCoverage",
                "ce:GetSavingsPlansPurchaseRecommendation",
                "ce:GetReservationPurchaseRecommendation",
                "ce:GetRightsizingRecommendation",
                "ce:GetAnomalies",
               "ce:GetCostAndUsageComparisons",
               "ce:GetCostComparisonDrivers"
            ],
            "Resource": "*"
       },
        {
            "Sid": "AllowCostOptimizationHubAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries"
            ],
            "Resource": "*"
       },
        {
            "Sid": "AllowComputeOptimizerAccess",
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetIdleRecommendations",
                "compute-optimizer:GetLicenseRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences"
            ],
            "Resource": "*"
       },
        {
            "Sid": "AllowBudgetsAccess",
            "Effect": "Allow",
            "Action": [
                "budgets:ViewBudget"
            ],
            "Resource": "*"
       },
        {
            "Sid": "AllowFreeTierAccess",
            "Effect": "Allow",
            "Action": [
                "freetier:GetFreeTierUsage",
                "freetier:GetAccountPlanState",
                "freetier:ListAccountActivities",
               "freetier:GetAccountActivity"
            ],
            "Resource": "*"
       },
        {
            "Sid": "AllowPricingAccess",
            "Effect": "Allow",
            "Action": [
                "pricing:GetProducts",
                "pricing:GetAttributeValues",
                "pricing:DescribeServices"
            ],
            "Resource": "*"
       }
    ]
}

Anda dapat meringkas kebijakan ini untuk memberikan akses ke hanya kemampuan manajemen biaya tertentu. Misalnya, jika Anda tidak ingin pengguna mengakses data biaya tingkat sumber daya, Anda dapat menghapus ce:GetCostAndUsageWithResources tindakan, atau menambahkan pernyataan penolakan eksplisit.

q: PassRequest izin

q:PassRequestadalah izin Pengembang Amazon Q yang memungkinkan Pengembang Amazon Q menelepon AWS APIs atas nama Anda. Saat Anda menambahkan q:PassRequest izin ke identitas IAM, Pengembang Amazon Q mendapatkan izin untuk memanggil API apa pun yang diizinkan oleh identitas IAM untuk dipanggil. Misalnya, jika peran IAM memiliki ce:GetCostAndUsage izin dan q:PassRequest izin, Amazon Q Developer dapat memanggil GetCostAndUsage API saat pengguna mengasumsikan bahwa peran IAM meminta Amazon Q Developer untuk mengambil data biaya dan penggunaan dari Cost Explorer.

Anda juga dapat mengizinkan prinsipal IAM untuk mengakses Cost Explorer dan menggunakan Amazon Q Developer, tetapi membatasi mereka dari menggunakan analisis biaya atau kemampuan optimasi biaya di Amazon Q Developer, dengan menggunakan kunci kondisi global. aws:CalledVia Kebijakan IAM berikut memberikan contoh penggunaan kunci kondisi ini:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
           "Sid": "AllowQDeveloperAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCostExplorerAccess",
            "Effect": "Allow",
            "Action": [
                "ce:*"
            ],
            "Resource": "*"
       },   
        {
           "Sid": "DenyCostExplorerAccessViaAmazonQ",
            "Effect": "Deny",
            "Action": [
                "ce:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Akses multi-akun

Untuk pengguna AWS Organizations, administrator akun manajemen dapat membatasi akses pengguna akun anggota ke data Cost Explorer dan Cost Optimization Hub (termasuk akses ke diskon, kredit, dan pengembalian uang) menggunakan preferensi Manajemen Biaya di konsol Billing and Cost AWS Management. Preferensi ini berlaku untuk Pengembang Amazon Q dengan cara yang sama seperti yang diterapkan pada konsol manajemen, SDK, dan CLI. Pengembang Amazon Q menghormati preferensi pelanggan yang ada.

Panggilan lintas wilayah

Data dari Cost Optimization Hub dan layanan Cost Explorer dihosting di Wilayah AS Timur (Virginia N.). Data dari AWS Compute Optimizer di-host di AWS Wilayah tempat sumber daya yang mendasarinya, seperti instans EC2, berada. Data yang disajikan dari Daftar AWS Harga di-host di us-east-1, eu-central-1, dan ap-south-1 (perhatikan APIs bahwa Daftar Harga tidak menyajikan data khusus pelanggan apa pun). AWS APIs Permintaan manajemen biaya di Amazon Q Developer mungkin memerlukan panggilan lintas wilayah. Untuk informasi selengkapnya, lihat Pemrosesan lintas wilayah di Pengembang Amazon Q di Panduan Pengguna Pengembang Amazon Q.

Perlindungan data

Kami dapat menggunakan konten tertentu dari Amazon Q Developer Tingkat Gratis untuk peningkatan layanan. Amazon Q Developer dapat menggunakan konten ini, misalnya, untuk memberikan tanggapan yang lebih baik terhadap pertanyaan umum, memperbaiki masalah operasional Pengembang Amazon Q, untuk debugging, atau untuk pelatihan model. Konten yang AWS mungkin digunakan untuk peningkatan layanan mencakup, misalnya, pertanyaan Anda kepada Pengembang Amazon Q dan tanggapan serta kode yang dihasilkan oleh Pengembang Amazon Q. Kami tidak menggunakan konten dari Amazon Q Developer Pro atau Amazon Q Business untuk peningkatan layanan.

Cara Anda memilih keluar dari Amazon Q Developer Tingkat Gratis menggunakan konten untuk peningkatan layanan bergantung pada lingkungan tempat Anda menggunakan Amazon Q. Untuk AWS Management Console, AWS Console Mobile Application, AWS situs web, dan AWS Chatbot, mengonfigurasi kebijakan opt-out layanan AI di Organizations. AWS Untuk informasi selengkapnya, lihat kebijakan opt-out layanan AI di Panduan Pengguna AWS Organizations.