Gestione dell’accesso ad Amazon Q Developer con policy - Amazon Q Developer
Best practice per le policyAssegnazione delle autorizzazioniGestione degli accessi con le SCP

Gestione dell’accesso ad Amazon Q Developer con policy

Nota

Le informazioni in questa pagina riguardano l’accesso ad Amazon Q Developer. Per informazioni sulla gestione dell’accesso ad Amazon Q Business, consulta la pagina Identity-based policy examples for Amazon Q Business nella Guida per l’utente di Amazon Q Business.

Le policy e gli esempi in questo argomento sono specifici per Amazon Q nella AWS Management Console, sul AWS Console Mobile Application, nel sito web AWS, in AWS Documentation e nelle applicazioni di chat. Altri servizi integrati con Amazon Q potrebbero richiedere policy o impostazioni diverse. Gli utenti finali di Amazon Q negli IDE di terze parti non sono tenuti a utilizzare le policy IAM. Per ulteriori informazioni, consulta la documentazione relativa al servizio che contiene una funzionalità o un’integrazione di Amazon Q.

Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a utilizzare Amazon Q. Gli amministratori IAM possono gestire l’accesso ad Amazon Q Developer e alle sue funzionalità concedendo le autorizzazioni alle identità IAM.

Per un amministratore, il modo più rapido per concedere l'accesso agli utenti è tramite una policy gestita da AWS. La policy AmazonQFullAccess può essere allegata alle identità IAM per garantire l’accesso completo ad Amazon Q Developer e alle sue funzionalità. Per ulteriori informazioni su questa policy, consulta Policy gestite da AWS per Amazon Q Developer.

Per gestire operazioni specifiche che le identità IAM possono eseguire con Amazon Q Developer, gli amministratori possono creare delle policy IAM personalizzate che definiscono le autorizzazioni di cui dispone un utente, un gruppo o un ruolo. Inoltre, puoi utilizzare le policy di controllo dei servizi (SCP) per controllare quali funzionalità di Amazon Q sono disponibili nella tua organizzazione.

Per un elenco di tutte le autorizzazioni di Amazon Q che puoi controllare con le policy, consulta Riferimento per le autorizzazioni di Amazon Q Developer.

Argomenti

Best practice per le policy

Le policy basate sull’identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Q Developer nell’account. Queste azioni possono comportare costi aggiuntivi per l'Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

  • Nozioni di base sulle policy gestite da AWSe passaggio alle autorizzazioni con privilegio minimo: per le informazioni di base su come concedere autorizzazioni a utenti e carichi di lavoro, utilizza le policy gestite da AWSche concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo Account AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente di AWS specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWSper le funzioni dei processi nella Guida per l'utente IAM.

  • Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.

  • Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse è possibile aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. È possibile inoltre utilizzare le condizioni per concedere l'accesso alle operazioni di servizio, ma solo se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l'utente IAM.

  • Richiesta dell'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o utenti root nel tuo Account AWS, attiva MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Protezione dell'accesso API con MFA nella Guida per l'utente IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Assegnazione delle autorizzazioni

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in AWS IAM Identity Center:

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM:

Gestione degli accessi con le policy di controllo dei servizi (SCP)

Le policy di controllo dei servizi (SCP) sono un tipo di policy dell'organizzazione che puoi utilizzare per gestire le autorizzazioni nell'organizzazione. Puoi controllare quali funzionalità di Amazon Q Developer sono disponibili nella tua organizzazione creando una policy di controllo dei servizi (SCP) che specifica le autorizzazioni per alcune o tutte le operazioni di Amazon Q.

Per ulteriori informazioni sull’utilizzo delle SCP per controllare gli accessi all’interno della tua organizzazione, consulta le pagine Creazione, aggiornamento ed eliminazione delle policy di controllo dei servizi e Collegamento e scollegamento delle policy di controllo dei servizi nella Guida per l’utente di AWS Organizations.

Esempio SCP: negare l’accesso ad Amazon Q al di fuori delle regioni dell’UE

Il seguente SCP nega l’accesso a qualsiasi utilizzo di Amazon Q Developer al di fuori della regione Europa (Francoforte) (eu-central-1).

Nota

Il prefisso codewhisperer è un nome legacy di un servizio che si è unito ad Amazon Q Developer. Per ulteriori informazioni, consulta Ridenominazione di Amazon Q Developer - Riepilogo delle modifiche.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQDeveloperOutsideEU",
      "Effect": "Deny",
      "Action": [
         "codewhisperer:GenerateRecommendations",
         "q:SendMessage",
         "q:GenerateCodeFromCommands",
         "sqlworkbench:GetQSqlRecommendations"
         ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": 
        {"aws:RequestedRegion": [ "eu-central-1"] }
      }
    }
  ]
}

Esempio SCP: negare l’accesso ad Amazon Q

Il seguente SCP nega l’accesso ad Amazon Q Developer.

Nota

Il rifiuto dell’accesso ad Amazon Q non disabiliterà l’icona o il pannello di chat di Amazon Q nella console AWS, nel sito web AWS, nelle pagine della documentazione di AWS o AWS Console Mobile Application.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}