Gestione dell’accesso ad Amazon Q Developer con policy - Amazon Q Developer
Best practice per le policyAssegnazione delle autorizzazioniGestisci l'accesso con SCPs

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dell’accesso ad Amazon Q Developer con policy

Nota

Le informazioni in questa pagina riguardano l’accesso ad Amazon Q Developer. Per informazioni sulla gestione dell’accesso ad Amazon Q Business, consulta la pagina Identity-based policy examples for Amazon Q Business nella Guida per l’utente di Amazon Q Business.

Le politiche e gli esempi in questo argomento sono specifici di Amazon Q nelle Console di gestione AWS applicazioni, AWS Documentation, AWS sito Web e chat. AWS Console Mobile Application Altri servizi integrati con Amazon Q potrebbero richiedere policy o impostazioni diverse. Gli utenti finali di Amazon Q di terze parti non IDEs sono tenuti a utilizzare le policy IAM. Per ulteriori informazioni, consulta la documentazione relativa al servizio che contiene una funzionalità o un’integrazione di Amazon Q.

Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a utilizzare Amazon Q. Gli amministratori IAM possono gestire l’accesso ad Amazon Q Developer e alle sue funzionalità concedendo le autorizzazioni alle identità IAM.

Il modo più rapido per un amministratore di concedere l'accesso agli utenti è tramite una policy AWS gestita. La policy AmazonQFullAccess può essere allegata alle identità IAM per garantire l’accesso completo ad Amazon Q Developer e alle sue funzionalità. Per ulteriori informazioni su questa policy, consulta AWS politiche gestite per Amazon Q Developer.

Per gestire operazioni specifiche che le identità IAM possono eseguire con Amazon Q Developer, gli amministratori possono creare delle policy IAM personalizzate che definiscono le autorizzazioni di cui dispone un utente, un gruppo o un ruolo. Puoi anche utilizzare le policy di controllo del servizio (SCPs) per controllare quali funzionalità di Amazon Q sono disponibili nella tua organizzazione.

Per un elenco di tutte le autorizzazioni di Amazon Q che puoi controllare con le policy, consulta Riferimento per le autorizzazioni di Amazon Q Developer.

Argomenti

Best practice per le policy

Le policy basate sull’identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Q Developer nell’account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:

  • Inizia con le politiche AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche AWS gestite che concedono le autorizzazioni per molti casi d'uso comuni. Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.

  • Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.

  • Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso a operazioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.

  • Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consulta Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l’utente di IAM.

Assegnazione delle autorizzazioni

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

  • Utenti e gruppi in: AWS IAM Identity Center

    Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .

  • Utenti gestiti in IAM tramite un provider di identità:

    Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.

  • Utenti IAM:

Gestisci l'accesso con le politiche di controllo del servizio (SCPs)

Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. Puoi controllare quali funzionalità di Amazon Q Developer sono disponibili nella tua organizzazione creando una policy di controllo dei servizi (SCP) che specifica le autorizzazioni per alcune o tutte le operazioni di Amazon Q.

Per ulteriori informazioni sull'utilizzo SCPs per controllare l'accesso nell'organizzazione, vedere Creazione, aggiornamento ed eliminazione delle politiche di controllo del servizio e Allegare e scollegare le politiche di controllo del servizio nella Guida per l'utente.AWS Organizations

Esempio SCP: negare l’accesso ad Amazon Q al di fuori delle regioni dell’UE

Il seguente SCP nega l’accesso a qualsiasi utilizzo di Amazon Q Developer al di fuori della regione Europa (Francoforte) (eu-central-1).

Nota

Il prefisso codewhisperer è un nome legacy di un servizio che si è unito ad Amazon Q Developer. Per ulteriori informazioni, consulta Ridenominazione di Amazon Q Developer - Riepilogo delle modifiche.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQDeveloperOutsideEU",
      "Effect": "Deny",
      "Action": [
         "codewhisperer:GenerateRecommendations",
         "q:SendMessage",
         "q:GenerateCodeFromCommands",
         "sqlworkbench:GetQSqlRecommendations"
         ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": 
        {"aws:RequestedRegion": [ "eu-central-1"] }
      }
    }
  ]
}

Esempio SCP: negare l’accesso ad Amazon Q

Il seguente SCP nega l’accesso ad Amazon Q Developer.

Nota

Il rifiuto dell'accesso ad Amazon Q non disattiverà l'icona o il pannello di chat di Amazon Q nella AWS console, nel AWS sito Web, nelle pagine di AWS documentazione o AWS Console Mobile Application.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}