Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza per le funzionalità di gestione dei costi in Amazon Q Developer
Di seguito viene fornita una panoramica delle autorizzazioni e della protezione dei dati per le funzionalità di gestione dei costi in Amazon Q Developer.
Panoramica delle autorizzazioni
Per utilizzare le funzionalità di gestione dei costi di Amazon Q Developer, sono necessari tre set di autorizzazioni Identity and Access Management (IAM):
-
Autorizzazioni Amazon Q: autorizzazioni per chattare con Amazon Q nella console (ad esempio
q:StartConversatione q:) SendMessage -
Autorizzazioni di servizio: autorizzazioni per accedere ai servizi di Billing and Cost Management sottostanti che forniscono dati sui costi
-
PassRequest autorizzazione: l'
q:PassRequestautorizzazione che consente ad Amazon Q di effettuare chiamate per tuo AWS APIs conto
Il modo più rapido per un amministratore di concedere agli utenti l'accesso ad Amazon Q Developer consiste nell'utilizzare la policy AmazonQFullAccess gestita.
Autorizzazioni per le funzionalità di gestione dei costi
La seguente dichiarazione sulla politica di IAM garantisce agli utenti l'accesso a tutte le funzionalità di gestione dei costi in Amazon Q Developer:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
Puoi definire questa policy per concedere l'accesso solo a funzionalità specifiche di gestione dei costi. Ad esempio, se non desideri che gli utenti accedano ai dati sui costi a livello di risorsa, puoi rimuovere l'ce:GetCostAndUsageWithResourcesazione o aggiungere una dichiarazione di rifiuto esplicita.
q: autorizzazione PassRequest
q:PassRequestè un'autorizzazione Amazon Q Developer che consente ad Amazon Q Developer di effettuare chiamate per tuo AWS APIs conto. Quando aggiungi l'q:PassRequestautorizzazione a un'identità IAM, Amazon Q Developer ottiene l'autorizzazione a chiamare qualsiasi API che l'identità IAM è autorizzata a chiamare. Ad esempio, se un ruolo IAM dispone dell'ce:GetCostAndUsageautorizzazione e dell'q:PassRequestautorizzazione, Amazon Q Developer può chiamare l' GetCostAndUsage API quando un utente che assume quel ruolo IAM chiede ad Amazon Q Developer di recuperare dati su costi e utilizzo da Cost Explorer.
Puoi anche consentire ai responsabili IAM di accedere a Cost Explorer e utilizzare Amazon Q Developer, ma impedire loro di utilizzare le funzionalità di analisi dei costi o di ottimizzazione dei costi di Amazon Q Developer, utilizzando la chiave aws:CalledVia global condition. La seguente policy IAM fornisce un esempio di utilizzo di questa chiave di condizione:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
Accesso multiaccount
Per gli utenti di AWS Organizations, gli amministratori degli account di gestione possono limitare l'accesso degli utenti degli account membro ai dati di Cost Explorer e Cost Optimization Hub (incluso l'accesso a sconti, crediti e rimborsi) utilizzando le preferenze di Cost Management nella console AWS Billing and Cost Management. Queste preferenze si applicano ad Amazon Q Developer nello stesso modo in cui si applicano alla console di gestione, all'SDK e alla CLI. Amazon Q Developer rispetta le preferenze esistenti dei clienti.
Chiamata tra regioni
I dati dei servizi Cost Optimization Hub e Cost Explorer sono ospitati nella regione Stati Uniti orientali (Virginia settentrionale). I dati di AWS Compute Optimizer sono ospitati nella AWS regione in cui si trovano le risorse sottostanti, ad esempio EC2 le istanze. I dati forniti dal AWS listino prezzi APIs sono ospitati in us-east-1, eu-central-1 e ap-south-1 (si noti che il listino prezzi non fornisce dati specifici del cliente). AWS APIs Le richieste di gestione dei costi in Amazon Q Developer possono richiedere chiamate tra regioni. Per ulteriori informazioni, consulta la sezione Elaborazione interregionale in Amazon Q Developer User Guide nella Amazon Q Developer User Guide.
Protezione dei dati
Potremmo utilizzare determinati contenuti del piano gratuito Amazon Q Developer per migliorare il servizio. Amazon Q Developer può utilizzare questi contenuti, ad esempio, per fornire risposte migliori a domande comuni, risolvere problemi operativi di Amazon Q Developer, per il debug o per la formazione dei modelli. I contenuti che AWS possono essere utilizzati per migliorare il servizio includono, ad esempio, le tue domande ad Amazon Q Developer e le risposte e il codice generati da Amazon Q Developer. Non utilizziamo contenuti di Amazon Q Developer Pro o Amazon Q Business per migliorare il servizio.
Il modo in cui disattivi l'utilizzo di contenuti per il miglioramento del servizio Amazon Q Developer Free Tier dipende dall'ambiente in cui utilizzi Amazon Q. Per la console di AWS gestione, la Console Mobile Application, AWS i AWS siti Web e il AWS Chatbot, configura una politica di esclusione dei servizi di intelligenza artificiale in Organizations. AWS Per ulteriori informazioni, consulta le politiche di disattivazione dei servizi di intelligenza artificiale nella AWS Organizations User Guide.
