Amazon Q Developer CloudZero プラグインの設定 - Amazon Q Developer
前提条件シークレットとサービスロールCloudZero プラグインを設定するユーザーアクセス許可の設定CloudZero プラグインを使用してチャットする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer CloudZero プラグインの設定

CloudZero は、クラウド効率を向上させるためにコストを評価するクラウドコスト最適化プラットフォームです。CloudZero を使用して AWS コストをモニタリングする場合は、Amazon Q Developer チャットの CloudZeroプラグインを使用して、 を離れることなくコストインサイトにアクセスできます AWS マネジメントコンソール。

CloudZero プラグインを使用して、 AWS コストの把握、コスト最適化のインサイトの取得、請求の追跡を行うことができます。応答を受け取ったら、CloudZero インサイトのステータスやコストへの影響など、フォローアップの質問をすることができます。

プラグインを設定するには、CloudZero アカウントから認証情報を指定して、Amazon Q と CloudZero 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に @cloudzero を追加して CloudZero データにアクセスできます。

警告

CloudZero ユーザーアクセス許可は、Amazon Q のCloudZeroプラグインによって検出されません。管理者が AWS アカウントのCloudZeroプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なCloudZeroアカウントの任意のリソースにアクセスできます。

IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「ユーザーアクセス許可の設定」を参照してください。

前提条件

アクセス許可を追加する

プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。

認証情報の取得

開始する前に、CloudZero アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。

  • API キー – Amazon Q が CloudZero API を呼び出して組織のコストインサイトと請求情報にアクセスできるようにするアクセスキー。API キーは CloudZero アカウント設定で確認できます。詳細については「CloudZero ドキュメント」の「Authorization」を参照してください。

CloudZero アカウントから認証情報を取得する方法の詳細については、「CloudZeroドキュメント」を参照してください。

シークレットとサービスロール

AWS Secrets Manager シークレット

プラグインを設定すると、Amazon Q はCloudZero認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。

シークレットを自分で作成する場合は、API キーをプレーンテキストとして入力します。

your-api-key

シークレットを作成する方法については、「AWS Secrets Manager User Guide」の「Create a secret」を参照してください。

サービスロール

Amazon Q Developer で CloudZero プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、CloudZero 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。

AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。

シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
表示を増やす表示を減らす

シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名称変更 - 変更の概要」を参照してください。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
表示を増やす表示を減らす

サービスロールの詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。

CloudZero プラグインを設定する

Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、CloudZero とのやり取りを有効にします。

CloudZero プラグインを設定するには、次の手順を実行します。

  1. https://console.aws.amazon.com/amazonq/developer/home で Amazon Q Developer コンソールを開きます。

  2. Amazon Q Developer コンソールのホームページで、[設定] を選択します。

  3. ナビゲーションバーで、[プラグイン] を選択します。

  4. プラグインページで、CloudZero パネルのプラス記号を選択します。プラグイン設定ページが開きます。

  5. Configure AWS Secrets Manager で、新しいシークレットを作成する、既存のシークレットを使用するを選択します。CloudZero 認証情報は、Secrets Manager シークレットに保存されます。

    新しい設定を作成する場合は、以下の情報を入力します。

    1. [CloudZero API キー] で、CloudZero 組織の API キーを入力します。

    2. Amazon Q が CloudZero 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。

    既存のシークレットがある場合は、[AWS Secrets Manager シークレット] ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した CloudZero 認証情報が含まれている必要があります。

    必要な認証情報の詳細については、「認証情報の取得」を参照してください。

  6. IAM サービスロールを設定する AWS で、新しいサービスロールを作成する または既存のサービスロールを使用する を選択します。

    注記

    手順 6 で[新しいシークレットを作成する]を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。

    新しいサービスロールを作成する場合、Amazon Q が CloudZero 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。

    既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、サービスロール で定義されているアクセス許可と信頼ポリシーがあることを確認します。

  7. [設定の保存] を選択します。

  8. プラグインページの [設定済みプラグイン] セクションに CloudZero プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。

プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。

ユーザーアクセス許可の設定

プラグインを使用するには、以下のアクセス許可が必要です。

  • コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「ユーザーに Amazon Q とのチャットを許可する」を参照してください。

  • q:UsePlugin アクセス許可

IAM ID に設定済みの CloudZero プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な CloudZero アカウント内のリソースへのアクセスを取得します。CloudZero ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。

プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。

CloudZero プラグイン ARN を見つけるには、Amazon Q Developer コンソールのプラグインページに移動し、設定済みの CloudZero プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、CloudZero プラグインへのアクセスを許可または拒否できます。

CloudZero プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに CloudZero を指定します。

プラグインアクセスを制御する IAM ポリシーの例については、「あるプロバイダーのプラグインとユーザーがチャットできるようにする」を参照してください。

CloudZero プラグインを使用してチャットする

CloudZero プラグインを使用するには、 CloudZero または AWS アプリケーションモニターとケースに関する質問の冒@cloudzero頭に と入力します。Amazon Q からのフォローアップの質問や質問への回答には、@cloudzero も含める必要があります。

以下は、Amazon Q CloudZero プラグインを最大限に活用するためのユースケースの例と、関連する質問です。

  • CloudZero で を使用する方法を学ぶ AWS – CloudZero機能の仕組みについて質問します。Amazon Q は、最善の回答を提供するために、ユーザーが何をしようとしているかに関する詳細を求める場合があります。

    • @cloudzero how do I use CloudZero?

    • @cloudzero how do I get started with CloudZero?

  • コストインサイトの一覧 — コストインサイトの一覧を取得したり、特定のインサイトの詳細を確認したりできます。

    • @cloudzero list my top cost insights

    • @cloudzero tell me more about insight <insight ID>

  • 請求情報の取得 – AWS 請求情報については、Amazon Q CloudZero プラグインにお問い合わせください。

    • @cloudzero what were my AWS costs for December 2024?