Amazon Q Developer CloudZero プラグインの設定 - Amazon Q Developer
前提条件シークレットとサービスロールCloudZero プラグインを設定するユーザーアクセス許可を設定するCloudZero プラグインとチャットする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer CloudZero プラグインの設定

CloudZero は、クラウド効率を向上させるためにコストを評価するクラウドコスト最適化プラットフォームです。CloudZero を使用して AWS コストをモニタリングする場合は、Amazon Q Developer チャットの CloudZeroプラグインを使用して、 を離れることなくコストインサイトにアクセスできます AWS Management Console。

CloudZero プラグインを使用して、 AWS コストの把握、コスト最適化のインサイトの取得、請求の追跡を行うことができます。回答を受け取ったら、CloudZeroインサイトのステータスやコストへの影響など、フォローアップの質問をすることができます。

プラグインを設定するには、CloudZeroアカウントから認証情報を指定して、Amazon Q と 間の接続を有効にしますCloudZero。プラグインを設定したら、Amazon Q チャットで質問の先頭@cloudzeroに を追加してCloudZeroデータにアクセスできます。

警告

CloudZero ユーザーアクセス許可は、Amazon Q のCloudZeroプラグインによって検出されません。管理者が AWS アカウントのCloudZeroプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なCloudZeroアカウントの任意のリソースにアクセスできます。

IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「ユーザーアクセス許可を設定する」を参照してください。

前提条件

アクセス許可を追加する

プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。

認証情報の取得

開始する前に、CloudZeroアカウントから次の情報を書き留めます。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。

  • API キー – Amazon Q が CloudZero API を呼び出して組織のコストインサイトと請求情報にアクセスできるようにするアクセスキー。API キーはCloudZeroアカウント設定にあります。詳細については、 CloudZeroドキュメントの「認可」を参照してください。

CloudZero アカウントから認証情報を取得する方法の詳細については、 CloudZeroドキュメントを参照してください。

シークレットとサービスロール

AWS Secrets Manager シークレット

プラグインを設定すると、Amazon Q はCloudZero認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。

シークレットを自分で作成する場合は、API キーをプレーンテキストとして入力します。

your-api-key

シークレットの作成の詳細については、「 AWS Secrets Manager ユーザーガイド」の「シークレットの作成」を参照してください。

サービス役割

Amazon Q Developer でCloudZeroプラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q はこのロールを引き受けて、CloudZero認証情報が保存されているシークレットにアクセスします。

AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。

シークレットがマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}
表示を増やす表示を減らす

シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

Amazon Q がサービスロールを引き受けることを許可するには、サービスロールに次の信頼ポリシーが必要です。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名称変更 - 変更の概要」を参照してください。

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}
表示を増やす表示を減らす

サービスロールの詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。

CloudZero プラグインを設定する

Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 に保存されている認証情報 AWS Secrets Manager を使用して、 とのやり取りを有効にしますCloudZero。

CloudZero プラグインを設定するには、次の手順を実行します。

  1. https://console.aws.amazon.com/amazonq/developer/home で Amazon Q Developer コンソールを開きます。

  2. Amazon Q Developer コンソールのホームページで、設定を選択します。

  3. ナビゲーションバーで、プラグインを選択します。

  4. プラグインページで、CloudZeroパネルのプラス記号を選択します。プラグイン設定ページが開きます。

  5. Configure AWS Secrets Manager で、新しいシークレットを作成する、既存のシークレットを使用するを選択します。Secrets Manager シークレットは、CloudZero認証情報が保存される場所です。

    新しいシークレットを作成する場合は、次の情報を入力します。

    1. CloudZero API キーには、CloudZero組織の API キーを入力します。

    2. Amazon Q がCloudZero認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成されたサービスロールを編集しないでください。

    既存のシークレットを使用する場合は、シークレットドロップダウンメニューからAWS Secrets Manager シークレットを選択します。シークレットには、前のステップで指定したCloudZero認証情報が含まれている必要があります。

    必要な認証情報の詳細については、「認証情報の取得」を参照してください。

  6. IAM サービスロールを設定する AWS で、新しいサービスロールを作成する または既存のサービスロールを使用する を選択します。

    注記

    ステップ 6 で新しいシークレットを作成するを選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。

    新しいサービスロールを作成すると、Amazon Q がCloudZero認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成されたサービスロールを編集しないでください。

    既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、 で定義されているアクセス許可と信頼ポリシーがあることを確認しますサービス役割

  7. [設定の保存] を選択します。

  8. CloudZero プラグインページの「設定済みプラグイン」セクションにプラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。

プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。

ユーザーアクセス許可を設定する

プラグインを使用するには、次のアクセス許可が必要です。

  • コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「」を参照してくださいユーザーに Amazon Q とのチャットを許可する

  • q:UsePlugin アクセス許可

IAM ID に設定されたCloudZeroプラグインへのアクセスを許可すると、ID はプラグインによって取得可能なCloudZeroアカウント内のリソースへのアクセスを取得します。 CloudZero ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。

プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合は、新しく設定されたプラグインへのアクセスを許可する場合は更新する必要があります。

CloudZero プラグイン ARN を見つけるには、Amazon Q Developer コンソールのプラグインページに移動し、設定されたCloudZeroプラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、CloudZeroプラグインへのアクセスを許可または拒否できます。

CloudZero プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーCloudZeroに を指定します。

プラグインアクセスを制御する IAM ポリシーの例については、「」を参照してくださいユーザーが 1 つのプロバイダーのプラグインとチャットできるようにする

CloudZero プラグインとチャットする

CloudZero プラグインを使用するには、 CloudZero または AWS アプリケーションモニターとケースに関する質問の冒@cloudzero頭に と入力します。Amazon Q からのフォローアップの質問や質問への回答には、 も含める必要があります@cloudzero

以下は、Amazon Q CloudZeroプラグインを最大限に活用するためのユースケースの例と、関連する質問です。

  • CloudZero で を使用する方法を学ぶ AWS – CloudZero機能の仕組みについて質問します。Amazon Q では、最善の回答を提供するために何をしようとしているかの詳細を求められる場合があります。

    • @cloudzero how do I use CloudZero?

    • @cloudzero how do I get started with CloudZero?

  • コストインサイトのリスト — コストインサイトのリストを取得したり、特定のインサイトの詳細を確認したりできます。

    • @cloudzero list my top cost insights

    • @cloudzero tell me more about insight <insight ID>

  • 請求情報の取得 – AWS 請求情報については、Amazon Q CloudZero プラグインにお問い合わせください。

    • @cloudzero what were my AWS costs for December 2024?