Amazon Q Developer Pro サブスクリプションを利用した Amazon Q へのアクセスをユーザーに許可する Amazon Q にカスタマーマネージドキーへのアクセスを許可するユーザーに Amazon Q とのチャットを許可する AWS CloudShellで Amazon Q CLI を使用することをユーザーに許可するユーザーにコマンドラインで変換の実行を許可するユーザーが Amazon Q でコンソールエラーをトラブルシューティングすることを許可する Amazon Q を使用して CLI コマンドからコードを生成することをユーザーに許可するユーザーに Amazon Q とのリソースに関するチャットを許可する Amazon Q がチャットでユーザーに代わってアクションを実行することを許可する Amazon Q がコストデータにアクセスし、コスト最適化に関する推奨事項を提供できるようにする Amazon Q がユーザーに代わって特定のアクションを実行するためのアクセス許可を拒否する Amazon Q のアクセス許可でユーザーに代わって特定のアクションを実行することを許可する Amazon Q に特定のリージョンでユーザーに代わってアクションを実行するアクセス許可を付与する Amazon Q のアクセス許可でユーザーに代わってアクションを実行することを拒否するユーザーが 1 つのプロバイダーのプラグインとチャットできるようにするユーザーに特定のプラグインとのチャットを許可する Amazon Q へのアクセスの拒否自分のアクセス許可の表示をユーザーに許可する

ユーザーアクセス許可

次のポリシーでは、、、および AWS Documentation サイトを含む AWS アプリケーション AWS Management Console AWS Console Mobile Applicationとウェブサイトで Amazon Q Developer の機能にアクセスすることを許可します。

Amazon Q Developer への管理アクセスを有効にするポリシーについては、「管理者のアクセス許可」を参照してください。

注記

IDE またはコマンドラインで Amazon Q にアクセスするユーザーには、IAM アクセス許可は必要ありません。

Amazon Q Developer Pro サブスクリプションを利用した Amazon Q へのアクセスをユーザーに許可する

次のポリシー例では、Amazon Q Developer Pro サブスクリプションで Amazon Q を使用するアクセス許可を付与します。これらのアクセス許可がないと、ユーザーは Amazon Q の無料利用枠にしかアクセスできません。Amazon Q とチャットしたり、他の Amazon Q 機能を使用するには、このセクションのポリシー例で付与されているアクセス許可など、追加のアクセス許可が必要です。

Amazon Q にカスタマーマネージドキーへのアクセスを許可する

次のポリシー例では、Amazon Q にキーへのアクセスを許可することで、カスタマーマネージドキーで暗号化された機能にアクセスするためのアクセス許可をユーザーに付与します。このポリシーは、管理者が暗号化用にカスタマーマネージドキーをセットアップしている場合に Amazon Q を使用するために必要です。

ユーザーに Amazon Q とのチャットを許可する

次のポリシー例では、コンソールで Amazon Q とチャットするための許可を付与します。

AWS CloudShellで Amazon Q CLI を使用することをユーザーに許可する

次のポリシー例では、で Amazon Q CLI を使用するためのアクセス許可を付与します AWS CloudShell。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名称変更 - 変更の概要」を参照してください。

ユーザーにコマンドラインで変換の実行を許可する

次のポリシー例では、変換用の Amazon Q コマンドラインツールを使用してコードを変換するアクセス許可を付与します。

ユーザーが Amazon Q でコンソールエラーをトラブルシューティングすることを許可する

次のポリシー例では、Amazon Q でコンソールエラーをトラブルシューティングするためのアクセス許可を付与します。

Amazon Q を使用して CLI コマンドからコードを生成することをユーザーに許可する

次のポリシー例では、記録された CLI コマンドから Amazon Q を使用してコードを生成するためのアクセス許可を付与します。これにより、Console-to-Code 機能を使用できます。

ユーザーに Amazon Q とのリソースに関するチャットを許可する

次のポリシー例では、リソースについて Amazon Q とチャットするアクセス許可を付与し、Amazon Q がユーザーに代わってリソース情報を取得できるようにします。Amazon Q には、IAM ID がアクセス許可を持つリソースへのアクセス許可のみがあります。

Amazon Q がチャットでユーザーに代わってアクションを実行することを許可する

次のポリシー例では、Amazon Q とチャットするアクセス許可を付与し、Amazon Q がユーザーに代わってアクションを実行することを許可します。Amazon Q には、IAM ID が実行するアクセス許可を持つアクションを実行するためのアクセス許可のみが与えられます。

Amazon Q がコストデータにアクセスし、コスト最適化に関する推奨事項を提供できるようにする

次のポリシー例では、コストについて Amazon Q とチャットするアクセス許可を付与し、Amazon Q がコストデータにアクセスし、コスト分析と最適化のレコメンデーションを提供できるようにします。このポリシーには、 AWS Cost Explorer、、 AWS Cost Optimization Hubおよびに関連するアクセス許可が含まれます AWS Compute Optimizer。

Amazon Q がユーザーに代わって特定のアクションを実行するためのアクセス許可を拒否する

次のポリシー例では、Amazon Q とチャットするアクセス許可を付与し、Amazon EC2 アクションを除き、IAM ID が実行するアクセス許可を持つアクションをユーザーに代わって実行することを Amazon Q に許可します。このポリシーは、aws:CalledVia グローバル条件キーを使用して、Amazon Q が呼び出す場合にのみ Amazon EC2 アクションが拒否されるように指定します。

Amazon Q のアクセス許可でユーザーに代わって特定のアクションを実行することを許可する

次のポリシー例では、Amazon Q とチャットするアクセス許可を付与し、Amazon EC2 アクションを除き、IAM ID が実行するアクセス許可を持つアクションをユーザーに代わって実行することを Amazon Q に許可します。このポリシーは、Amazon EC2 アクションを実行するアクセス許可を IAM ID に付与しますが、Amazon Q は ec2:describeInstances アクションしか実行できません。このポリシーは、aws:CalledVia グローバル条件キーを使用して、Amazon Q には ec2:describeInstances を呼び出すことのみが許可され、他の Amazon EC2 アクションを呼び出すことは許可されないように指定します。

Amazon Q に特定のリージョンでユーザーに代わってアクションを実行するアクセス許可を付与する

次のポリシーの例では、Amazon Q とチャットするアクセス許可を付与し、ユーザーに代わってアクションを実行するときに Amazon Q が us-east-1 リージョンと us-west-2 リージョンに対してのみ呼び出しを行うことを許可します。Amazon Q は他のリージョンに呼び出しを行うことはできません。呼び出し先リージョンを指定する方法の詳細については、「AWS Identity and Access Management ユーザーガイド」の「aws:RequestedRegion」を参照してください。

Amazon Q のアクセス許可でユーザーに代わってアクションを実行することを拒否する

次のポリシー例では、Amazon Q がユーザーに代わってアクションを実行できないようにします。

ユーザーが 1 つのプロバイダーのプラグインとチャットできるようにする

次のポリシー例では、プラグインプロバイダーの名前とワイルドカード文字 () を使用してプラグイン ARN で指定された、管理者が設定した特定のプロバイダーのプラグインとチャットするアクセス許可を付与します*。プラグインを削除して再設定した場合、これらのアクセス許可を持つユーザーは、新しく設定されたプラグインへのアクセスを保持します。このポリシーを使用するには、 Resourceフィールドの ARN で以下を置き換えます。

AWS-region – プラグインが作成された AWS リージョン場所。
AWS-account-ID – プラグインが設定されている AWS アカウントのアカウント ID。
plugin-provider – CloudZero、、 Datadogなど、アクセスを許可するプラグインプロバイダーの名前Wiz。プラグインプロバイダーフィールドでは、大文字と小文字が区別されます。

ユーザーに特定のプラグインとのチャットを許可する

次のポリシー例では、プラグイン ARN で指定された特定のプラグインとチャットするアクセス許可を付与します。プラグインを削除して再設定すると、このポリシーでプラグイン ARN が更新されない限り、ユーザーは新しいプラグインにアクセスできなくなります。このポリシーを使用するには、 Resourceフィールドの ARN で以下を置き換えます。

AWS-region – プラグインが作成された AWS リージョン場所。
AWS-account-ID – プラグインが設定されているアカウントのアカウント AWS ID。
plugin-provider – CloudZero、、 Datadogなど、アクセスを許可するプラグインプロバイダーの名前Wiz。プラグインプロバイダーフィールドでは、大文字と小文字が区別されます。
plugin-ARN – アクセスを許可するプラグインの ARN。

Amazon Q へのアクセスの拒否

次のポリシー例では、コンソールで Amazon Q を使用するすべてのアクセス許可を拒否します。

注記

Amazon Q へのアクセスを拒否しても、Amazon Q アイコンとチャットパネルは AWS コンソール、 AWS ウェブサイト、 AWS ドキュメントページ、またはに表示されます AWS Console Mobile Application。

自分のアクセス許可の表示をユーザーに許可する

この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

管理者のアクセス許可

統合のために Amazon Q Developer へのアクセスを管理する