翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS アプリやウェブサイトでの Amazon Q Developer の使用
、 AWS マネジメントコンソール、 AWS マーケティングウェブサイト AWS Console Mobile Application、 AWS Documentation ウェブサイト、サポートされているチャットアプリケーションで Amazon Q Developer を使用して質問します AWS。 AWS アーキテクチャ、ベストプラクティス、サポート、ドキュメントについては、Amazon Q にお問い合わせください。Amazon Q は、 AWS SDKs と AWS Command Line Interface () を使用して記述するコードにも役立ちますAWS CLI。
では AWS マネジメントコンソール、 AWS リソースとコストについて Amazon Q に質問したり、 に直接問い合わせ サポート たり、一般的なコンソールエラーを診断したりできます。
で Amazon Q Developer の機能にすばやくアクセスできるようにするには AWS、Amazon Q を使用して ` AmazonQDeveloperAccess` AWS マネージドポリシーを IAM ID にアタッチします。特定の機能に必要なアクセス許可については、使用する機能のトピックを参照してください。
**Topics**
+ [Amazon Q Developer Pro サブスクリプションへの認証](#qdevpro-authentication)
+ [に関する Amazon Q Developer とのチャット AWS](chat-with-q.md)
+ [Amazon Q Developer プラグインの使用](plugins.md)
+ [Amazon Q Developer Console-to-Code による AWS サービスの自動化](console-to-code.md)
+ [Amazon Q Developer でコンソールでの一般的なエラーを診断する](diagnose-console-errors.md)
+ [Amazon Q Developer を使用して サポートとチャットする](support-chat.md)
## Amazon Q Developer Pro サブスクリプションへの認証
無料利用枠で Amazon Q にアクセスするには、 AWS マネジメントコンソールにサインインします。必要なアクセス許可がある限り、無料利用枠機能を使用できます。
Pro 階層で Amazon Q にアクセスするには、IAM アイデンティティセンターを使用してコンソールにサインインします。IAM アイデンティティセンターに接続されている外部 ID プロバイダーを介した認証など、IAM アイデンティティセンターを使用してサインインすると、IAM アイデンティティセンター ID が Amazon Q Developer Pro にサブスクライブされている場合、自動的に Pro 階層にアクセスできます。
Amazon Q Developer Pro 階層の詳細については、「[Q Developer のサービスティア – Free および Pro](q-tiers.md)」を参照してください。
**注記**
「`Your account has not been configured to use an Amazon Q subscription`」で始まるエラーメッセージが表示された場合は、トラブルシューティングのヒントについて「[Amazon Q Developer Pro サブスクリプションのトラブルシューティング](q-admin-setup-subscribe-troubleshooting.md)」を参照してください。
IAM または IAM とのフェデレーションを使用して AWS コンソールにサインインすると、無料利用枠の制限に達するか、Pro 階層でのみ利用可能な機能を使用しようとすると、IAM Identity Center で認証するように求められます。
# に関する Amazon Q Developer とのチャット AWS
**生成 AI ベースの Q アーティファクトの紹介**
Amazon Q は、テーブルとグラフの視覚化を使用して質問に対する回答を提供できるようになりました。プロンプトライブラリを使用すると、プロンプトの例を簡単に見つけることができます。Q エクスペリエンスがより使いやすく便利になりました。Q アイコンがナビゲーションバーに再配置されました。Q チャットパネルが左側に開くようになりました。
、 AWS マネジメントコンソール、 AWS ウェブサイト AWS Console Mobile Application、 AWS Documentation ウェブサイト、チャットアプリケーションで Amazon Q とチャットして、 AWS のサービスについて説明します。
ベストプラクティス、推奨事項、 AWS タスクのstep-by-stepの手順、 AWS リソースとワークフローの設計については、Amazon Q にお問い合わせください。 AWS リソースとアカウントのコストについて質問することもできます。Amazon Q は、 AWS SDKsと の使用を開始するのに役立つ短いスクリプトまたはコードスニペットも生成します AWS CLI。
以下のトピックでは、Amazon Q チャットの使用方法と、チャットできるトピックについて説明します。
**Topics**
+ [Amazon Q での Q アーティファクトの使用](chat-artifacts.md)
+ [アクセス許可を追加する](#add-permissions-chat)
+ [会話を開始する](#start-conversation)
+ [コンソールで会話を管理する](#manage-conversations-console)
+ [Amazon Q チャットパネルを操作する](#navigate-amazon-q-chat-panel)
+ [チャット設定](#chat-settings)
+ [プロンプトの例](#example-questions)
+ [リソースに関する Amazon Q Developer とのチャット](chat-actions.md)
+ [Amazon Q にリソースのトラブルシューティングを依頼する](chat-actions-troubleshooting.md)
+ [コストに関するチャット](chat-costs.md)
+ [ネットワークセキュリティに関するチャット](chat-network-security.md)
+ [E メール送信に関するチャット](chat-email.md)
+ [テレメトリと運用に関するチャット](chat-ops.md)
# Amazon Q での Q アーティファクトの使用
Amazon Q アーティファクトを使用すると、Amazon Q はテーブルとチャートの視覚化で強化されたレスポンスを提供できます。リソースについて自然言語の質問をすると、Amazon Q には、リソースを一目で理解できるアーティファクトが表示されることがあります。
Q エクスペリエンスがより使いやすく便利になりました。検索の横にあるナビゲーションバーから Q に簡単にアクセスできます。Q チャットパネルが左側に開き、全画面表示に展開できます。新しいプロンプトライブラリは、便利なプロンプト例を見つけるのに役立ちます。
開始するには、必要なアクセス許可があることを確認し、プロンプトの例を確認して Amazon Q アーティファクトを最大限に活用します。詳細については、「[前提条件](#chat-artifacts-prereqs)」および「[プロンプトの例](#chat-artifacts-example-prompts)」を参照してください。
## 前提条件
Amazon Q で視覚化を表示するには、[「Amazon Q とのチャットとコストに関するチャットをユーザーに許可](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)[する](chat-costs.md#cost-chat-getting-started)」を参照してください。
## 仕組み
**注記**
Amazon Q ビジュアライゼーションに関連付けられたすべてのデータは us-east-1 に保存されます。
**AWS マネジメントコンソールで Amazon Q の Q アーティファクトを表示するには:**
1. AWS マネジメントコンソールにサインインします。
1. 統合ナビゲーションバーの Q アイコンを選択して Amazon Q にアクセスします。
1. 自然言語を使用してタスクを Amazon Q に記述します。例えば、次のようになります。
1. 「実行中の EC2 インスタンスを一覧表示する」
1. 「先月、リージョン別にコストのグラフを作成する」
1. Amazon Q がビジュアルインターフェイスが役立つと判断した場合、テーブルまたはチャートの視覚化を使用して、Q チャットの横の新しいパネルにアーティファクトが自動的に表示されます。
1. リソースについて質問する場合、パネルには以下が含まれます。
1. 指定したプロパティに基づいて分類された、質問したリソースを含むテーブル。
1. サービスコンソールのリソースページにリダイレクトするリソースへのディープリンク。
1. グラフの視覚化でコストと請求情報について質問する場合、パネルにはグラフウィジェットが含まれます。
## プロンプトの例
次のカテゴリと関連するプロンプトは、Amazon Q アーティファクトで完了できるタスクのタイプの例です。
+ **リソース情報の表示 ** – リソース情報をテーブルまたはグラフ形式で視覚化します。
+ **請求のレコメンデーションと予測を取得する** – 今後 6 か月間の予測コストの折れ線グラフを表示し、過去 6 か月間のインスタンスタイプごとに RDS コストをグラフ化します。
+ **セキュリティとコンプライアンス** — EC2 リソースへのトラフィックとインターネットアクセスを確認し、リージョン間で EC2 インスタンスのインターネット接続を検証します。
推奨されるユースケースのリストについては、Q チャットパネルの右上にある Amazon Q プロンプトライブラリアイコンを選択し、テーブルまたはビジュアライゼーションレスポンスタイプでフィルタリングします。
## アクセス許可を追加する
Amazon Q とのチャットに必要なアクセス許可を付与する IAM ポリシーについては、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
## 会話を開始する
で Amazon Q チャットパネルを開くには AWS マネジメントコンソール、統合ナビゲーションバーの左上にある Amazon Q アイコンを選択します。 AWS ウェブサイトまたは AWS サービスのドキュメントページでパネルを開くには、右下隅にある Amazon Q アイコンを選択します。
Amazon Q に質問するには、Amazon Q パネルのテキストバーに質問を入力します。質問に対して、参考文献へリンクする出典セクションを含む回答が生成されます。
回答を受け取ったら、オプションで、「高評価」と「低評価」のアイコンを使ってフィードバックを残すことができます。[コピー] アイコンを選択して、回答をクリップボードにコピーすることもできます。
**コンソールで新しい会話を開始するには:**
1. チャットパネルの右上隅にあるプラスアイコンを選択して、新しい会話を開始できます。
1. 会話に名前を付ける、または名前を変更するには、チャットパネルの上部にあるテキストを選択し、会話名を入力します。
## コンソールで会話を管理する
Amazon Q で過去の会話を表示、切り替え、削除できます。
Amazon Q は、特定の会話内で以前に質問された質問と応答の履歴を保持し、応答を通知するためのコンテキストとして使用します。 AWS コンソールで Amazon Q チャットとの最大 1,000 件の個別の会話を保存できます。
会話を開始すると、新しい会話として自動的に保存されます。会話にタイトルを付けることができます。そうしないと、Amazon Q は選択したプロンプトの例または会話の最初のいくつかの質問に基づいてタイトルを生成します。
会話を切り替えると、以前のトピックに関する Amazon Q とのチャットを続行できます。新しい質問をしない非アクティブな会話は、90 日間非アクティブになると削除されます。会話がまだアクティブであっても、90 日以上経過したメッセージは削除されます。
**会話を切り替えるには:**
1. チャットパネルの右上にある時計アイコンを選択します。**会話**ポップアップが開きます。
1. 再開する会話の名前を選択します。その会話からの以前のメッセージはすべてチャットパネルに表示され、Amazon Q とのチャットを続行できます。
**会話を削除するには:**
1. チャットパネルの右上にある時計アイコンを選択します。**会話**ポップアップが開きます。
1. 削除する会話の名前の横にある削除アイコンを選択します。
コンソールで Amazon Q を使用している場合、コンソールの別の場所、または別のブラウザやタブに移動すると、現在の会話と関連するコンテキストが維持されます。 AWS のウェブサイト、ドキュメントウェブサイト、またはコンソールモバイルアプリケーションで Amazon Q を使用している場合、新しいページ、ブラウザ、またはタブに移動すると、コンテキストなしで新しい会話が開始されます。
## Amazon Q チャットパネルを操作する
注: Amazon Q チャットパネルとサービスコンソールはいつでも切り替えることができます。
1. Q チャットパネルを全画面モードで展開するには、右上隅の最大化アイコンを選択します。全画面表示モードを切り替えるには、サイズ変更アイコンを選択します。
1. Q チャットパネルを閉じるには、右上隅で < を選択します。視覚化を使用してパネルを閉じるには、右上隅にある X を選択します。
1. チャットパネルのサイズを調整するには、 ディバイダーを使用します。
1. チャットパネルを再度開くには、統合ナビゲーションバーの Q アイコンを選択します。
1. ビューを切り替えると、作業は自動的に保存されます。
## チャット設定
Amazon Q でチャット設定を表示するには、チャットパネルの右上にある歯車アイコンを選択します。
+ **リージョン** — チャットパネルを開く AWS マネジメントコンソール と、Amazon Q はデフォルトで の AWS リージョン セットになります。Amazon Q で使用されるリージョンを更新するには、コンソールリージョンを変更します。
## プロンプトの例
適切なサービスの検索 AWS のサービス、ベストプラクティスの理解、リソースの状態の確認など、 AWS および について Amazon Q に質問できます。Amazon Q がビジュアルインターフェイスが役立つと判断した場合、テーブルまたはグラフの視覚化を含む新しいパネルが自動的に表示されます。
AWS SDKs と を使用したソフトウェア開発について質問することもできます AWS CLI。コンソールの Amazon Q は、 AWS SDKs と の使用を開始するのに役立つ短いスクリプトまたはコードスニペットを生成できます AWS CLI。
以下は、Amazon Q が AWSでのビルドにどのように役立つかを示す質問例です。
+ CloudWatch アラームなしで RDS データベースを一覧表示する
+ Lambda 関数の最大ランタイムはどれくらいですか?
+ VPC にリソースをいつ配置すべきですか?
+ タグ値 ** の S3 バケットを一覧表示する
+ さまざまな S3 ストレージクラスの GB あたりのコストを示すグラフを作成する
+ 過去 3 週間の vCPU 時間あたりの EC2 コストのグラフ化
+ コストを低く抑える必要がある場合、ワークロードの実行にはどのコンテナサービスを使用するのが最適ですか?
+ 最適化レコメンデーションによる削減額の棒グラフを表示する
開始しやすくするために、Q は新しい会話を開始するときにプロンプトを推奨します。プロンプトライブラリでサポートされているプロンプトのリストを表示することもできます。プロンプトライブラリでプロンプトを表示するには、チャットパネルの右上にある書籍アイコンを選択します。
# リソースに関する Amazon Q Developer とのチャット
Amazon Q Developer は、自然言語プロンプトを通じて AWS インフラストラクチャを理解するのに役立つ AWS アカウントリソースに関する質問に回答します。Amazon Q は、高度な推論機能を使用してリソースを分析し、インサイトを提供するため、複数のサービスコンソール、API、複雑なスクリプトに依存せずに、必要な情報をすばやく取得できます。
Amazon Q が実行できるリソース分析のタイプは次のとおりです。
+ **リソースの一覧表示と詳細** – アカウント内のリソースのリストまたは特定の詳細をリクエストします。
+ **フィルタリングされたクエリ** – リージョンや設定状態などの基準に基づいてリソース情報をリクエストします。
+ **クロスサービス分析** – 複数の AWS リソースとサービスにわたるインフラストラクチャ、設定、依存関係について複雑な質問をします。
+ **サポートのトラブルシューティング** – リソースの問題の特定と解決に役立ちます。詳細については、「[Amazon Q にリソースのトラブルシューティングを依頼する](chat-actions-troubleshooting.md)」を参照してください。
可能な質問の例については、「[Amazon Q にリソース情報をリクエストする](#ask-resource-questions)」を参照してください。
**Topics**
+ [仕組み](#how-chat-actions-works)
+ [前提条件](#resoure-chat-prereqs)
+ [Amazon Q にリソース情報をリクエストする](#ask-resource-questions)
+ [でリソースをカウントする AWS Resource Explorer](#count-resources)
## 仕組み
リソースに関する質問に回答するために、Amazon Q はサービス APIsと AWS クラウドコントロール API を使用してリクエストされた情報を取得します。Amazon Q がリクエストされたリソース情報を取得するために必要な API を呼び出せるようにするには、IAM アイデンティティにそれらの API を使用するためのアクセス許可が必要です。詳細については、「[前提条件](#resoure-chat-prereqs)」を参照してください。
Amazon Q は、一度に複数の AWS リソースに関する情報を取得するためのアクションを取得、一覧表示、および記述できます。複雑なリソースの質問をすると、Amazon Q は、 AWS 環境をより深く理解するために実行しているアクションの背後にある推論を説明する動的な複数ステップの計画を作成します。最初の計画が失敗した場合、Amazon Q は代替方法を試みるか、続行するために必要な追加情報を求めます。
Amazon Q は、読み取り専用 Q アーティファクトで強化された質問に対する回答を提供できます。例えば、リソースやコスト、請求について質問すると、Amazon Q はテーブルやグラフなどの視覚化を生成し、アカウントリソースの状態をすばやく理解するのに役立ちます。
Amazon Q は、Amazon S3 バケット内のオブジェクトの一覧表示や、アカウントのセキュリティ、アイデンティティ、認証情報、暗号化に関連する質問など、リソースに保存されているデータに関する質問には回答できません。
## 前提条件
アカウントリソースに関するチャットは AWS マネジメントコンソール、、 AWS Console Mobile Application、および[設定されたチャットアプリケーションで](q-in-chat-applications.md) Amazon Q と行うことができます。
リソースについてチャットするには、IAM アイデンティティに次のアクセス許可が必要です。
+ Amazon Q とチャットし、Cloud Control API を使用し、Amazon Q にリソースへのアクセスを許可するためのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのリソースに関するチャットを許可する](id-based-policy-examples-users.md#id-based-policy-examples-allow-resource-chat)」を参照してください。
+ リクエストの対象となるリソースにアクセスするためのアクセス許可。例えば、Amazon Q に Amazon S3 バケットを一覧表示するようにリクエストする場合は、`s3:ListAllMyBuckets` のアクセス許可が必要です。
Amazon Q は、利用するユーザーの IAM ID でアクセスできないリソースにはアクセスしません。
**重要**
Amazon Q に読み取り、一覧表示、または記述のアクションの実行をリクエストする場合、通常の料金が適用されます。詳細については、Amazon Q に質問する AWS サービスの料金ページを参照してください。
## Amazon Q にリソース情報をリクエストする
リソースについて Amazon Q に尋ねるときは、Amazon Q AWS リージョン がリソースを見つけるために呼び出す を指定できます。指定されたクエリでリージョンが指定されていない場合、Amazon Q は必要に応じて会話で以前に指定されたリージョンを使用し、それ以外の場合は現在のコンソールリージョン (グローバルコンソールリージョンを使用している場合は最新のコンソールリージョン) を使用します。
Amazon Q は、リソースの質問に回答するために追加情報を必要とする場合があります。Amazon Q にフォローアップを求められたら、リクエストされた詳細を返します。
リソースについて Amazon Q に尋ねることができる質問の例を次に示します。
+ S3 バケット *<名前>* の暗号化設定を記述して
+ Lambda 関数を呼び出す SQS キュー
+ 更新が必要な MySQL RDS クラスターはありますか?
+ *<リージョン>* で自分の EC2 インスタンスを一覧表示する
+ Lambda 関数 *<名前>* の設定を取得する
+ インスタンス *<インスタンス ID>* にはどのようなアラームが設定されていますか?
+ CloudWatch アラームなしで RDS データベースを一覧表示する
+ タグ値 ** の S3 バケットを一覧表示する
+ 先週のサービス別のコストのグラフを表示する
+ 最も高価なリソースの上位 10 の棒グラフを表示する
+ 予算と予測支出を示すグラフを作成する
## でリソースをカウントする AWS Resource Explorer
「アカウントで実行されている EC2 リソースの数を教えてください。」など、リソース数が必要な質問をすると、Amazon Q はデフォルトで Cloud Control API を使用して、リクエストされたリソースの数を返します。Amazon Q でリソースのカウントを高速化するために、Resource Explorer を有効にして設定することもできます。
Resource Explorer が有効になっている場合、Amazon Q はリソースをカウントする必要がある応答を生成するときに、その使用を試みます。Amazon Q は Resource Explorer を使用して、すべての で単一のタイプのリソースをカウントできます AWS リージョン。Resource Explorer を使用すると、サービス API を呼び出してリソースを一覧表示し、結果をカウントするのではなく、Resource Explorer インデックスからカウントを返すことで、Amazon Q がリソースをより迅速にカウントできます。
Resource Explorer でリソースカウントを有効にする場合は、リソース情報が古くなる可能性があることに注意してください。Resource Explorer は、定期的なインベントリを取得してアカウントのリソースをインデックス化するため、最後のインベントリ後にリソースが作成または削除された場合、リソース数は正しくありません。Resource Explorer はリソースフィルタリングもサポートしていません。特定の条件に一致するリソースのカウントをリクエストすると、Amazon Q は Cloud Control API にフォールバックします。
Resource Explorer を有効にせず、使用できるように設定していない場合、または Amazon Q が Resource Explorer を使用して質問に回答できない場合、Amazon Q は Cloud Control API を使用してリソースをカウントします。Cloud Control API を使用すると、正確なリソース数が確保され、リソースフィルタリングがサポートされますが、Resource Explorer でのカウントと比較してレイテンシーが増加する可能性があります。また、多数のリソースをカウントする場合、Cloud Control API がタイムアウトする可能性もあります。
Resource Explorer をリソースカウントに使用するには、次の設定が必要です。
+ Amazon Q を操作するユーザーは、Resource Explorer のデフォルトビューが設定され、アグリゲータインデックスがデフォルトビューと同じリージョンに作成されたアカウントに存在する必要があります。詳細については、「*AWS Resource Explorer ユーザーガイド*」の「[詳細設定を使用して Resource Explorer をセットアップする](https://docs.aws.amazon.com/resource-explorer/latest/userguide/getting-started-setting-up.html#getting-started-setting-up-advanced)」を参照してください。
+ ユーザーの IAM アイデンティティには、デフォルトビューに対する読み取りアクセス許可が必要です。詳細については、「*AWS Resource Explorer ユーザーガイド*」の「[検索用の Resource Explorer ビューへのアクセス許可の付与](https://docs.aws.amazon.com/resource-explorer/latest/userguide/configure-views-grant-access.html)」を参照してください。
# Amazon Q にリソースのトラブルシューティングを依頼する
では AWS マネジメントコンソール、 AWS リソースで発生している問題のトラブルシューティングを Amazon Q に依頼できます。問題が発生したらチャットパネルを開き、Amazon Q に状況を説明します。例えば、「I can't add an object to my S3 bucket」(S3 バケットにオブジェクトを追加できない) や「My load balancer is returning a 503 error」(ロードバランサーからエラーが返される) と入力します。Amazon Q は、提供された情報を分析して、考えられる根本原因を特定します。次に、問題を効率的に解決するためのカスタマイズされたソリューション、詳細な手順、またはベストプラクティスを提示します。
Amazon Q は現在、次の表に示す問題の英語プロンプトを受け入れます。
| AWS サービス | Amazon Q が解決に役立つ問題の種類 | プロンプトの例 |
| --- | --- | --- |
| Amazon S3 | アクセス許可の問題 | Why can’t I put objects into my S3 bucket? The bucket ID is amzn-s3-demo-bucket. (S3 バケットにオブジェクトを追加できないのはなぜですか? バケット ID は amzn-s3-demo-bucket です。) Why can’t I delete the object s3://amzn-s3-demo-bucket-locked/Q-Stream2.jpg? (オブジェクト s3://amzn-s3-demo-bucket-locked/Q-Stream2.jpg を削除できないのはなぜですか?) Why can't I delete an object in S3? (S3 のオブジェクトを削除できないのはなぜですか?) |
| AWS Glue | ジョブの失敗 | My Glue job with the job name 'Run111B11B11-*<…>*' and the job run id 'bb\$1b1b111*<…>*' in the 'us-west-2' region failed. (ジョブ名 "Run111B11B11-<…>"、ジョブ実行 ID "bb\$1b1b111<…>" の "us-west-2" リージョンの Glue ジョブが失敗しました。) Why did my Glue job called GlueRun00AA00A00A-*<…>* fail? (Glue ジョブ GlueRun00AA00A00A-<…> が失敗したのはなぜですか?) |
| Amazon Athena | クエリの問題 | My Athena query didn't return any results. query ID: 222c22cc-2c022-*<…>* region id: us-east-2 (Athena クエリから何も結果が返されません。クエリ ID: 222c22cc-2c022-<…>、リージョン ID: us-east-2) I ran an Athena query with an execution ID of 333d33dd-3d33-*<…>* and a region of us-east-1, and it didn't return any results. (実行 ID が 333d33dd-3d33-<…> でリージョンが us-east-1 の Athena クエリを実行しましたが、結果が返されませんでした。) |
| Amazon ECS | タスクが停止する問題、Fargate ヘルスチェックの問題、エージェントが切断される問題 | My ECS task is stopped and I don't know why. The details of the task are: Cluster: my-ecs-cluster, Service: my-ecs-service, Task Definition: my-task-definition, Task ARN: arn:aws:ecs:us-west-2:444444444444:task/my-ecs-cluster/4ee4ee4ee4444*<…>* (ECS タスクが停止していますが、理由がわかりません。タスクの詳細は以下のとおりです。クラスター: my-ecs-cluster、サービス: my-ecs-service、タスク定義: my-task-definition、タスク ARN: arn:aws:ecs:us-west-2:444444444444:task/my-ecs-cluster/4ee4ee4ee4444<…>) I'm having a problem with my ECS task. The task health check always fails for the task in the 'my-ecs-cluster' cluster and service. (ECS タスクに問題が発生しています。"my-ecs-cluster" クラスターおよびサービス内のタスクでヘルスチェックが常に失敗します。) The Amazon ECS agent on one of my container instances appears to be disconnected. The agent is not responding or updating its status, which is causing tasks to be stuck in a pending state. (コンテナインスタンスの 1 つで Amazon ECS エージェントが切断されているようです。エージェントが応答せず、ステータスも更新されないため、タスクが保留状態のまま停止しています。) |
| Amazon EC2 Elastic Load Balancing | ヘルスチェックの問題、504、503、502、500 エラー | Why are the health checks for the target group called 'my-target-group' failing? (ターゲットグループ "my-target-group" のヘルスチェックが失敗するのはなぜですか?) Why am I receiving 503 errors from my load balancer 'my-elb'? (ロードバランサー "my-elb" で 503 エラーが発生しているのはなぜですか?) |
| Amazon EKS | Application Load Balancer (ALB) Ingress Controller の問題、マネージドアドオンの問題 | I have an ALB ingress controller in my EKS cluster, and am seeing a failure with the error message 'WebIdentityErr:failed to retrieve credentials'. AWS リージョンは us-west-2 です。 There seems to be an issue with the add-ons in my EKS cluster called my-eks-cluster, in the us-west-2 region. (us-west-2 リージョンにある my-eks-cluster という EKS クラスターのアドオンに問題が発生しているようです。) |
| Amazon ECR | セカンダリアカウントのアクセスの問題 | Amazon ECR イメージリポジトリへのアクセスを別のリポジトリから許可するのが難しい AWS アカウント。Specifically, I need to allow account 222222222222 to push and pull images from the repository named "my-ecr-repo" in my account (111111111111) in the region (us-west-2). (別の AWS アカウントから Amazon ECR イメージリポジトリへアクセスするための許可を付与できません。具体的には、リージョン (us-west-2) にある私のアカウント (111111111111) の "my-ecr-repo" というリポジトリに対して、アカウント 222222222222 がイメージをプッシュおよびプルできるよう許可する必要があります。) |
Amazon Q がリソースのトラブルシューティングを行うには、「[リソースに関する Amazon Q Developer とのチャットリソースに関するチャット](chat-actions.md)」で説明されているものと同じアクセス許可が必要です。
# コストに関するチャット
Amazon Q Developer は、AWS アプリケーションの理解、構築、拡張、運用に役立つ生成人工知能 (AI) を活用した会話アシスタントです。Amazon Q Developer は、自然な会話を通じて AWS コストを管理するのに役立つ強力な機能を提供します。Cost Explorer から履歴コストと予測コストを分析し、Cost Optimization Hub と AWS Compute Optimizer からコスト削減の推奨事項を発見し、Savings Plans と予約の機会を理解し、AWS の製品属性やサービスの料金についてすぐに回答を得ることができます。Amazon Q Developer は、特定の質問 (「先月の EC2 インスタンスの純非ブレンドコストは何だったか」など) に回答することも、複雑な分析やオープンエンド分析 (先週のコスト削減の最大の要因は何だったか」など) を実行することもできます。Amazon Q Developer は、クエリ構文を学習したり、複数のコンソールページをナビゲートしたりするのではなく、独自の単語で質問をしたり、AWS アカウントからの実際のデータに裏付けられた正確な回答を提供したり、呼び出された APIs とコンソール内の情報の場所を正確に表示したりすることで、AWS コストデータとやり取りする方法を変換します。
Amazon Q Developer のコスト管理機能の詳細については、[「 コスト管理ユーザーガイド」の「Amazon Q Developer で生成 AI を使用してコストを管理する](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-cost-analysis-q.html)」を参照してください。 *AWS *
## できること
Amazon Q Developer では、次のことができます。
+ **コストを分析する** – 過去の支出パターン、コスト傾向、予測コストについて質問します。たとえば、「先月の EC2 コストはいくらですか?」と入力します。または「先週コストが増加したのはなぜですか?」
+ **最適化の機会を見つける** – Cost Optimization Hub、AWS Compute Optimizer、Savings Plans のレコメンデーションについて質問することで、AWS の支出を削減する方法を見つけます。たとえば、「最高のコスト最適化の機会は何ですか?」と入力します。または「どの EC2 インスタンスがオーバープロビジョニングされていますか?」
+ **料金を理解する** – AWS サービスの料金に関する回答をすぐに取得できます。たとえば、「us-east-1 での c8g.2xlarge インスタンスのコストはいくらですか?」と入力します。または「ダブリンの S3 に 1 PB を格納するにはいくらかかりますか?」
+ **支払いステータスの確認** — 最近の請求書を一覧表示し、支払い残高を確認します。たとえば、「過去 6 か月間の請求書を一覧表示する」と「未払いの支払い残高はありますか?」などです。
+ **コストを視覚化する** – 過去のコストと使用状況、サービス料金、予算などのカスタムグラフとグラフを生成します。例えば、「各リージョンの支出額のグラフを表示する」や「先月の EC2-Other コストを分類するグラフを作成する」などです。
Amazon Q Developer は、質問のフレーズ方法に適応します。目的が正確にわかっている場合は、特定の質問をしたり、自由回答形式の探索的な質問をしたり、Q に調査を依頼したりできます。Q は会話全体でコンテキストを保持するため、フォローアップの質問をしてより深く掘り下げたり、分析を特定の方向に導いたりできます。
## 仕組み
コストについて Amazon Q Developer に尋ねると、Q は AWS Cost Explorer、Cost Optimization Hub、AWS Compute Optimizer、およびその他の AWS のサービスからデータを取得します。Q は計算を実行し、パターンを分析し、実際の使用状況と支出データに基づいてインサイトを提供します。Q は、応答ごとに、実行した API コール、使用されたパラメータ、および利用可能な場合は AWS マネジメントコンソールの一致するビューへのリンクを表示することで、応答に到達した方法の透明性を提供します。これにより、データを検証し、さらに詳しく調べることができます。
## 開始方法
AWS のコストについてチャットするには、以下が必要です。
+ **適切な IAM アクセス許可** – IAM ID には、Amazon Q とチャットし、請求データにアクセスするためのアクセス許可が必要です。必要なアクセス許可を付与する IAM ポリシーについては、「[Amazon Q がコストデータにアクセスし、コスト最適化に関する推奨事項を提供できるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-cost-chat)」を参照してください。
+ **Cost Explorer オプトイン** – AWS アカウントで AWS Cost Explorer を有効にする必要があります。Cost Explorer を有効にするには、[Cost Explorer コンソール](https://console.aws.amazon.com/costmanagement/home#/cost-explorer)を開きます。詳細については、[Cost Explorer の有効化](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-enable.html)」を参照してください。 *AWS *
Amazon Q Developer のコスト管理機能を最大限に活用するために、AWS Cost Optimization Hub や AWS Budgets などの追加サービスを有効にすることもできます。詳細については、「 [コスト管理ユーザーガイド」の「Amazon Q Developer のコスト管理機能の概要](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-q-overview.html)」を参照してください。 *AWS *
開始するには、以下の手順を実行します。
1. [https://console.aws.amazon.com](https://console.aws.amazon.com/) で AWS マネジメントコンソールにサインインします。
1. コンソールナビゲーションバーの右側にある Amazon Q アイコンを選択します。
1. 次のようなコストについて質問します。
+ 「先月のコストはいくらですか?」
+ 「最高のコスト最適化の機会は何ですか?」
+ 「Linux を実行する c8g.2xlarge インスタンスは us-east-1 でいくらかかりますか?」
+ 「先週のコストの円グラフをリージョン別に表示」
Slack や Microsoft Teams などのチャットアプリケーションで Amazon Q Developer を設定することもできます。チャットアプリケーションで Amazon Q Developer を使用する方法の詳細については、「」を参照してください[Amazon Q Developer in chat applications でのチャット](q-in-chat-applications.md)。
## 質問例
Amazon Q Developer に尋ねることができるコストに関する質問の例を次に示します。
**コスト分析**
+ 「先月のコストはいくらですか?」
+ 「過去 6 か月間の EC2 支出の傾向を表示します」
+ 「eu-central-1 リージョンの AWS 請求書に最も貢献しているサービスは何ですか?」
+ 「先週コストが増加したのはなぜですか?」
+ 「先月の支出データを分析し、最も重要なインサイトをください」
**コスト最適化**
+ 「最高のコスト最適化の機会は何ですか?」
+ 「どの EC2 インスタンスがオーバープロビジョニングされていますか?」
+ 「アイドル状態のリソースはありますか?」
+ 「どの Savings Plans を購入すればよいですか?」
**予算と異常のモニタリング**
+ 「予算を超えたチームはありますか?」
+ 「コストの異常はありますか?」
**料金見積り**
+ 「us-east-1 での c8g.2xlarge インスタンスのコストはいくらですか?」
+ 「ダブリンの S3 に 1 PB を格納するにはいくらかかりますか?」
+ 「マルチ AZ および 300 GB gp2 ストレージを搭載した t4g.xlarge RDS インスタンスの月額コストはいくらですか?」
+ 「小規模な EC2 インスタンス、API ゲートウェイ、最大 5 GB の SQL データベース、CloudFront でホストされている基本的な JS フロントエンドを備えた基本的な 3 層ウェブアプリを構築する料金はいくらですか?」
**コストの可視化**
+ 「過去 12 か月間のサポート料金を月単位でグラフ化」
+ 「今月の日別のインスタンスタイプ別の EC2 コストの面グラフを表示する」
+ 「us-east-1 で階層別の S3 ストレージ料金のグラフを作成する」
+ 「過去 3 か月間の Savings Plans カバレッジと使用率の折れ線グラフ」
+ 「過去 3 週間の vCPU 時間あたりの EC2 コストをグラフ化」
# ネットワークセキュリティに関するチャット
****
| |
| --- |
| ネットワークセキュリティに関するチャットはプレビュー中であり、変更される可能性があります。 |
Amazon Q は、ネットワークセキュリティ設定を分析し、AWS ネットワークセキュリティサービスの不足や誤設定を特定して、ネットワークセキュリティ体制を強化するための推奨事項を把握するのに役立ちます。これにより、ワークフローを中断することなく、ネットワークセキュリティ検出結果を理解し、修復手順を実施して、セキュリティのベストプラクティスに従うことができます。
ネットワークセキュリティについて Amazon Q にたずねると、リソースに関する具体的な情報、関連するセキュリティ検出結果、詳細な修復手順、および AWS マネジメントコンソールで詳細を把握するためのリンクが応答として返されます。
Amazon Q によるネットワークセキュリティ分析の詳細については、「*AWS Shield ネットワークセキュリティディレクターデベロッパーガイド*」の「[Get insights with Amazon Q Developer](https://docs.aws.amazon.com/waf/latest/developerguide/nsd-security-insights.html)」を参照してください。
## 前提条件
AWS ネットワークセキュリティに関するチャットは、AWS マネジメントコンソールおよび[設定されたチャットアプリケーション](q-in-chat-applications.md)で行うことができます。
Amazon Q でネットワークセキュリティに関する質問の回答を得るには、次の前提条件を満たす必要があります。
### アクセス許可を追加する
ネットワークセキュリティに関するチャットを行うには、お使いの IAM ID に Amazon Q とチャットするためのアクセス許可が必要です。必要なアクセス許可を付与する IAM ポリシーについては、「[ユーザーに Amazon Q とのチャットを許可する](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
### AWS Shield ネットワークセキュリティディレクターを有効にする
Amazon Q でネットワークセキュリティに関するチャットを行うには、お使いの AWS アカウントで AWS Shield ネットワークセキュリティディレクターを有効にする必要があります。以下の手順に従って、AWS Shield ネットワークセキュリティディレクターを有効にします。
1. AWS Shield ネットワークセキュリティディレクターコンソール ([https://console.aws.amazon.com/nsd/](https://console.aws.amazon.com/nsd/)) を開きます。
1. セットアップ手順に従って、サービスを有効にします。
1. スキャンを実行して、リソースに関するセキュリティ情報を収集します。
## 質問例
以下は、ネットワークセキュリティについて Amazon Q にたずねることができる質問の例です。
+ 上位のネットワークセキュリティ検出結果を特定して
+ 環境内のネットワークセキュリティを要約して
+ システムに DDoS 攻撃のリスクはありますか?
+ ネットワークセキュリティを強化するにはどうすればよいですか?
+ WAF で保護されていないリソースはありますか?
+ 一般的なウェブの脆弱性から保護されていないリソースはどれですか?
+ EC2 インスタンスに共通するネットワークセキュリティの問題は何ですか?
+ 何も保護していない WAF WebACL はありますか?
# E メール送信に関するチャット
Amazon Q は、Amazon Simple Email Service (Amazon SES) で E メール送信を設定するのに役立ちます。これにより、送信配信率とエンゲージメント率を最適化し、送信問題のトラブルシューティングを行うことができます。Amazon SES について Amazon Q に尋ねると、そのレスポンスには、アカウントの送信 ID、設定セット、およびその他の Amazon SES リソースに関する情報が含まれます。また、E メール送信パターンや、Gmail や Yahoo などのメールボックスプロバイダーからの応答パターンに関する質問に回答することもできます。
## 前提条件
Amazon SES に関するチャットは、 AWS マネジメントコンソール および[設定されたチャットアプリケーションで](q-in-chat-applications.md)行うことができます。
Amazon Q が E メール送信に関する質問に回答するには、次の前提条件を満たす必要があります。
### アクセス許可を追加する
E メール送信についてチャットするには、IAM ID に Amazon Q とチャットするためのアクセス許可が必要です。必要なアクセス許可を付与する IAM ポリシーについては、[「Amazon Q とのチャットをユーザーに](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)許可する」を参照してください。 また、質問する Amazon SES リソースにアクセスするためのアクセス許可も必要です。
## 質問例
Amazon Q に尋ねることができる E メール送信に関する質問の例を次に示します。
+ E メール送信用の SES の設定を完了するには、何かする必要がありますか?
+ 配信性能が最も高い送信 ID を教えてください。
+ E メールの配信性能を Yahoo に送信する方法を教えてください。
+ 送信を改善するための推奨事項はありますか?
+ 配信性能が突然向上または悪化した最近のイベントがあったかどうか教えてください。
# テレメトリと運用に関するチャット
Amazon Q は CloudWatch テレメトリデータと運用データを分析して、AWS 環境の管理を支援します。リソースのヘルス情報を取得し、アラームをモニタリングして、トラブルシューティングのガイダンスを提供します。Amazon Q は質問されると、正確なサポートを提供するためにリソース名や時間範囲などの具体的な情報の入力を求めることがあります。
**AWS サービスのヘルスチェック:** 指定された AWS サービスのリソースの状態を評価し、これらのリソースで発生した問題やエラーのトラブルシューティングと解決を支援します。
+ Lambda 関数 X は正常ですか?
+ Amazon ECS クラスターに何か問題がありますか?
+ X から Y までの時間に DynamoDB テーブルのトラブルシューティングを支援してください。
+ X から Y までの時間に Amazon S3 に関連する異常を調査してください。
**アラームのトラブルシューティング:**「アラーム」状態のアラームと、アラームをトリガーした基になるテレメトリを特定し、アラーム/アラート/ページの背後にある原因を診断できるようにします。
+ X という名前のアラームが発生したのはなぜですか?
**Application Signals 固有のトラブルシューティング:** CloudWatch Application Signals のサービスレベルの目標とインジケータを分析し、サービスの全体的な状態を判断して、アプリケーションのパフォーマンスを評価および維持できるようにします。
+ 環境 Y のサービス X は正常ですか?
Amazon Q が CloudWatch テレメトリデータと運用データを分析する方法について詳しくは、「*Amazon CloudWatch ユーザーガイド*」の「[CloudWatch 調査](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Investigations.html)」を参照してください。
# Amazon Q Developer プラグインの使用
Amazon Q Developer はサードパーティーのモニタリングツールやセキュリティプラットフォームと統合されているため、 AWS ビルダー環境を離れることなく AWS アプリケーションインサイトにアクセスできます。 AWS マネジメントコンソールでは、これらのツールが提供するメトリクスについてチャットして、アプリケーションのパフォーマンス、エラー、脆弱性の理解と対応に役立てることができます。
プラグインを設定したら、 AWS コンソールで Amazon Q とチャットするときに、質問の先頭にプラグインエイリアスを追加します。Amazon Q はサードパーティープロバイダー API を呼び出してリソースを取得し、外部リソースへのディープリンクを含む応答を生成します。
Amazon Q がサードパーティー API を呼び出すと、API は AWS CloudTrail ログに表示されません。CloudTrail ログには、Amazon Q がサードパーティープロバイダーに接続するための認証情報を取得するために AWS Secrets Manager シークレットにアクセスした場合にのみ表示されます。
Amazon Q は、プラグインを設定または使用する際に、サードパーティープロバイダーと情報を共有しません。Amazon Q でのデータの使用方法の詳細については、「[データ保護](data-protection.md)」を参照してください。
**注記**
AWS 組織内のメンバーアカウントは、組織の管理アカウントプロファイルで設定されたプラグインにアクセスできません。各メンバーアカウントは、アカウントでプラグインを設定して使用する前に、独自の Q Developer プロファイルを作成する必要があります。
**警告**
サードパーティープロバイダーのユーザーアクセス許可は、Amazon Q Developer プラグインでは検出されません。管理者が AWS アカウントでプラグインを設定すると、そのアカウントのプラグイン権限を持つユーザーは、プラグインによって取得可能なサードパーティープロバイダーアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
開始するには、Amazon Q Developer で使用するプラグインのトピックを参照してください。
**Topics**
+ [Amazon Q Developer CloudZero プラグインの設定](cloudzero-plugin.md)
+ [Amazon Q Developer Datadog プラグインの設定](datadog-plugin.md)
+ [Amazon Q Developer Wiz プラグインの設定](wiz-plugin.md)
# Amazon Q Developer CloudZero プラグインの設定
CloudZero は、クラウド効率を向上させるためにコストを評価するクラウドコスト最適化プラットフォームです。CloudZero を使用して AWS コストをモニタリングする場合は、Amazon Q Developer チャットの CloudZeroプラグインを使用して、 を離れることなくコストインサイトにアクセスできます AWS マネジメントコンソール。
CloudZero プラグインを使用して、 AWS コストの把握、コスト最適化のインサイトの取得、請求の追跡を行うことができます。応答を受け取ったら、CloudZero インサイトのステータスやコストへの影響など、フォローアップの質問をすることができます。
プラグインを設定するには、CloudZero アカウントから認証情報を指定して、Amazon Q と CloudZero 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に ****@cloudzero**** を追加して CloudZero データにアクセスできます。
**警告**
CloudZero ユーザーアクセス許可は、Amazon Q のCloudZeroプラグインによって検出されません。管理者が AWS アカウントのCloudZeroプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なCloudZeroアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[ユーザーアクセス許可の設定](#cloudzero-configure-user-permissions)」を参照してください。
## 前提条件
### アクセス許可を追加する
プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。
+ Amazon Q Developer コンソールへのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者に Amazon Q Developer コンソールの使用を許可する](id-based-policy-examples-admins.md#q-admin-setup-admin-users)」を参照してください。
+ プラグインを設定するアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者にプラグインの設定を許可する](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)」を参照してください。
### 認証情報の取得
開始する前に、CloudZero アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。
+ **API キー** – Amazon Q が CloudZero API を呼び出して組織のコストインサイトと請求情報にアクセスできるようにするアクセスキー。API キーは CloudZero アカウント設定で確認できます。詳細については「CloudZero ドキュメント」の「[Authorization](https://docs.cloudzero.com/reference/authorization)」を参照してください。
CloudZero アカウントから認証情報を取得する方法の詳細については、「[CloudZeroドキュメント](https://docs.cloudzero.com/docs/amazon-q-integration)」を参照してください。
## シークレットとサービスロール
### AWS Secrets Manager シークレット
プラグインを設定すると、Amazon Q はCloudZero認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。
シークレットを自分で作成する場合は、API キーをプレーンテキストとして入力します。
```
your-api-key
```
シークレットを作成する方法については、「*AWS Secrets Manager User Guide*」の「[Create a secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」を参照してください。
### サービスロール
Amazon Q Developer で CloudZero プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、CloudZero 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。
AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。
シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。
**注記**
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
サービスロールの詳細については、「 *AWS Identity and Access Management ユーザーガイド*」の[「 AWS サービスにアクセス許可を委任するロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を作成する」を参照してください。
## CloudZero プラグインを設定する
Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、CloudZero とのやり取りを有効にします。
CloudZero プラグインを設定するには、次の手順を実行します。
1. [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) で Amazon Q Developer コンソールを開きます。
1. Amazon Q Developer コンソールのホームページで、**[設定]** を選択します。
1. ナビゲーションバーで、**[プラグイン]** を選択します。
1. プラグインページで、**CloudZero** パネルのプラス記号を選択します。プラグイン設定ページが開きます。
1. **Configure AWS Secrets Manager** で、**新しいシークレットを作成する**か**、既存のシークレットを使用する**を選択します。CloudZero 認証情報は、Secrets Manager シークレットに保存されます。
新しい設定を作成する場合は、以下の情報を入力します。
1. **[CloudZero API キー]** で、CloudZero 組織の API キーを入力します。
1. Amazon Q が CloudZero 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のシークレットがある場合は、**[AWS Secrets Manager シークレット]** ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した CloudZero 認証情報が含まれている必要があります。
必要な認証情報の詳細については、「[認証情報の取得](#acquire-cloudzero-credentials)」を参照してください。
1. **IAM サービスロールを設定する AWS **で、**新しいサービスロールを作成する** または**既存のサービスロールを使用する** を選択します。
**注記**
手順 6 で**[新しいシークレットを作成する]**を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。
新しいサービスロールを作成する場合、Amazon Q が CloudZero 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、[サービスロール](#cloudzero-service-role) で定義されているアクセス許可と信頼ポリシーがあることを確認します。
1. **[設定の保存]** を選択します。
1. プラグインページの **[設定済みプラグイン]** セクションに CloudZero プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。
プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。
## ユーザーアクセス許可の設定
プラグインを使用するには、以下のアクセス許可が必要です。
+ コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ `q:UsePlugin` アクセス許可
IAM ID に設定済みの CloudZero プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な CloudZero アカウント内のリソースへのアクセスを取得します。CloudZero ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。
プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。
CloudZero プラグイン ARN を見つけるには、Amazon Q Developer コンソールの**プラグイン**ページに移動し、設定済みの CloudZero プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、CloudZero プラグインへのアクセスを許可または拒否できます。
CloudZero プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに `CloudZero` を指定します。
プラグインアクセスを制御する IAM ポリシーの例については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
## CloudZero プラグインを使用してチャットする
CloudZero プラグインを使用するには、 CloudZero または AWS アプリケーションモニターとケースに関する質問の冒**@cloudzero**頭に と入力します。Amazon Q からのフォローアップの質問や質問への回答には、**@cloudzero** も含める必要があります。
以下は、Amazon Q CloudZero プラグインを最大限に活用するためのユースケースの例と、関連する質問です。
+ **CloudZero で を使用する方法を学ぶ AWS** – CloudZero機能の仕組みについて質問します。Amazon Q は、最善の回答を提供するために、ユーザーが何をしようとしているかに関する詳細を求める場合があります。
+ **@cloudzero how do I use CloudZero?**
+ **@cloudzero how do I get started with CloudZero?**
+ **コストインサイトの一覧** — コストインサイトの一覧を取得したり、特定のインサイトの詳細を確認したりできます。
+ **@cloudzero list my top cost insights**
+ **@cloudzero tell me more about insight **
+ **請求情報の取得** – AWS 請求情報については、Amazon Q CloudZero プラグインにお問い合わせください。
+ **@cloudzero what were my AWS costs for December 2024?**
# Amazon Q Developer Datadog プラグインの設定
Datadog は、インフラストラクチャ、アプリケーション、ネットワークのモニタリングと分析を提供するモニタリングおよびセキュリティプラットフォームです。Datadog を使用して AWS アプリケーションをモニタリングする場合は、Amazon Q Developer チャットの Datadogプラグインを使用して、 を離れることなくモニタリング情報にアクセスできます AWS マネジメントコンソール。
Datadog プラグインを使用して、 について学びDatadog、 AWS サービスとの連携を理解し、Datadogケースやモニターについて質問できます。応答を受け取ったら、問題に対処する方法や Datadog リソースの詳細など、フォローアップの質問をすることができます。
プラグインを設定するには、Datadog アカウントから認証情報を指定して、Amazon Q と Datadog 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に ****@datadog**** を追加して Datadog メトリクスにアクセスできます。
**警告**
Datadog ユーザーアクセス許可は、Amazon Q のDatadogプラグインによって検出されません。管理者が AWS アカウントのDatadogプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なDatadogアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[ユーザーアクセス許可の設定](#datadog-configure-user-permissions)」を参照してください。
## 前提条件
### アクセス許可を追加する
プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。
+ Amazon Q Developer コンソールへのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者に Amazon Q Developer コンソールの使用を許可する](id-based-policy-examples-admins.md#q-admin-setup-admin-users)」を参照してください。
+ プラグインを設定するアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者にプラグインの設定を許可する](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)」を参照してください。
### 認証情報の取得
開始する前に、Datadog アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。
+ **サイトパラメータ** – 使用する Datadog サイトパラメータ。例えば、`us3.datadoghq.com`。詳細については、「Datadog ドキュメント」の「[Datadog サイトの概要](https://docs.datadoghq.com/getting_started/site/)」を参照してください。
+ **API キーとアプリケーションキー** – Amazon Q が Datadog API を呼び出してイベントとメトリクスにアクセスできるようにするアクセスキー。これらは、Datadog アカウントの **[組織設定]** にあります。詳細については、「Datadog ドキュメント」の「[API キーとアプリケーションキー](https://docs.datadoghq.com/account_management/api-app-keys/)」を参照してください。
## シークレットとサービスロール
### AWS Secrets Manager シークレット
プラグインを設定すると、Amazon Q はDatadog認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。
シークレットを自分で作成する場合は、以下の認証情報が含まれていることを確認し、次の JSON 形式を使用してください。
```
{
"ApiKey": "",
"AppKey": ""
}
```
シークレットを作成する方法については、「*AWS Secrets Manager User Guide*」の「[Create a secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」を参照してください。
### サービスロール
Amazon Q Developer で Datadog プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Datadog 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。
AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。
シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。
**注記**
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
サービスロールの詳細については、「 *AWS Identity and Access Management ユーザーガイド*[」の「 AWS サービスにアクセス許可を委任するロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を作成する」を参照してください。
## Datadog プラグインを設定する
Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、Datadog とのやり取りを有効にします。
Datadog プラグインを設定するには、次の手順を実行します。
1. [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) で Amazon Q Developer コンソールを開きます。
1. Amazon Q Developer コンソールのホームページで、**[設定]** を選択します。
1. ナビゲーションバーで、**[プラグイン]** を選択します。
1. プラグインページで、**Datadog** パネルのプラス記号を選択します。プラグイン設定ページが開きます。
1. **[サイト URL]** で、使用する Datadog サイトの URL を入力します。
1. **Configure AWS Secrets Manager** で、**新しいシークレットを作成する**か**、既存のシークレットを使用する**を選択します。Datadog 認証情報は、Secrets Manager シークレットに保存されます。
新しい設定を作成する場合は、以下の情報を入力します。
1. **[Datadog API キー]** で、Datadog 組織の API キーを入力します。
1. **[Datadog アプリケーションキー]** で、Datadog アカウントのアプリケーションキーを入力します。
1. Amazon Q が Datadog 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のシークレットがある場合は、**[AWS Secrets Manager シークレット]** ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した Datadog 認証情報が含まれている必要があります。
必要な認証情報の詳細については、「[認証情報の取得](#acquire-datadog-credentials)」を参照してください。
1. **IAM サービスロールを設定する AWS **で、**新しいサービスロールを作成する** または**既存のサービスロールを使用する** を選択します。
**注記**
手順 6 で**[新しいシークレットを作成する]**を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。
新しいサービスロールを作成する場合、Amazon Q が Datadog 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、[サービスロール](#datadog-service-role) で定義されているアクセス許可と信頼ポリシーがあることを確認します。
1. **[設定の保存]** を選択します。
1. プラグインページの **[設定済みプラグイン]** セクションに Datadog プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。
プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。
## ユーザーアクセス許可の設定
プラグインを使用するには、以下のアクセス許可が必要です。
+ コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ `q:UsePlugin` アクセス許可
IAM ID に設定済みの Datadog プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な Datadog アカウント内のリソースへのアクセスを取得します。Datadog ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。
プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。
Datadog プラグイン ARN を見つけるには、Amazon Q Developer コンソールの**プラグイン**ページに移動し、設定済みの Datadog プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Datadog プラグインへのアクセスを許可または拒否できます。
Datadog プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに `Datadog` を指定します。
プラグインアクセスを制御する IAM ポリシーの例については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
## Datadog プラグインを使用してチャットする
Datadog プラグインを使用するには、 Datadog または AWS アプリケーションモニターとケースに関する質問の冒頭**@datadog**に と入力します。Amazon Q からのフォローアップの質問や質問への回答には、**@datadog** も含める必要があります。
以下は、Amazon Q Datadog プラグインを最大限に活用するためのユースケースの例と、関連する質問です。
+ **ワークロードでの Datadog 機能の使用について – 機能が特定の サービスとどのように連携するかについて質問します AWS **。 Datadog AWS Amazon Q は、最善の回答を提供するために、ユーザーが何をしようとしているかに関する詳細を求める場合があります。
+ **@datadog how do I use APM on EC2?**
+ **ケースとモニターの取得と要約** – 特定のケースやモニターについて質問するか、プロパティを指定して、モニターや作成日、ステータス、作成者などのケースに関する情報を取得します。プロパティの詳細については、「Datadog ドキュメント」の「[モニター ステータ スページ (レガシー)](https://docs.datadoghq.com/monitors/manage/status/#properties)」を参照してください。
+ **@datadog summarize the global outage case**
+ **@datadog summarize my top cases**
+ **アラーム状態のモニターを確認する** – Amazon Q Datadog プラグインに、アラーム状態の AWS アプリケーションモニターを見つけるよう依頼します。リストに記載されているモニターに関するフォローアップの質問をすることができます。
+ **@datadog what monitors are in alarm?**
+ **@datadog what is the status for monitor ?**
# Amazon Q Developer Wiz プラグインの設定
Wiz は、セキュリティ体制管理、リスク評価と優先順位付け、脆弱性管理を提供するクラウドセキュリティプラットフォームです。Wiz を使用して AWS アプリケーションを評価およびモニタリングする場合は、Amazon Q チャットの プラグインを使用して、 を離れWizることなく からインサイトにアクセスできます AWS マネジメントコンソール。
プラグインを使用して、Wiz の問題の特定と取得、最もリスクの高いアセットの評価、脆弱性や漏洩の把握を行うことができます。応答を受け取ったら、問題に対処する方法など、フォローアップの質問をすることができます。
プラグインを設定するには、Wiz アカウントから認証情報を指定して、Amazon Q と Wiz 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に **@wiz** を追加して Wiz メトリクスにアクセスできます。
**警告**
Wiz ユーザーアクセス許可は、Amazon Q のWizプラグインによって検出されません。管理者が AWS アカウントのWizプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なWizアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[ユーザーアクセス許可の設定](#wiz-configure-user-permissions)」を参照してください。
## 前提条件
### アクセス許可を追加する
プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。
+ Amazon Q Developer コンソールへのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者に Amazon Q Developer コンソールの使用を許可する](id-based-policy-examples-admins.md#q-admin-setup-admin-users)」を参照してください。
+ プラグインを設定するアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者にプラグインの設定を許可する](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)」を参照してください。
### 認証情報の取得
開始する前に、Wiz アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。
+ **API エンドポイント URL** – Wiz にアクセスする URL。例えば、`https://api.us1.app.Wiz.io/graphql`。詳細については、「Wiz ドキュメント」の「[API endpoint URL](https://win.wiz.io/reference/prerequisites#api-endpoint-url)」を参照してください。
+ **クライアント ID とクライアントシークレット** – Amazon Q が Wiz API を呼び出してアプリケーションにアクセスできるようにする認証情報。詳細については、「Wiz ドキュメント」の「[Client ID and Client secret](https://win.wiz.io/reference/prerequisites#client-id-and-client-secret)」を参照してください。
## シークレットとサービスロール
### AWS Secrets Manager シークレット
プラグインを設定すると、Amazon Q はWiz認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。
シークレットを自分で作成する場合は、以下の認証情報が含まれていることを確認し、次の JSON 形式を使用してください。
```
{
"ClientId": "",
"ClientSecret": ""
}
```
シークレットを作成する方法については、「*AWS Secrets Manager User Guide*」の「[Create a secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」を参照してください。
### サービスロール
Amazon Q Developer で Wiz プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Wiz 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。
AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールにこれらのアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。
シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。
**注記**
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
サービスロールの詳細については、「 *AWS Identity and Access Management ユーザーガイド*[」の「 AWS サービスにアクセス許可を委任するロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を作成する」を参照してください。
## Wiz プラグインを設定する
Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、Wiz とのやり取りを有効にします。
Wiz プラグインを設定するには、次の手順を実行します。
1. [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) で Amazon Q Developer コンソールを開きます。
1. Amazon Q Developer コンソールのホームページで、**[設定]** を選択します。
1. ナビゲーションバーで、**[プラグイン]** を選択します。
1. プラグインページで、**Wiz** パネルのプラス記号を選択します。プラグイン設定ページが開きます。
1. **[API エンドポイント URL]** で、Wiz にアクセスする API エンドポイントの URL を入力します。
1. **Configure AWS Secrets Manager** で、**新しいシークレットを作成する**か**、既存のシークレットを使用する**を選択します。Wiz 認証情報は、Secrets Manager シークレットに保存されます。
新しい設定を作成する場合は、以下の情報を入力します。
1. **[クライアント ID]** で、Wiz アカウントのクライアント ID を入力します。
1. **[クライアントシークレット]** で、Wiz アカウントのクライアントシークレットを入力します。
1. Amazon Q が Wiz 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のシークレットがある場合は、**[AWS Secrets Manager シークレット]** ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した Wiz 認証情報が含まれている必要があります。
必要な認証情報の詳細については、「[認証情報の取得](#acquire-wiz-credentials)」を参照してください。
1. **IAM サービスロールを設定する AWS **で、**新しいサービスロールを作成する** または**既存のサービスロールを使用する** を選択します。
**注記**
手順 6 で**[新しいシークレットを作成する]**を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。
新しいサービスロールを作成する場合、Amazon Q が Wiz 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、[サービスロール](#wiz-service-role) で定義されているアクセス許可と信頼ポリシーがあることを確認します。
1. **[設定の保存]** を選択します。
1. プラグインページの **[設定済みプラグイン]** セクションに Wiz プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。
プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。
## ユーザーアクセス許可の設定
プラグインを使用するには、以下のアクセス許可が必要です。
+ コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ `q:UsePlugin` アクセス許可
IAM ID に設定済みの Wiz プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な Wiz アカウント内のリソースへのアクセスを取得します。Wiz ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。
プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。
Wiz プラグイン ARN を見つけるには、Amazon Q Developer コンソールの**プラグイン**ページに移動し、設定済みの Wiz プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Wiz プラグインへのアクセスを許可または拒否できます。
Wiz プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに `Wiz` を指定します。
プラグインアクセスを制御する IAM ポリシーの例については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
## Wiz プラグインを使用してチャットする
Amazon Q の Wiz プラグインを使用するには、Wiz 問題に関する質問の冒頭に「**@Wiz**」と入力します。Amazon Q からのフォローアップの質問や質問への回答には、**@Wiz** も含める必要があります。
以下は、Amazon Q Wiz プラグインを最大限に活用するためのユースケースの例と、関連する質問です。
+ **重大度が重大な問題を表示する** – Amazon Q の Wiz プラグインに、重大度が重大または高い問題を一覧表示するよう依頼します。プラグインは最大 10 個の問題を返すことができます。また、最も重大な問題の上位 10 件までを一覧表示するように依頼することもできます。
+ **@wiz what are my critical severity issues?**
+ **@wiz can you specify the top 5?**
+ **日付またはステータスに基づいて問題を一覧表示する** – 作成日、期日、または解決日に基づいて問題を一覧表示するよう依頼します。ステータス、重要度、タイプなどのプロパティに基づいて問題を指定することもできます。
+ **@wiz which issues are due before ?**
+ **@wiz what are my issues that have been resolved since ?**
+ **セキュリティの脆弱性に関する問題を評価する** – 問題の中でセキュリティの脅威をもたらしている脆弱性や漏洩について質問します。
+ **@wiz which issues are associated with vulnerabilities or external exposures?**
# Amazon Q Developer Console-to-Code による AWS サービスの自動化
## Console-to-Code とは
Console-to-Code は、Amazon Q Developer の機能であり、他の AWS のサービスの使用を自動化するためのコードを記述するのに役立ちます。Console-to-Code はコンソールアクションを記録し、生成 AI を使用して同等の AWS CLI コマンドとコードを任意の言語と形式で提案します。
### サービスのティア
Console-to-Code は Amazon Q Developer の一部であるため、その使用には Amazon Q Developer のサービス階層が適用されます。
+ 無料利用枠では、コンソールアクションを記録し、こうしたアクションに基づいて CLI コマンドを生成できる回数に、月単位の決まった上限はありません。ただし、記録されたアクション AWS CloudFormation に基づいて、 AWS CDK または で使用するコードを 1 か月に何回生成できるかには制限があります。
無料利用枠にアクセスするには、 AWS マネジメントコンソールにサインインします。月単位のコード生成の上限に達したら、さらにコードを生成するには、Pro 階層への認証を行う必要があります。
+ Pro 階層では、 AWS CDK または CloudFormation のコードを生成できる回数に制限はありません。
Pro 階層にアクセスするには、IAM アイデンティティセンターに登録されているユーザーであり、IAM アイデンティティセンターの ID を Amazon Q Developer Pro にサブスクライブしている必要があります。詳細については、「」を参照[Amazon Q Developer Pro サブスクリプションへの認証](q-on-aws.md#qdevpro-authentication)するか、 AWS 管理者にお問い合わせください。
料金階層の詳細については、[Amazon Q Developer の料金ページ](https://aws.amazon.com/q/developer/pricing/)を参照してください。
**注記**
アクションを記録した場合でも、必要に応じてアクション自体の料金が請求されます。例えば、Amazon EC2 インスタンスのプロビジョニングを記録した場合でも、インスタンスに対して料金が請求されます。アクションの記録に追加料金は発生しません。
### サポートされるコードの形式
現在、Console-to-Code は次の言語と形式で Infrastructure as Code (IaC) を生成できます。
+ CDK Java
+ CDK Python
+ CDK TypeScript
+ CloudFormation JSON
+ CloudFormation YAML
## Console-to-Code は使用できる場所
### 複数のサービスをまたいで Console-to-Code を使用する
Console-to-Code は複数のサービスで機能します。また、ブラウザタブが開いている限り、独自の状態を保存します。
例えば、ウェブサーバーの完全なセットアップ中にアクションを記録するとします。
+ Amazon VPC コンソールで、2 つのサブネット (パブリック 1 つとプライベート 1 つ)、セキュリティグループ、NACL、カスタムルーティングテーブル、インターネットゲートウェイをプロビジョニングします。
+ Amazon EC2 コンソールで、Amazon EC2 インスタンスをプロビジョニングし、パブリックサブネットに配置します。
+ Amazon RDS コンソールで、Amazon RDS DB インスタンスをプロビジョニングし、プライベートサブネットに配置します。
コンソールのさまざまな部分でアクションを実行し、 AWS のさまざまなサービスを使用している場合でも、Console-to-Code ではこうしたアクションを 1 回の記録に含めることができます。
### AWS Console-to-Code をサポートする サービス
現在、 Console-to-Code は、以下のサービスで AWS マネジメントコンソールを使用する場合にアクションを記録できます。
+ Amazon DynamoDB
+ AWS IoT
+ Amazon Cognito
+ Amazon EC2
+ Amazon VPC
+ Amazon RDS
## Console-to-Code を使用するアクセス許可を付与する
Console-to-Code を使用するには、次のアクセス許可が必要です。
+ Console-to-Code を使用するための `q:GenerateCodeFromCommands`。必要なアクセス許可を付与する IAM ポリシーの例については、「[Amazon Q を使用して CLI コマンドからコードを生成することをユーザーに許可する](id-based-policy-examples-users.md#id-based-policy-examples-allow-console-to-code)」を参照してください。
+ 記録するアクションを実行するためのアクセス許可。
## Console-to-Code を使用する
Console-to-Code の使用には 3 つのステップがあります。
### ステップ 1: 記録を開始する
Console-to-Code で記録を開始する手順は次のとおりです。
1. 統合サービス (Amazon VPC、Amazon RDS、または Amazon EC2) のいずれかのコンソールに移動します。
1. ブラウザウィンドウの右端で、Console-to-Code アイコンを選択します。 ![\[The console-to-code icon.\]](http://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/images/c2c-icon.png)
1. Console-to-Code サイドパネルで、**[記録を開始]** を選択します。
### ステップ 2: アクションを実行する
統合サービスのコンソールで、記録するアクションを実行します。
Console-to-Code サイドパネルは、独自の状態を保持します。統合サービスのコンソール間を移動して、複数のサービスのアクションを含む 1 つの記録を作成できます。
Console-to-Code サイドパネルには、Console-to-Code セッションが終了するまでアクションが保持されます。セッションは、ブラウザタブを閉じたとき、または AWS マネジメントコンソール セッションが終了したときのいずれか早い方で終了します。
コードに変換するアクションの実行が完了したら、Console-to-Code パネルの上部から **[停止]** を選択します。
### ステップ 3: CLI コマンドを収集し、コードを生成する
ステップ 3a またはステップ 3b のいずれかを実行できます。
#### ステップ 3a: CLI コマンドを収集する
Console-to-Code を使用してアクションに基づいて CLI コマンドを生成する手順は次のとおりです。
1. Console-to-Code パネルで、記録したアクションを確認します。
Console-to-Code パネルの上部にあるドロップダウン、検索ボックス、またはフィルターウィジェットを使用して、記録されたアクションをフィルタリングできます。
1. 次のいずれかを行います。
+ 個々の CLI コマンドをコピーするには、コマンドの左側にあるコピーボタンを選択します。
+ で個々の CLI コマンドを実行するには AWS CloudShell、コマンドの左側![\[The console-to-code icon.\]](http://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/images/cloudshell-icon.png)にある CloudShell アイコンを選択します。これにより CloudShell が開き、すぐに実行できる CLI コマンドが入力されます。
+ 一連の CLI コマンドを表示または実行するには、コマンドを選択し、選択したすべてのコマンドをコピーするには **CLI をコピー**するか、CloudShell ****を開いてすべてのコマンドを入力します。
の詳細については AWS CLI、 ユーザーガイド[の「 とは AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)」を参照してください。 *AWS Command Line Interface *
#### ステップ 3b: コードを生成する
1. Console-to-Code パネルで、記録したアクションを確認します。Console-to-Code パネルの上部にあるドロップダウン、検索ボックス、またはフィルターウィジェットを使用して、記録されたアクションをフィルタリングできます。
1. コードに変換するアクションを選択します。次のステップでは、チェックボックスの付いたアクションのみが使用されます。
1. 生成するコードのタイプを指定します。Console-to-Code パネルの右下にある逆のドロップダウンメニューから、生成するコードの言語と (該当する場合) 形式を選択します。
1. **[選択した言語を生成]** を選択します。
生成されたコードが、同等の CLI コマンドと共にに表示されます。
# Amazon Q Developer でコンソールでの一般的なエラーを診断する
では AWS マネジメントコンソール、Amazon Q Developer は、アクセス許可の不足、誤った設定、サービス制限の超過など、AWS のサービスの使用中に発生する一般的なエラーを診断します。Amazon Q は、AWS コンソールで次のサービスを使用しているときに発生するエラーについてトラブルシューティングを行います。
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Amazon Elastic Container Service (Amazon ECS)
+ Amazon Simple Storage Service (Amazon S3)
+ AWS Lambda
+ AWS Step Functions
さらに、Amazon Q はすべての AWS コンソールページで IAM アクセス許可エラーをトラブルシューティングし、一部のサービスではサービス固有のエラーの数を制限します AWS 。Amazon Q では、以前のエラー診断セッションの履歴は保持されません。
Amazon Q でエラーを診断できない場合は、Amazon Q を使用して サポートでサポートケースを作成できます。詳細については、「[Amazon Q Developer を使用して サポートとチャットする](support-chat.md)」を参照してください。Amazon Q エラー診断機能に固有の問題がある場合は、低評価アイコンを使用して問題を報告できます。
## アクセス許可を追加する
コンソールエラーの診断に必要なアクセス許可を付与する IAM ポリシーについては、「[ユーザーが Amazon Q でコンソールエラーをトラブルシューティングすることを許可する](id-based-policy-examples-users.md#id-based-policy-examples-allow-error-diagnosing)」を参照してください。
## コンソールでの一般的なエラーの診断
Amazon Q を使用して のエラーを診断するには AWS マネジメントコンソール、次の手順を使用します。
1. Amazon Q で解決を支援できるエラーが発生した場合、エラーメッセージに **[Amazon Q で診断]** ボタンが表示されます。Amazon Q を使用してエラーを診断する場合は、**[Amazon Q で診断]** を選択して続行します。
1. ウィンドウが表示され、エラーに関する最初の情報が提供されます。次に、エラーを解決するために実行できる一連の手順が提供されます。Amazon Q が指示を生成するために数秒かかる場合があります。
1. 高評価アイコンまたは低評価アイコンを使用してフィードバックを送信できます。詳細なフィードバックを送信するには、アイコンをクリックした後に表示される **[もっと詳しく]** ボタンをクリックします。
# Amazon Q Developer を使用して サポートとチャットする
Amazon Q Developer を使用して、AWS Support Center Consoleなど AWS マネジメントコンソールの任意の場所からサポートケースを作成して サポートに問い合わせを行うことができます。Amazon Q は、ユーザーの会話のコンテキストを使用し、ユーザーに代わってサポートケースの下書きを自動的に作成します。最近の会話もサポートケースの説明に追加されます。ケースを作成すると、Amazon Q は、同じインターフェイスのライブチャットなど、お客様が選択した方法でお客様をサポートエージェントに転送できます。
Amazon Q でサポートケースを作成すると、ケースはサポートセンターコンソールでも更新されます。Amazon Q で作成されたケースの更新情報を追跡するには、サポートセンターコンソールを使用します。
利用できる サポートのタイプは、AWS アカウントのサポートレベルに応じて異なります。すべての AWS ユーザーは、ベーシックサポートプランの一環として、アカウントと請求のサポートにアクセスできます。テクニカルサポートに関する質問については、ベーシックサポート以外のユーザーのみが Amazon Q で サポートに問い合わせることができます。AWS サポートの詳細については、「*AWS サポートユーザーガイド*」の「[Getting started with AWS サポート](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)」を参照してください。
**ヒント**
サポートチケットを作成する前に、Amazon Q に問題を解決するよう依頼してみてください。詳細については、「[Amazon Q にリソースのトラブルシューティングを依頼する](chat-actions-troubleshooting.md)」を参照してください。利用可能な場合は、**[Amazon Q で診断]** ボタンを試すこともできます。詳細については、「[コンソールエラーの診断](diagnose-console-errors.md)」を参照してください。
## 前提条件
Amazon Q でケースを作成するには、次の要件を満たしている必要があります。
+ ベーシックサポートプランより上位のサポートプランを持っていること。ベーシックサポートプラン以外のサポートプランを持つユーザーのみが Amazon Q を使用して サポートに問い合わせることができます。
+ Amazon Q とのチャットに必要なアクセス許可があること。詳細については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ サポートケースを作成する許可があること。詳細については、「[Manage access to サポート Center](https://docs.aws.amazon.com/awssupport/latest/user/accessing-support.html)」を参照してください。
## 適切なサービスを指定する
Amazon Q でサポートケースを作成すると、質問に基づいてサービスフィールドが入力されます。Amazon Q が間違ったサービスを選択した場合は、正しいサービスでケースを更新します。複数のサービスに関係する質問の場合は、最も関連性の高いサービスを選択します。
別の AWS のサービスの一部である Amazon Q 機能について サポートに問い合わせるには、Amazon Q ではなく、他の AWS のサービスのサポートケースを作成します。例えば、Amazon VPC Reachability Analyzer で Amazon Q のネットワークトラブルシューティングを使用している場合は、サポートケースでサービスに Amazon VPC を選択します。
Amazon Q Developer または Amazon Q Business の機能について サポートに問い合わせるには、Amazon Q のサポートケースを作成します。
## サポートケースの作成
Amazon Q で サポートケースを作成するには、次のステップを使用します。
1. 次の 2 つの方法からいずれかを選択して Amazon Q で サポートケースを作成できます。
1. 「誰かと話したい」や「サポートを受ける」などの質問を入力して、直接サポートを求めることができます。
Amazon Q がサポートケースを作成するためのコンテキストを詳しく提示するには、直接サポートをリクエストするときに情報を追加できます。以下は、リクエストで詳細情報を提供する例です。
「踏み台のインスタンスに接続できません。再起動して新しいキーペアの生成を試みましたが、まだ何も解決されません。これは今朝、計画的なデプロイの後に発生しました。ネットワークに関連するその他の変更は行われていないことを確認しました。誰かと話せますか?」
1. Amazon Q の応答が役に立たなかった場合は、応答に対して低評価アイコンをクリックし、低評価のフィードバックを提供する理由を選択します。サポートに問い合わせるには、[サポートケースの作成] を選択します。
次の図は、Amazon Q チャットパネルの **[サポートケースの作成]** ボタンを示しています。これは、フィードバックを送った後に表示されます。
![\[Amazon Q チャットパネルの [サポートケースの作成] ボタン。\]](http://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/images/support-feedback.png)
1. チャットパネルにサポートケースが表示されます。サポートをリクエストする前に Amazon Q と会話していた場合、会話のコンテキストを使用してケースのフィールドへの自動入力が行われます。サポートケースのフィールドを更新するには、**[編集]** を選択します。問題内容を裏付けるファイルを添付することもできます。
サポートをリクエストする前に Amazon Q とチャットしていない場合や、Amazon Q がサポートケースのフィールドに入力できない場合は、サポートケースの情報をケースに手動で入力できます。
次の図は、Amazon Q チャットパネルの記入されているサポートケースの例です。
![\[Amazon Q チャットパネルの記入済みのサポートケース。\]](http://docs.aws.amazon.com/ja_jp/amazonq/latest/qdeveloper-ug/images/support-edit.png)
1. サポートケースに適切に入力されていることを確認したら、**[送信]** を選択してサポートケースを作成します。サポートケースを作成する必要がなくなった場合は、**[キャンセル]** を選択します。
1. サポートに問い合わせるには、使用する手段を選択します。ケースの詳細に応じてライブサポートエージェントからチャット、メール、電話をリクエストすることができます。
1. **チャット** – エージェントとのチャットを選択した場合、サポートエージェントが会話に参加します。いつでも **[このチャットを終了]** を選択し、サポートエージェントとのチャットを終了できます。
ページを更新したり、別のコンソールに移動したり、またはセッションの有効期限切れによりコンソールからサインアウトしたりすると、会話は終了します。
チャットパネルを最小化したり、ページを離れたりすると、通知を見逃してしまい、操作がないために接続が切断される場合があります。サポートチャット中は、チャットパネルを開いたままにしておくことをお勧めします。
1. **E メール** – E メールメッセージをエージェントに送信する場合、サポートエージェントはお客様の AWS アカウントに関連付けられている E メールアドレス宛にご連絡します。
1. **電話** – エージェントに電話することを選択した場合は、プロンプトが表示されたら電話番号を入力して **[送信]** を選択すると、呼び出しキューに追加されます。
1. フィードバックを残すか、**[スキップ]** を選択して Amazon Q のチャットパネルに戻ることができます。
## フィードバックを残す
サポートチャットが終了したら、オプションとしてフィードバックを残すことができます。
体験を評価して追加フィードバックを入力したら、**[フィードバックを送信]** を選択します。