サードパーティー統合のための Amazon Q Developer へのアクセスを管理する - Amazon Q Developer
管理者がカスタマーマネージドキーを使用してロールポリシーを更新できるようにする

サードパーティー統合のための Amazon Q Developer へのアクセスを管理する

サードパーティーの統合では、ID ベースでもリソースベースでもない IAM ポリシーではなく、AWS Key Management Service (KMS) を使用して Amazon Q Developer へのアクセスを管理する必要があります。

管理者がカスタマーマネージドキーを使用してロールポリシーを更新できるようにする

次のキーポリシーの例では、KMS コンソールで設定されたロールにキーポリシーを作成する際に、カスタマーマネージドキー (CMK) を使用するアクセス許可を付与します。CMK を設定する際は、Amazon Q を呼び出すために統合で使用される識別子である IAM ロール ARN を指定する必要があります。GitLab インスタンスなどの統合を既にオンボードしている場合は、CMK で暗号化されるすべてのリソースについてインスタンスを再オンボードする必要があります。

kms:ViaService 条件キーは、KMS キーの使用を、指定された AWS サービスからのリクエストに制限します。また条件キーを使用して、特定のサービスからリクエストが送信された場合に KMS キーの使用許可を拒否することもできます。条件キーを使用すると、コンテンツの暗号化または復号に CMK を使用できるユーザーを制限できます。詳細については、「AWS Key Management Service Developer Guide」の「kms:ViaService」を参照してください。

KMS 暗号化コンテキストでは、対称暗号化 KMS キーを使用して暗号化オペレーションに含めることができるオプションのキーと値のペアのセットがあり、承認と監査性を強化できます。暗号化コンテキストを使用して、暗号化されたデータの整合性と信頼性を検証し、キーポリシーと IAM ポリシーで対称暗号化 KMS キーへのアクセスを制御して、AWS CloudTrail ログで暗号化オペレーションを特定および分類できます。詳細については、「AWS Key Management Service Developer Guide」の「Encryption context」を参照してください。