Amazon Q Developer Wiz プラグインの設定 - Amazon Q Developer
前提条件シークレットとサービスロールWiz プラグインを設定するユーザーアクセス許可の設定Wiz プラグインを使用してチャットする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer Wiz プラグインの設定

Wiz は、セキュリティ体制管理、リスク評価と優先順位付け、脆弱性管理を提供するクラウドセキュリティプラットフォームです。Wiz を使用して AWS アプリケーションを評価およびモニタリングする場合は、Amazon Q チャットの プラグインを使用して、 を離れWizることなく からインサイトにアクセスできます AWS マネジメントコンソール。

プラグインを使用して、Wiz の問題の特定と取得、最もリスクの高いアセットの評価、脆弱性や漏洩の把握を行うことができます。応答を受け取ったら、問題に対処する方法など、フォローアップの質問をすることができます。

プラグインを設定するには、Wiz アカウントから認証情報を指定して、Amazon Q と Wiz 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に @wiz を追加して Wiz メトリクスにアクセスできます。

警告

Wiz ユーザーアクセス許可は、Amazon Q のWizプラグインによって検出されません。管理者が AWS アカウントのWizプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なWizアカウントの任意のリソースにアクセスできます。

IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「ユーザーアクセス許可の設定」を参照してください。

前提条件

アクセス許可を追加する

プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。

認証情報の取得

開始する前に、Wiz アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。

  • API エンドポイント URL – Wiz にアクセスする URL。例えば、https://api.us1.app.Wiz.io/graphql。詳細については、「Wiz ドキュメント」の「API endpoint URL」を参照してください。

  • クライアント ID とクライアントシークレット – Amazon Q が Wiz API を呼び出してアプリケーションにアクセスできるようにする認証情報。詳細については、「Wiz ドキュメント」の「Client ID and Client secret」を参照してください。

シークレットとサービスロール

AWS Secrets Manager シークレット

プラグインを設定すると、Amazon Q はWiz認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。

シークレットを自分で作成する場合は、以下の認証情報が含まれていることを確認し、次の JSON 形式を使用してください。

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

シークレットを作成する方法については、「AWS Secrets Manager User Guide」の「Create a secret」を参照してください。

サービスロール

Amazon Q Developer で Wiz プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Wiz 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。

AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールにこれらのアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。

シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
表示を増やす表示を減らす

シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名称変更 - 変更の概要」を参照してください。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
表示を増やす表示を減らす

サービスロールの詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 AWS サービスにアクセス許可を委任するロールを作成する」を参照してください。

Wiz プラグインを設定する

Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、Wiz とのやり取りを有効にします。

Wiz プラグインを設定するには、次の手順を実行します。

  1. https://console.aws.amazon.com/amazonq/developer/home で Amazon Q Developer コンソールを開きます。

  2. Amazon Q Developer コンソールのホームページで、[設定] を選択します。

  3. ナビゲーションバーで、[プラグイン] を選択します。

  4. プラグインページで、Wiz パネルのプラス記号を選択します。プラグイン設定ページが開きます。

  5. [API エンドポイント URL] で、Wiz にアクセスする API エンドポイントの URL を入力します。

  6. Configure AWS Secrets Manager で、新しいシークレットを作成する、既存のシークレットを使用するを選択します。Wiz 認証情報は、Secrets Manager シークレットに保存されます。

    新しい設定を作成する場合は、以下の情報を入力します。

    1. [クライアント ID] で、Wiz アカウントのクライアント ID を入力します。

    2. [クライアントシークレット] で、Wiz アカウントのクライアントシークレットを入力します。

    3. Amazon Q が Wiz 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。

    既存のシークレットがある場合は、[AWS Secrets Manager シークレット] ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した Wiz 認証情報が含まれている必要があります。

    必要な認証情報の詳細については、「認証情報の取得 」を参照してください。

  7. IAM サービスロールを設定する AWS で、新しいサービスロールを作成する または既存のサービスロールを使用する を選択します。

    注記

    手順 6 で[新しいシークレットを作成する]を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。

    新しいサービスロールを作成する場合、Amazon Q が Wiz 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。

    既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、サービスロール で定義されているアクセス許可と信頼ポリシーがあることを確認します。

  8. [設定の保存] を選択します。

  9. プラグインページの [設定済みプラグイン] セクションに Wiz プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。

プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。

ユーザーアクセス許可の設定

プラグインを使用するには、以下のアクセス許可が必要です。

  • コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「ユーザーに Amazon Q とのチャットを許可する」を参照してください。

  • q:UsePlugin アクセス許可

IAM ID に設定済みの Wiz プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な Wiz アカウント内のリソースへのアクセスを取得します。Wiz ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。

プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。

Wiz プラグイン ARN を見つけるには、Amazon Q Developer コンソールのプラグインページに移動し、設定済みの Wiz プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Wiz プラグインへのアクセスを許可または拒否できます。

Wiz プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに Wiz を指定します。

プラグインアクセスを制御する IAM ポリシーの例については、「あるプロバイダーのプラグインとユーザーがチャットできるようにする」を参照してください。

Wiz プラグインを使用してチャットする

Amazon Q の Wiz プラグインを使用するには、Wiz 問題に関する質問の冒頭に「@Wiz」と入力します。Amazon Q からのフォローアップの質問や質問への回答には、@Wiz も含める必要があります。

以下は、Amazon Q Wiz プラグインを最大限に活用するためのユースケースの例と、関連する質問です。

  • 重大度が重大な問題を表示する – Amazon Q の Wiz プラグインに、重大度が重大または高い問題を一覧表示するよう依頼します。プラグインは最大 10 個の問題を返すことができます。また、最も重大な問題の上位 10 件までを一覧表示するように依頼することもできます。

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • 日付またはステータスに基づいて問題を一覧表示する – 作成日、期日、または解決日に基づいて問題を一覧表示するよう依頼します。ステータス、重要度、タイプなどのプロパティに基づいて問題を指定することもできます。

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • セキュリティの脆弱性に関する問題を評価する – 問題の中でセキュリティの脅威をもたらしている脆弱性や漏洩について質問します。

    • @wiz which issues are associated with vulnerabilities or external exposures?