Amazon Q Developer のコスト管理機能のセキュリティ - AWS コスト管理
コスト分析のアクセス許可コスト最適化のアクセス許可q:PassRequest アクセス許可クロスリージョン呼び出しデータ保護

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer のコスト管理機能のセキュリティ

Amazon Q Developer のコスト管理機能のアクセス許可とデータ保護の概要を以下に示します。

コスト分析のアクセス許可

Amazon Q Developer が提供するすべてのコストデータは、Cost Explorer から取得されます。Amazon Q Developer のコスト分析機能にアクセスする IAM ユーザーには、Amazon Q Developer を使用するアクセス許可と、Cost Explorer からコストと使用状況データを取得するアクセス許可が必要です。管理者がユーザーに Amazon Q Developer へのアクセスを許可する最も簡単な方法は、 AmazonQFullAccessマネージドポリシーを使用することです。ユーザーは ce:GetCostAndUsage アクセス許可にもアクセスする必要があります。

次の IAM ポリシーステートメントは、Amazon Q Developer のコスト分析機能へのアクセス権をユーザーに付与します。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostAnalysisInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"ce:GetCostAndUsage",
				"ce:GetCostForecast",
				"ce:GetDimensionValues",
				"ce:GetTags",
				"ce:GetCostCategories"
			],
			"Resource": "*"
		}
	]
}

コスト最適化のアクセス許可

次の IAM ポリシーステートメントは、Amazon Q Developer のコスト最適化機能へのアクセス権をユーザーに付与します。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostOptimizationInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"cost-optimization-hub:GetRecommendation",
				"cost-optimization-hub:ListRecommendations",
				"cost-optimization-hub:ListRecommendationSummaries",
				"compute-optimizer:GetAutoScalingGroupRecommendations",
				"compute-optimizer:GetEBSVolumeRecommendations",
				"compute-optimizer:GetEC2InstanceRecommendations",
				"compute-optimizer:GetECSServiceRecommendations",
				"compute-optimizer:GetLambdaFunctionRecommendations",
				"compute-optimizer:GetRDSDatabaseRecommendations",
				"compute-optimizer:GetIdleRecommendations",
				"compute-optimizer:GetEffectiveRecommendationPreferences",
				"ce:GetReservationPurchaseRecommendation",
				"ce:GetSavingsPlansPurchaseRecommendation"
			],
			"Resource": "*"
		}
	]
}

q:PassRequest アクセス許可

q:PassRequest は、Amazon Q Developer がユーザーに代わって AWS APIs を呼び出すことを許可する Amazon Q Developer アクセス許可です。IAM ID にアクセスq:PassRequest許可を追加すると、Amazon Q Developer は IAM ID が呼び出すアクセス許可を持つ API を呼び出すアクセス許可を取得します。たとえば、IAM ロールに アクセスce:GetCostAndUsage許可と アクセスq:PassRequest許可がある場合、IAM ロールを引き受けるユーザーが Cost Explorer からコストと使用状況データを取得するように Amazon Q Developer に依頼すると、Amazon Q Developer は GetCostAndUsage API を呼び出すことができます。

また、IAM プリンシパルに Cost Explorer へのアクセスと Amazon Q Developer の使用を許可し、aws:CalledViaグローバル条件キーを使用して Amazon Q Developer のコスト分析またはコスト最適化機能の使用を制限することもできます。次の IAM ポリシーは、この条件キーを使用する例を示しています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "ce:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ce:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS Organizations のユーザーの場合、管理アカウント管理者は、請求情報とコスト管理コンソールの AWS コスト管理設定を使用して、メンバーアカウントユーザーの Cost Explorer および Cost Optimization Hub データへのアクセス (割引、クレジット、返金へのアクセスを含む) を制限できます。これらの設定は、管理コンソール、SDK、および CLI に適用されるのと同じ方法で Amazon Q Developer に適用されます。Amazon Q Developer は、顧客の既存の好みを尊重します。

クロスリージョン呼び出し

Cost Optimization Hub および Cost Explorer サービスのデータは、米国東部 (バージニア北部) リージョンでホストされています。からのデータは、EC2 インスタンスなどの基盤となるリソースがある AWS リージョンで AWS Compute Optimizer ホストされます。コスト分析とコスト最適化リクエストには、クロスリージョン呼び出しが必要になる場合があります。詳細については、「Amazon Q Developer ユーザーガイド」の「Amazon Q Developer でのクロスリージョン処理」を参照してください。

データ保護

サービスの改善のために、Amazon Q Developer 無料利用枠の特定のコンテンツを使用する場合があります。Amazon Q Developer は、一般的な質問へのより良い回答の提供、Amazon Q Developer の運用上の問題の修正、デバッグ、モデルトレーニングなどのために、このコンテンツを使用する場合があります。がサービスの改善に使用する AWS 可能性のあるコンテンツには、Amazon Q Developer への質問や、Amazon Q Developer が生成するレスポンスとコードが含まれます。Amazon Q Developer Pro または Amazon Q Business のコンテンツは、サービスの改善には使用されません。

サービス改善のためのコンテンツを使用して Amazon Q Developer 無料利用枠をオプトアウトする方法は、Amazon Q を使用する環境によって異なります。 AWS マネジメントコンソール、 AWS コンソールモバイルアプリケーション、 AWS ウェブサイト、および AWS Chatbot については、 AWS Organizations で AI サービスのオプトアウトポリシーを設定します。詳細については、「AWS Organizations ユーザーガイド」の「AI サービスオプトアウトポリシー」を参照してください。IDE で Amazon Q Developer 無料利用枠を使用している場合は、IDE の設定を調整します。詳細については、「Amazon Q Developer ユーザーガイド」の「IDE のデータ共有のオプトアウト」を参照してください。