翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Q Developer のコスト管理機能のセキュリティ
Amazon Q Developer のコスト管理機能のアクセス許可とデータ保護の概要を以下に示します。
アクセス許可の概要
Amazon Q Developer でコスト管理機能を使用するには、3 セットの Identity and Access Management (IAM) アクセス許可が必要です。
-
Amazon Q アクセス許可: コンソールで Amazon Q とチャットするアクセス許可 (
q:StartConversationや q:SendMessage など) -
サービスアクセス許可: コストデータを提供する基盤となる Billing and Cost Management サービスにアクセスするためのアクセス許可
-
PassRequest アクセス許可: Amazon Q がユーザーに代わって AWS APIsを呼び出すことを許可するアクセス
q:PassRequest許可
管理者がユーザーに Amazon Q Developer へのアクセス権を付与する最も簡単な方法は、AmazonQFullAccess マネージドポリシーを使用する方法です。
コスト管理機能のアクセス許可
次の IAM ポリシーステートメントは、Amazon Q Developer のすべてのコスト管理機能へのアクセス権をユーザーに付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
このポリシーの範囲を絞り込んで、特定のコスト管理機能のみへのアクセスを許可できます。たとえば、ユーザーにリソースレベルのコストデータへのアクセスを許可しない場合は、 ce:GetCostAndUsageWithResourcesアクションを削除するか、明示的な拒否ステートメントを追加できます。
q:PassRequest アクセス許可
q:PassRequest は、Amazon Q Developer がユーザーに代わって AWS APIs を呼び出すことを許可する Amazon Q Developer アクセス許可です。IAM ID に q:PassRequest アクセス許可を追加すると、Amazon Q Developer は IAM ID が呼び出すアクセス許可を持つ API を呼び出すアクセス許可を取得します。例えば、IAM ロールに ce:GetCostAndUsage アクセス許可と q:PassRequest アクセス許可がある場合、IAM ロールを引き受けるユーザーが Cost Explorer からコストと使用状況データを取得するように Amazon Q Developer に依頼すると、Amazon Q Developer は GetCostAndUsage API を呼び出すことができます。
また、IAM プリンシパルに Cost Explorer へのアクセスと Amazon Q Developer の使用を許可できますが、aws:CalledVia グローバル条件キーを使用して、Amazon Q Developer のコスト分析またはコスト最適化の機能の使用を制限することもできます。次の IAM ポリシーは、この条件キーを使用する例を示しています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
マルチアカウントアクセス
AWS Organizations のユーザーの場合、管理アカウント管理者は、 AWS 請求情報とコスト管理コンソールのコスト管理設定を使用して、Cost Explorer および Cost Optimization Hub データへのメンバーアカウントユーザーのアクセス (割引、クレジット、返金へのアクセスを含む) を制限できます。これらの設定は、マネジメントコンソール、SDK、および CLI に適用されるのと同じ方法で Amazon Q Developer に適用されます。Amazon Q Developer は、お客様の現在の設定を尊重します。
クロスリージョン呼び出し
Cost Optimization Hub および Cost Explorer サービスのデータは、米国東部 (バージニア北部) リージョンでホストされています。からのデータは、EC2 インスタンスなどの基盤となるリソースがある AWS リージョンで AWS Compute Optimizer ホストされます。 AWS Price List APIsから提供されるデータは、us-east-1、eu-central-1、ap-south-1 でホストされます ( AWS Price List APIsは顧客固有のデータを提供しないことに注意してください)。Amazon Q Developer のコスト管理リクエストでは、クロスリージョン呼び出しが必要になる場合があります。詳細については、Amazon Q Developer User GuideのCross-region processing in Amazon Q Developer を参照してください。
データ保護
Amazon Q Developer 無料利用枠の特定のコンテンツをサービスの改善に使用する場合があります。Amazon Q Developer は、よくある質問への回答の改善、Amazon Q Developer の運用上の問題の修正、デバッグ、モデルトレーニングなどのために、このコンテンツを使用する場合があります。がサービスの改善に使用する AWS 可能性のあるコンテンツには、Amazon Q Developer への質問や、Amazon Q Developer が生成するレスポンスとコードが含まれます。Amazon Q Developer Pro または Amazon Q Business のコンテンツは、サービスの改善には使用されません。
サービス改善のためにコンテンツを使用して Amazon Q Developer 無料利用枠をオプトアウトする方法は、Amazon Q を使用する環境によって異なります。 AWS マネジメントコンソール、 AWS コンソールモバイルアプリケーション、 AWS ウェブサイト、および AWS Chatbot については、 AWS Organizations で AI サービスのオプトアウトポリシーを設定します。詳細については、「AWS Organizations ユーザーガイド」の「AI サービスのオプトアウトポリシー」を参照してください。
