

# IAM 許可の設定
<a name="q-setting-up-permissions"></a>

このトピックでは、Amazon Q チャット体験向けに構成した IAM 許可および AWS Glue Studio ノートブック体験について説明します。

**Topics**
+ [Amazon Q チャットの IAM 許可の構成](#q-setting-up-permissions-amazon-q-chat)
+ [AWS Glue Studio ノートブックの IAM 許可の構成](#q-setting-up-permissions-notebooks)

## Amazon Q チャットの IAM 許可の構成
<a name="q-setting-up-permissions-amazon-q-chat"></a>

AWS Glue の Amazon Q データ統合が使用する API に許可を付与するには、適切な AWS Identity and Access Management (IAM) 許可が必要です。次のカスタム AWS ポリシーを IAM アイデンティティ (ユーザー、ロール、グループなど) にアタッチすることにより、許可を取得できます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:StartCompletion",
        "glue:GetCompletion"
      ],
      "Resource": [
        "arn:aws:glue:*:*:completion/*"
      ]
    }
  ]
}
```

------

## AWS Glue Studio ノートブックの IAM 許可の構成
<a name="q-setting-up-permissions-notebooks"></a>

AWS Glue Studio ノートブックで Amazon Q データ統合を有効にするには、次の許可がノートブック IAM ロールにアタッチされていることを確認します。

**注記**  
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、[Amazon Q Developer の名前変更 - 変更の概要](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/service-rename.html) を参照してください。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:StartCompletion",
        "glue:GetCompletion"
      ],
      "Resource": [
        "arn:aws:glue:*:*:completion/*"
      ]
    },
    {
      "Sid": "AmazonQDeveloperPermissions",
      "Effect": "Allow",
      "Action": [
        "codewhisperer:GenerateRecommendations"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**注記**  
AWS Glue の Amazon Q データ統合には、プログラムで使用できる AWS SDK 経由で利用できる API がありません。Amazon Q チャットパネルまたは AWS Glue Studio ノートブックを介してこの体験を実現するため、IAM ポリシーで `StartCompletion` および `GetCompletion` の 2 つの API が使用されます。

### アクセス許可の割り当て
<a name="q-assigning-permissions"></a>

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ AWS IAM Identity Center のユーザーおよびグループ: 許可セットを作成します。*AWS IAM Identity Center のユーザーガイド* の [許可セットの作成](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) の手順に従ってください。
+ アイデンティティプロバイダーを介して IAM で管理されているユーザー: ID フェデレーションのロールを作成します。詳細については、*IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については、*IAM ユーザーガイド* の「[IAM ユーザー用ロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については *IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス権限の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) を参照してください。