기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Q Developer의 비용 관리 기능에 대한 보안
다음은 Amazon Q Developer의 비용 관리 기능에 대한 권한 및 데이터 보호에 대한 개요를 제공합니다.
권한 개요
Amazon Q Developer에서 비용 관리 기능을 사용하려면 세 가지 Identity and Access Management(IAM) 권한 세트가 필요합니다.
-
Amazon Q 권한: 콘솔에서 Amazon Q와 채팅할 수 있는 권한(예:
q:StartConversation및 q:SendMessage) -
서비스 권한: 비용 데이터를 제공하는 기본 Billing and Cost Management 서비스에 액세스할 수 있는 권한
-
PassRequest 권한: Amazon Q가 사용자를 대신하여 AWS APIs 호출할 수 있도록 허용하는
q:PassRequest권한
관리자가 사용자에게 Amazon Q Developer 액세스 권한을 부여하는 가장 빠른 방법은 AmazonQFullAccess관리형 정책을 사용하는 것입니다.
비용 관리 기능에 대한 권한
다음 IAM 정책 설명은 사용자에게 Amazon Q Developer의 모든 비용 관리 기능에 대한 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
이 정책의 범위를 좁혀 특정 비용 관리 기능에 대한 액세스 권한만 부여할 수 있습니다. 예를 들어 사용자가 리소스 수준 비용 데이터에 액세스하지 못하도록 하려면 ce:GetCostAndUsageWithResources 작업을 제거하거나 명시적 거부 문을 추가할 수 있습니다.
q:PassRequest 권한
q:PassRequest는 Amazon Q Developer가 사용자를 대신하여 AWS APIs를 호출할 수 있는 Amazon Q Developer 권한입니다. IAM ID에 q:PassRequest권한을 추가하면 Amazon Q Developer는 IAM ID가 호출할 수 있는 권한이 있는 API를 호출할 수 있는 권한을 얻습니다. 예를 들어 IAM 역할에 ce:GetCostAndUsage권한과 q:PassRequest권한이 있는 경우 IAM 역할을 수임하는 사용자가 Amazon Q Developer에 비용 탐색기에서 비용 및 사용 데이터를 검색하도록 요청할 때 Amazon Q Developer는 GetCostAndUsage API를 호출할 수 있습니다.
또한 IAM 보안 주체가 비용 탐색기에 액세스하고 Amazon Q Developer를 사용하도록 허용할 수 있지만 aws:CalledVia글로벌 조건 키를 사용하여 Amazon Q Developer에서 비용 분석 또는 비용 최적화 기능을 사용하지 못하도록 제한할 수 있습니다. 다음 IAM 정책은이 조건 키를 사용하는 예를 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
다중 계정 액세스
AWS Organizations 사용자의 경우 관리 계정 관리자는 AWS Billing and Cost Management 콘솔의 Cost Management 기본 설정을 사용하여 Cost Explorer 및 Cost Optimization Hub 데이터에 대한 멤버 계정 사용자의 액세스(할인, 크레딧 및 환불에 대한 액세스 포함)를 제한할 수 있습니다. 이러한 기본 설정은 관리 콘솔, SDK, CLI에 적용되는 것과 동일한 방식으로 Amazon Q Developer에 적용됩니다. Amazon Q Developer는 고객의 기존 기본 설정에 따릅니다.
교차 리전 호출
Cost Optimization Hub 및 비용 탐색기 서비스의 데이터는 미국 동부(버지니아 북부) 리전에서 호스팅됩니다. 의 데이터는 EC2 인스턴스와 같은 기본 리소스가 있는 AWS 리전에서 AWS Compute Optimizer 호스팅됩니다. AWS Price List APIs에서 제공되는 데이터는 us-east-1, eu-central-1 및 ap-south-1에서 호스팅됩니다( AWS Price List APIs 고객별 데이터를 제공하지 않음). Amazon Q Developer의 비용 관리 요청에는 리전 간 호출이 필요할 수 있습니다. 자세한 내용은 Amazon Q Developer 사용 설명서의 Cross-region processing in Amazon Q Developer를 참조하십시오.
데이터 보호
서비스 개선을 위해 Amazon Q Developer 프리 티어의 특정 콘텐츠를 사용할 수 있습니다. Amazon Q Developer는 예를 들어 이 콘텐츠를 사용하여 일반적인 질문에 더 나은 응답을 제공하고, Amazon Q Developer 운영 문제를 수정하고, 디버깅 또는 모델 훈련을 수행할 수 있습니다. 서비스 개선에를 사용할 AWS 수 있는 콘텐츠에는 Amazon Q Developer에 대한 질문과 Amazon Q Developer가 생성하는 응답 및 코드가 포함됩니다. 서비스 개선을 위해 Amazon Q Developer Pro 또는 Amazon Q Business의 콘텐츠를 사용하지 않습니다.
서비스 개선을 위해 콘텐츠를 사용하여 Amazon Q Developer 프리 티어를 옵트아웃하는 방법은 Amazon Q를 사용하는 환경에 따라 다릅니다. AWS 관리 콘솔, AWS 콘솔 모바일 애플리케이션, AWS 웹 사이트 및 AWS 챗봇의 경우 AWS Organizations에서 AI 서비스 옵트아웃 정책을 구성합니다. 자세한 내용은 AWS 조직 사용 설명서의 AI 서비스 옵트아웃 정책을 참조하세요.
