Gerenciar o acesso ao Amazon Q Developer para integração com terceiros

Para integrações de terceiros, você deve usar o AWS Key Management Service (KMS) para gerenciar o acesso ao Amazon Q Developer em vez de políticas do IAM que não são baseadas em identidade ou recursos.

Permitir que administradores usem chaves gerenciadas pelo cliente para atualizar as políticas de perfil

O exemplo de política de chave a seguir concede permissão para usar chaves gerenciadas pelo cliente (CMK) ao criar a política de chave em um perfil configurado no console do KMS. Ao configurar a CMK, você deve fornecer o ARN do perfil do IAM, um identificador usado pela integração para chamar o Amazon Q. Se você já integrou uma integração, como uma instância do GitLab, deve reintegrar a instância para que todos os recursos sejam criptografados com a CMK.

A chave de condição kms:ViaService limita o uso de uma chave do KMS para solicitações provenientes de serviços especificados da AWS. Além disso, ela é usada para negar permissão para usar uma chave do KMS quando a solicitação é proveniente de serviços específicos. Com a chave de condição, você pode limitar quem pode usar a CMK para criptografar ou descriptografar conteúdo. Para obter mais informações, consulte kms:ViaService no Guia do desenvolvedor do AWS Key Management Service.

Com o contexto de criptografia do KMS, você tem um conjunto opcional de pares de valor-chave. Eles podem ser incluídos em operações criptográficas com chaves de criptografia simétrica do KMS para aprimorar a autorização e a auditabilidade. O contexto de criptografia pode ser usado para verificar a integridade e a autenticidade dos dados criptografados, controlar o acesso às chaves de criptografia simétrica do KMS nas políticas de chave e políticas do IAM e identificar e categorizar operações criptográficas nos logs do AWS CloudTrail. Para obter mais informações, consulte Encryption context no Guia do desenvolvedor do AWS Key Management Service.