Gerenciar o acesso ao Amazon Q Developer para integração com terceiros - Amazon Q Developer
Permitir que administradores usem chaves gerenciadas pelo cliente para atualizar as políticas de perfil

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar o acesso ao Amazon Q Developer para integração com terceiros

Para integrações de terceiros, você deve usar o AWS Key Management Service (KMS) para gerenciar o acesso ao Amazon Q Developer em vez de políticas do IAM que não são baseadas em identidade nem em recursos.

Permitir que administradores usem chaves gerenciadas pelo cliente para atualizar as políticas de perfil

O exemplo de política de chave a seguir concede permissão para usar chaves gerenciadas pelo cliente (CMK) ao criar a política de chave em um perfil configurado no console do KMS. Ao configurar a CMK, você deve fornecer a função ARN do IAM, um identificador usado pela sua integração para chamar a Amazon Q. Se você já integrou uma integração, como uma GitLab instância, deve reintegrar a instância para que todos os recursos sejam criptografados com a CMK.

A chave de condição kms:ViaService limita o uso de uma chave do KMS para solicitações provenientes de serviços especificados da AWS. Além disso, ela é usada para negar permissão para usar uma chave do KMS quando a solicitação é proveniente de serviços específicos. Com a chave de condição, você pode limitar quem pode usar a CMK para criptografar ou descriptografar conteúdo. Para obter mais informações, consulte kms: ViaService no Guia do desenvolvedor do AWS Key Management Service.

Com o contexto de criptografia do KMS, você tem um conjunto opcional de pares de valor-chave. Eles podem ser incluídos em operações criptográficas com chaves de criptografia simétrica do KMS para aprimorar a autorização e a auditabilidade. O contexto de criptografia pode ser usado para verificar a integridade e a autenticidade dos dados criptografados, controlar o acesso às chaves KMS de criptografia simétrica nas principais políticas e políticas do IAM e identificar e categorizar operações criptográficas nos registros da AWS. CloudTrail Para obter mais informações, consulte Encryption context no Guia do desenvolvedor do AWS Key Management Service.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Sid0",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/rolename"
            },
            "Action": [
                "kms:GenerateDataKeyWithoutPlaintext",
                "kms:Decrypt",
                "kms:ReEncryptFrom",
                "kms:ReEncryptTo",
                "kms:GenerateDataKey",
                "kms:Encrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "q.us-east-1.amazonaws.com",
                    "kms:EncryptionContext:aws-crypto-ec:aws:qdeveloper:accountId": "111122223333"
                }
            }
        },
        {
            "Sid": "Sid1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/rolename"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
}