As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciar o acesso ao Amazon Q Developer com políticas do IAM
nota
As informações nesta página dizem respeito ao acesso ao Amazon Q Developer. Para obter informações sobre como gerenciar o acesso ao Amazon Q Business, consulte Identity-based policy examples for Amazon Q Business no Amazon Q Business User Guide.
As políticas e exemplos neste tópico são específicos do Amazon Q no AWS site AWS Management Console AWS Console Mobile Application, AWS Documentation, e nos aplicativos de bate-papo. Outros serviços integrados ao Amazon Q podem exigir políticas ou configurações diferentes. Usuários finais do Amazon Q de terceiros IDEs não precisam usar políticas do IAM. Para obter mais informações, consulte a documentação do serviço que contém um atributo ou uma integração do Amazon Q.
Por padrão, usuários e funções não têm permissão para usar o Amazon Q. Os administradores do IAM podem gerenciar o acesso ao Amazon Q Developer e seus atributos ao conceder permissões às identidades do IAM.
A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de uma política AWS gerenciada. A política AmazonQFullAccess pode ser anexada às identidades do IAM para conceder acesso total ao Amazon Q Developer e seus atributos. Para obter mais informações sobre essa política, consulte AWS políticas gerenciadas para o Amazon Q Developer.
Para gerenciar ações específicas que as identidades do IAM podem executar com o Amazon Q Developer, os administradores podem criar políticas personalizadas do IAM que definem quais permissões um usuário, um grupo ou um perfil tem. Você também pode usar políticas de controle de serviços (SCPs) para controlar quais recursos do Amazon Q estão disponíveis em sua organização.
Para obter uma lista de todas as permissões do Amazon Q que você pode controlar com políticas, consulte o Referência de permissões do Amazon Q Developer.
Tópicos
Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Q Developer na sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
-
Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: condição no Guia do usuário do IAM.
-
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.
-
Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do Usuário do IAM.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Atribuir permissões
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
Gerencie o acesso com políticas de controle de serviços (SCPs)
As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. Você pode controlar quais atributos do Amazon Q Developer estão disponíveis na sua organização ao criar uma SCP que especifique permissões para algumas ou todas as ações do Amazon Q.
Para obter mais informações sobre como usar SCPs para controlar o acesso em sua organização, consulte Criando, atualizando e excluindo políticas de controle de serviço e Anexando e desanexando políticas de controle de serviço no Guia do AWS Organizations usuário.
Exemplo de SCP: negar acesso ao Amazon Q fora das regiões da UE
O SCP a seguir nega acesso a qualquer uso do Amazon Q Developer fora da região da Europa (Frankfurt) (eu-central-1).
nota
O prefixo codewhisperer é um nome antigo de um serviço que foi fundido com o Amazon Q Developer. Para obter mais informações, consulte Renomeação Amazon Q Developer: Resumo das alterações.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQDeveloperOutsideEU", "Effect": "Deny", "Action": [ "codewhisperer:GenerateRecommendations", "q:SendMessage", "q:GenerateCodeFromCommands", "sqlworkbench:GetQSqlRecommendations" ], "Resource": "*", "Condition": { "StringNotEquals": {"aws:RequestedRegion": [ "eu-central-1"] } } } ] }
Exemplo de SCP: negar acesso ao Amazon Q
O SCP a seguir nega acesso ao Amazon Q Developer.
nota
Negar acesso ao Amazon Q não desativará o ícone do Amazon Q ou o painel de bate-papo no AWS console, no AWS site, nas páginas de AWS documentação ou AWS Console Mobile Application.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQFullAccess", "Effect": "Deny", "Action": [ "q:*" ], "Resource": "*" } ] }
