Configurar o plug-in do Wiz do Amazon Q Developer - Amazon Q Developer
Pré-requisitosSegredos e perfis de serviçoComo configurar o plug-in do WizConfigurar permissões de usuáriosConversar com o plug-in Wiz

Configurar o plug-in do Wiz do Amazon Q Developer

O Wiz é uma plataforma de segurança em nuvem que fornece gerenciamento de postura de segurança, avaliação e priorização de riscos e gerenciamento de vulnerabilidades. Se você usa o Wiz para avaliar e monitorar suas aplicações da AWS, você pode usar o plug-in no chat do Amazon Q para acessar insights do Wiz sem sair do AWS Management Console.

Você pode usar o plug-in para identificar e recuperar problemas do Wiz, avaliar seus ativos mais arriscados e entender vulnerabilidades ou exposições. Depois de receber uma resposta, você pode fazer perguntas de acompanhamento, incluindo como corrigir um problema.

Para configurar o plug-in, você fornece credenciais de autenticação da sua conta do Wiz para permitir uma conexão entre o Amazon Q e o Wiz. Depois de configurar o plug-in, você pode acessar as métricas do Wiz adicionando @wiz ao início da sua pergunta no chat do Amazon Q.

Atenção

As permissões de usuário do Wiz não são detectadas pelo plug-in do Wiz no Amazon Q. Quando um administrador configura o plug-in do Wiz em uma conta da AWS, os usuários com permissões de plug-in nessa conta têm acesso a todos os recursos da conta do Wiz recuperáveis pelo plug-in.

Você pode configurar políticas do IAM para restringir os plug-ins aos quais os usuários têm acesso. Para obter mais informações, consulte Configurar permissões de usuários.

Pré-requisitos

Adicionar permissões

Para configurar plug-ins, as seguintes permissões de administrador são necessárias:

Obter credenciais

Antes de começar, anote as informações a seguir da sua conta do Wiz. Essas credenciais de autenticação serão armazenadas em um segredo do AWS Secrets Manager quando você configurar o plug-in.

  • URL do endpoint da API: o URL em que você acessa Wiz. Por exemplo, .https://api.us1.app.Wiz.io/graphql Para obter mais informações, consulte API endpoint URL na documentação do Wiz.

  • ID do cliente e segredo do cliente: credenciais que permitem que o Amazon Q chame APIs do Wiz para acessar sua aplicação. Para obter mais informações, consulte Client ID and Client secret na documentação do Wiz.

Segredos e perfis de serviço

Segredo do AWS Secrets Manager

Quando você configura o plug-in, o Amazon Q cria um segredo do AWS Secrets Manager para você armazenar as credenciais de autenticação do Wiz. Como alternativa, você pode usar um segredo existente criado por você.

Se você criar um segredo, certifique-se de que ele inclua as seguintes credenciais e use o seguinte formato JSON: 

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Para obter mais informações sobre criação de segredos, consulte Create a secret no Guia do usuário do AWS Secrets Manager.

Perfis de serviço

Para configurar o plug-in do Wiz no Amazon Q Developer, você precisa criar um perfil de serviço que dê permissão ao Amazon Q para acessar seu segredo do Secrets Manager. O Amazon Q assume esse perfil para acessar o segredo no qual suas credenciais do Wiz estão armazenadas.

Ao configurar o plug-in no console da AWS, você tem a opção de criar um segredo ou usar um segredo já existente. Se você criar um segredo, o perfil de serviço associada será criada para você. Se você usar um segredo existente e um perfil de serviço existentes, seu perfil de serviço deve ter estas permissões e esta política de confiança anexada. O perfil de serviço necessário depende do método de criptografia de segredos.

Se o seu segredo estiver criptografado com uma chave do KMS da AWS gerenciada, o seguinte perfil de serviço do IAM será necessário:

JSON
Mostrar maisMostrar menos

Se seu segredo estiver criptografado com uma AWS KMS chave gerenciada pelo cliente, o seguinte perfil de serviço do IAM será necessário:

JSON
Mostrar maisMostrar menos

Para permitir que o Amazon Q assumo o perfil de serviço, o perfil de serviço precisa da seguinte política de confiança:

nota

O prefixo codewhisperer é um nome antigo de um serviço que foi fundido com o Amazon Q Developer. Para obter mais informações, consulte Renomeação Amazon Q Developer: Resumo das alterações.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}
Mostrar maisMostrar menos

Para obter mais informações sobre perfis de serviço, consulte Criar um perfil para delegar permissões a um serviço da AWS, no Guia do usuário do AWS Identity and Access Management.

Como configurar o plug-in do Wiz

Você configura plug-ins no console do Amazon Q Developer. O Amazon Q usa credenciais armazenadas no AWS Secrets Manager para permitir interações com o Wiz.

Para configurar o plug-in do Wiz, conclua o seguinte procedimento:

  1. Abra o console do Amazon Q Developer em https://console.aws.amazon.com/amazonq/developer/home

  2. Na página inicial do console do Amazon Q Developer, escolha Configurações.

  3. Na barra de navegação, escolha Plug-ins.

  4. Na página de plug-ins, escolha o sinal de adição no painel do Wiz. A página de configuração do plug-in é aberta.

  5. Em URL do endpoint da API, insira o URL do endpoint da API no qual você acessa Wiz.

  6. Para Configurar AWS Secrets Manager, escolha Criar um segredo ou Usar um segredo existente. É no segredo do Secrets Manager que suas credenciais de autenticação do Wiz serão armazenadas.

    Se você optar por criar um segredo, insira as seguintes informações:

    1. Em ID do cliente, insira o ID do cliente da sua conta do Wiz.

    2. Para Segredo do cliente, digite o segredo do cliente da sua conta do Wiz.

    3. Será criado um perfil de serviço que o Amazon Q usará para acessar o segredo no qual suas credenciais do Wiz estão armazenadas. Não edite o perfil de serviço criado para você.

    Se você já tiver um segredo, selecione-o no menu suspenso Segredo do AWS Secrets Manager. O segredo deve incluir as credenciais de autenticação do Wiz especificadas na etapa anterior.

    Para obter mais informações sobre as credenciais necessárias, consulte Obter credenciais .

  7. Para Configurar perfil de serviço do IAM da AWS, escolha Criar novo perfil de serviço ou Usar um perfil de serviço existente.

    nota

    Se você escolher Criar novo segredo para a etapa 6, não poderá usar um perfil de serviço existente. O novo perfil será criado para você no IAM.

    Se você criar um perfil de serviço, será criado um perfil de serviço que o Amazon Q usará para acessar o segredo em que suas credenciais do Wiz estão armazenadas. Não edite o perfil de serviço criado para você.

    Se você usar um perfil de serviço existente, escolha um perfil no menu suspenso exibido. Verifique se o perfil de serviço tem as permissões e a política de confiança definidas em Perfis de serviço.

  8. Escolha Save configuration.

  9. Depois que o painel do plug-in do Wiz aparecer na seção Plug-ins configurados na página Plug-ins, os usuários terão acesso ao plug-in.

Se você quiser atualizar as credenciais de um plug-in, deverá excluir o atual e configurar um novo. A exclusão de um plug-in remove todas as especificações anteriores. Sempre que você configura um novo plug-in, um novo ARN do plug-in é gerado.

Configurar permissões de usuários

Para usar plug-ins, as seguintes permissões são necessárias:

Quando você concede a uma identidade do IAM acesso a um plug-in do Wiz configurado, a identidade ganha acesso a todos os recursos na conta do Wiz recuperáveis pelo plug-in. As permissões do usuário do Wiz não são detectadas pelo plug-in. Se quiser controlar o acesso a um plug-in, você pode fazer isso especificando o ARN do plug-in em uma política do IAM.

Sempre que você cria ou exclui e reconfigura um plug-in, ele recebe um novo ARN. Se você usar um ARN de plug-in em uma política, ele precisará ser atualizado se você quiser conceder acesso ao plug-in recém-configurado.

Para localizar o ARN do plug-in do Wiz, acesse a página Plug-ins no console do Amazon Q Developer e escolha o plug-in do Wiz configurado. Na página de detalhes do plug-in, copie o ARN do plug-in. Você pode adicionar esse ARN a uma política para permitir ou negar acesso ao plug-in do Wiz.

Se você criar uma política para controlar o acesso aos plug-ins do Wiz, especifique Wiz para o provedor do plug-in na política.

Para ver exemplos de políticas do IAM que controlam o acesso a plug-ins, consulte Permitir que os usuários tenham conversas com plug-ins de um provedor.

Conversar com o plug-in Wiz

Para usar o plug-in do Wiz do Amazon Q, insira @Wiz no início de uma pergunta sobre seus problemas do Wiz. Perguntas de acompanhamento ou respostas a perguntas do Amazon Q também devem incluir @Wiz.

Veja alguns exemplos de casos de uso e perguntas associadas que você pode fazer para aproveitar ao máximo o plug-in Wiz do Amazon Q:

  • Ver problemas com severidade crítica: peça ao plug-in do Wiz do Amazon Q para listar seus problemas com severidade crítica ou alta. O plug-in pode retornar até 10 problemas. Você também pode pedir para listar até os 10 problemas mais graves.

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • Liste problemas com base na data ou no status: peça para listar problemas com base na data de criação, data de vencimento ou data de resolução. Você também pode especificar problemas com base em propriedades como status, severidade e tipo.

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • Avalie problemas com vulnerabilidades de segurança: pergunte sobre as vulnerabilidades ou exposições que representam ameaças à segurança em seus problemas.

    • @wiz which issues are associated with vulnerabilities or external exposures?