As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança para recursos de gerenciamento de custos no Amazon Q Developer
O perfil a seguir fornece uma visão geral das permissões e da proteção de dados para os recursos de gerenciamento de custos do Amazon Q Developer.
Visão geral das permissões
Para usar os recursos de gerenciamento de custos no Amazon Q Developer, você precisa de três conjuntos de permissões de Identity and Access Management (IAM):
-
Permissões do Amazon Q: permissões para conversar com o Amazon Q no console (como
q:StartConversatione q:SendMessage) -
Permissões de serviço: permissões para acessar os serviços subjacentes de Billing and Cost Management que fornecem dados de custo
-
PassRequest permissão: a
q:PassRequestpermissão que permite que a Amazon Q ligue AWS APIs em seu nome
A maneira mais rápida de um administrador conceder acesso ao Amazon Q Developer é por meio de uma política gerenciada AmazonQFullAccess.
Permissões para recursos de gerenciamento de custos
A seguinte declaração de política do IAM concede aos usuários acesso a todos os recursos de gerenciamento de custos no Amazon Q Developer:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
Você pode definir o escopo dessa política para conceder acesso somente a recursos específicos de gerenciamento de custos. Por exemplo, se você não quiser que os usuários acessem dados de custo em nível de recurso, você pode remover a ce:GetCostAndUsageWithResources ação ou adicionar uma declaração de negação explícita.
q: PassRequest permissão
q:PassRequesté uma permissão do Amazon Q Developer que permite que o Amazon Q Developer ligue AWS APIs em seu nome. Quando você adiciona a permissão q:PassRequest a uma identidade do IAM, o Amazon Q Developer ganha permissão para chamar qualquer API que a identidade do IAM tenha permissão para chamar. Por exemplo, se uma função do IAM tiver a ce:GetCostAndUsage permissão e a q:PassRequest permissão, o Amazon Q Developer poderá chamar a GetCostAndUsage API quando um usuário assumindo essa função do IAM solicitar ao Amazon Q Developer que recupere dados de custo e uso do Cost Explorer.
Você também pode permitir que as entidades principais do IAM acessem o explorador de custos e usem o Amazon Q Developer, mas restringir o uso dos recursos de análise e otimização de custos do Amazon Q Developer, usando a chave de condição global aws:CalledVia. A política do IAM a seguir fornece um exemplo do uso dessa chave de condição:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
Acesso a várias contas
Para usuários do AWS Organizations, os administradores da conta de gerenciamento podem restringir o acesso dos usuários da conta membro aos dados do Cost Explorer e do Cost Optimization Hub (incluindo acesso a descontos, créditos e reembolsos) usando as preferências de Gerenciamento de Custos no console AWS Billing and Cost Management. Essas preferências se aplicam ao Amazon Q Developer da mesma forma que se aplicam ao console de gerenciamento, ao SDK e à CLI. O Amazon Q Developer respeita as preferências existentes dos clientes.
Chamadas entre regiões
Os dados dos serviços do Hub de Otimização de Custos e do Explorador de Custos são hospedados na região Leste dos EUA (Norte da Virgínia). Os dados de AWS Compute Optimizer são hospedados na AWS região em que os recursos subjacentes, como instâncias do EC2, estão localizados. Os dados fornecidos pela Lista de AWS Preços APIs são hospedados em us-east-1, eu-central-1 e ap-south-1 (observe que a Lista de Preços não fornece dados específicos do cliente). AWS APIs As solicitações de gerenciamento de custos no Amazon Q Developer podem exigir chamadas entre regiões. Para obter mais informações, consulte Processamento entre regiões no Amazon Q Developer no Guia do usuário do Amazon Q Developer.
Proteção de dados
Podemos usar determinados conteúdos do nível gratuito do Amazon Q Developer para melhorar o serviço. O Amazon Q Developer pode usar esse conteúdo, por exemplo, para fornecer respostas melhores a perguntas comuns, corrigir problemas operacionais do Amazon Q Developer, para depuração ou para treinamento de modelos. O conteúdo que AWS pode ser usado para melhorar o serviço inclui, por exemplo, suas perguntas para o Amazon Q Developer e as respostas e o código que o Amazon Q Developer gera. Não usamos conteúdo do Amazon Q Developer Pro ou do Amazon Q Business para melhorar o serviço.
A forma como você opta por não usar o Amazon Q Developer Free Tier usando conteúdo para melhoria de serviços depende do ambiente em que você usa o Amazon Q. Para o AWS Management Console, o AWS Console Mobile Application, os AWS sites e o AWS Chatbot, configure uma política de exclusão de serviços de IA em Organizations. AWS Para obter mais informações, consulte Políticas de exclusão dos serviços de IA no Guia do usuário do AWS Organizations.
