本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 适用于 Amazon Q 开发者的托管政策
<a name="managed-policy"></a>

 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

管理员向用户授予访问权限的最快方法是通过 AWS 托管策略。以下适用于 Amazon Q 开发者的 AWS 托管策略可以附加到 IAM 身份：
+ `AmazonQFullAccess` 提供完全访问权限以支持与 Amazon Q 开发者版的交互，包含管理员访问权限。
+ `AmazonQDeveloperAccess` 提供完全访问权限以支持与 Amazon Q 开发者版的交互，不含管理员访问权限。

**注意**  
在 IDE 或命令行中访问 Amazon Q 的用户不需要 IAM 权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AmazonQFullAccess
<a name="amazonq-policy-fullaccess"></a>

`AmazonQFullAccess` 托管式策略提供管理员访问权限，允许您组织中的用户访问 Amazon Q 开发者版。它还提供完全访问权限，允许与 Amazon Q 开发者版进行互动，包括使用 IAM Identity Center 登录，从而通过订阅 Amazon Q 开发者版专业套餐来访问 Amazon Q。

**注意**  
要启用在 Amazon Q 订阅管理控制台和 Amazon Q 开发者版专业套餐控制台中完成管理任务的完全访问权限，需要额外的权限。有关更多信息，请参阅 [管理员权限](id-based-policy-examples-admins.md)。

要查看此策略的权限，请参阅 *AWS 托管策略参考[AmazonQFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQFullAccess.html)*中的。

## AmazonQDeveloperAccess
<a name="amazonq-policy-developeraccess"></a>

`AmazonQDeveloperAccess` 托管式策略提供完全访问权限以支持与 Amazon Q 开发者版的交互，不含管理员访问权限。它允许使用 IAM Identity Center 登录，从而通过订阅 Amazon Q 开发者版专业套餐来访问 Amazon Q。

要使用 Amazon Q 的某些功能，您可能需要额外权限。有关权限的信息，请参阅您要使用的功能的主题。

要查看此策略的权限，请参阅 *AWS 托管策略参考[AmazonQDeveloperAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonQDeveloperAccess.html)*中的。

## AWSServiceRoleForAmazonQDeveloper
<a name="amazonq-policy-AWSServiceRoleForAmazonQDeveloper"></a>

此 AWS 托管策略授予使用 Amazon Q Developer 通常所需的权限。该策略将添加到您加入 Amazon Q 时创建的 AWSServiceRoleForAmazonQDeveloper 服务关联角色中。

您无法附加 AWSServiceRoleForAmazonQDeveloper 到您的 IAM 实体。将此策略附加到允许 Amazon Q 代表您执行操作的[服务相关角色](using-service-linked-roles.md)。有关更多信息，请参阅 [为 Amazon Q 开发者版和用户订阅使用服务相关角色](using-service-linked-roles.md)。



此政策授予允许发布账单/使用情况指标的{{administrator}}权限。

**权限详细信息**

该策略包含以下权限。




+ `cloudwatch`— 允许委托人向发布账单/使用情况 CloudWatch 的使用量指标。这是必需的，这样您才能跟踪自己对 Amazon Q 的使用情况 CloudWatch。



要查看此策略的权限，请参阅 *AWS 托管策略参考[AWSServiceRoleForAmazonQDeveloper](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForAmazonQDeveloper.html)*中的。

## AWSServiceRoleForUserSubscriptions
<a name="amazonq-policy-AWSServiceRoleForUserSubscriptions"></a>

此 AWS 托管策略授予使用 Amazon Q Developer 通常所需的权限。该策略将添加到您在创建 Amazon Q 订阅时创建的 AWSServiceRoleForUserSubscriptions 服务相关角色中。

您无法附加 AWSServiceRoleForUserSubscriptions 到您的 IAM 实体。将此策略附加到允许 Amazon Q 代表您执行操作的[服务相关角色](using-service-linked-roles.md)。有关更多信息，请参阅[为 Amazon Q 开发者版和用户订阅使用服务相关角色](using-service-linked-roles.md)。



此策略提供 Amazon Q 订阅对您的 Identity Center 资源的访问权限，以自动更新您的订阅。

**权限详细信息**

该策略包含以下权限。




+ `identitystore`：允许主体跟踪 Identity Center 目录的更改，以便可以自动更新订阅。
+ `organizations`：允许主体跟踪 AWS Organizations 的更改，以便可以自动更新订阅。
+ `sso`：允许主体跟踪 Identity Center 实例的更改，以便可以自动更新订阅。
+ `kms`— 允许委托人访问 KMS 密钥以通过身份中心进行授权。



要查看此策略的权限，请参阅 *AWS 托管策略参考[AWSServiceRoleForUserSubscriptions](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForUserSubscriptions.html)*中的。

## GitLabDuoWithAmazonQPermissionsPolicy
<a name="amazonq-policy-GitLabDuoWithAmazonQPermissionsPolicy"></a>

此策略授予与 Amazon Q 连接并利用 GitLab Duo with Amazon Q 集成中的各项功能的权限。该策略已添加到从 Amazon Q 开发者控制台创建的用于访问 Amazon Q 的 IAM 角色中。您需要手动将 IAM 角色 GitLab 作为亚马逊资源名称 (ARN) 提供给。该策略支持以下各项：
+ **GitLab Duo 使用权限**：支持基本操作，例如发送事件和消息、创建和更新身份验证授权、生成代码建议、列出插件以及验证 OAuth 应用程序连接。
+ **GitLab Duo 管理权限**：支持创建和删除 OAuth 应用程序连接，同时控制集成设置。
+ **GitLab Duo 插件权限**：授予创建、删除和检索与 GitLab Duo 和 Amazon Q 集成相关的插件的特定权限。

要查看此策略的权限，请参阅 *AWS 托管策略参考[GitLabDuoWithAmazonQPermissionsPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GitLabDuoWithAmazonQPermissionsPolicy.html)*中的。

## 策略更新
<a name="update-table"></a>

查看自该服务开始跟踪这些更改以来对 Amazon Q Developer 的 AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提醒，请订阅 [Document history for Amazon Q Developer User Guide](doc-history.md) 页面上的 RSS 源。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [AmazonQDeveloperAccess](#amazonq-policy-developeraccess)：更新策略 | 已添加其他权限，以允许访问 KMS 密钥以通过 Identity Center 进行授权。 | 2025 年 10 月 29 日 | 
|  [AmazonQFullAccess](#amazonq-policy-fullaccess)：更新策略 | 已添加其他权限，以允许访问 KMS 密钥以通过 Identity Center 进行授权。 | 2025 年 10 月 29 日 | 
|  [AWSServiceRoleForUserSubscriptions](#amazonq-policy-AWSServiceRoleForUserSubscriptions)：更新策略 | 已添加其他权限，以允许访问 KMS 密钥以通过 Identity Center 进行授权。 | 2025 年 10 月 29 日 | 
|  [AmazonQDeveloperAccess](#amazonq-policy-developeraccess)：更新策略 | 已添加其它权限，以便在 Amazon Q 聊天中管理对话历史记录。 | 2025 年 5 月 14 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加其它权限，以便在 Amazon Q 聊天中管理对话历史记录。 | 2025 年 5 月 14 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加其它权限，以便更新第三方集成插件的功能启用控件。 | 2025 年 5 月 2 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加其它权限，以便支持访问和启用第三方插件与 Amazon Q 开发者版的交互功能。 | 2025 年 4 月 30 日 | 
|  [GitLabDuoWithAmazonQPermissionsPolicy](#amazonq-policy-GitLabDuoWithAmazonQPermissionsPolicy)：更新策略 | 已添加其它权限，以便支持通过 Amazon Q 开发者版更新第三方 OAuth 应用程序。 | 2025 年 4 月 30 日 | 
|  [GitLabDuoWithAmazonQPermissionsPolicy](#amazonq-policy-GitLabDuoWithAmazonQPermissionsPolicy)：新策略 |  GitLab 允许与 Amazon Q 开发者联系以GitLab Duo使用 Amazon Q 集成功能。 | 2025 年 4 月 17 日 | 
|  [AWSServiceRoleForUserSubscriptions](#amazonq-policy-AWSServiceRoleForUserSubscriptions)：更新策略 | 支持 Amazon Q 发现最终用户的电子邮件验证状态。 | 2025 年 2 月 17 日 | 
|  [AmazonQDeveloperAccess](#amazonq-policy-developeraccess)：更新策略 | 已添加其它权限，以便可以使用 Amazon Q 开发者版插件。 | 2024 年 11 月 13 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加其它权限，以便配置和使用 Amazon Q 开发者版插件以及为 Amazon Q 开发者版资源创建和管理标签。 | 2024 年 11 月 13 日 | 
|  [AmazonQDeveloperAccess](#amazonq-policy-developeraccess)：更新策略 | 已添加额外权限，允许使用 Amazon Q 并基于 CLI 命令生成代码。 | 2024 年 10 月 28 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加额外权限，允许使用 Amazon Q 并基于 CLI 命令生成代码。 | 2024 年 10 月 28 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加其他权限，允许 Amazon Q 访问下游资源。 | 2024 年 7 月 9 日 | 
|  [AmazonQDeveloperAccess](#amazonq-policy-developeraccess)：新策略 | 提供完全访问权限以支持与 Amazon Q 开发者版的交互，不含管理员访问权限。 | 2024 年 7 月 9 日 | 
|  [AmazonQFullAccess ](#amazonq-policy-fullaccess)：更新策略 | 已添加额外权限，可以为 Amazon Q 开发者版启用订阅检查。 | 2024 年 4 月 30 日 | 
|  [AWSServiceRoleForUserSubscriptions ](#amazonq-policy-AWSServiceRoleForUserSubscriptions)：新策略 | 允许 Amazon Q 订阅 AWS Organizations 根据您的更改自动更新订阅。 AWS IAM Identity Center AWS IAM Identity Center 目录  | 2024 年 4 月 30 日 | 
|  [AWSServiceRoleForAmazonQDeveloper ](#amazonq-policy-AWSServiceRoleForAmazonQDeveloper)：新策略 | 允许 Amaz CodeGuru on Q 代表您致电亚马逊 CloudWatch 和亚马逊。 | 2024 年 4 月 30 日 | 
|  [AmazonQFullAccess](#amazonq-policy-fullaccess)：新策略 | 提供完全访问权限以启用与 Amazon Q 开发者版的交互。 | 2023 年 11 月 28 日 | 
| Amazon Q 开发者版已开始跟踪更改 | Amazon Q 开发者开始跟踪 AWS 托管政策的变更。 | 2023 年 11 月 28 日 |