配置 Amazon Q 开发者版 Wiz 插件 - Amazon Q 开发者版
先决条件密钥与服务角色配置 Wiz 插件配置用户权限与 Wiz 插件进行交互

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 Amazon Q 开发者版 Wiz 插件

Wiz 是一款云安全平台,可提供安全态势管理、风险评估与优先级排序以及漏洞管理功能。如果您使用Wiz评估和监控 AWS 应用程序,则可以使用 Amazon Q 聊天中的插件从中获取见解,Wiz而无需离开 AWS 管理控制台。

借助该插件,您可以识别并获取 Wiz 中的问题、评估风险最高的资产,以及了解漏洞或暴露情况。收到响应后,您可进一步提问,例如如何修复某个问题。

要配置插件,您需提供 Wiz 账户中的身份验证凭证,以建立 Amazon Q 与 Wiz 之间的连接。配置插件后,通过在 Amazon Q 聊天中将 @wiz 添加到问题的开头,即可访问 Wiz 指标。

警告

WizAmazon Q 中的Wiz插件无法检测到用户权限。当管理员在账户中配置Wiz插件时,在该 AWS 账户中拥有插件权限的用户可以访问该账户中可由该Wiz插件检索的任何资源。

您可以配置 IAM 策略来限制用户可访问的插件。有关更多信息,请参阅 配置用户权限

先决条件

添加权限

要配置插件,需具备以下管理员级别的权限:

获取凭证

开始配置前,请记录您 Wiz 账户中的以下信息。配置插件时,这些身份验证凭据将存储在 AWS Secrets Manager 密钥中。

  • API 端点 URL:您访问 Wiz 的网址。例如 https://api.us1.app.Wiz.io/graphql。有关更多信息,请参阅 Wiz 文档中的 API 端点 URL

  • 客户端 ID 和客户密钥 — 允许 Amazon Q 调用Wiz APIs 访问您的应用程序的凭证。有关更多信息,请参阅 Wiz 文档中的客户端 ID 与客户端密钥

密钥与服务角色

AWS Secrets Manager 秘密

配置插件时,Amazon Q 会为您创建一个用于存储Wiz身份验证凭证的新 AWS Secrets Manager 密钥。此外,您也可以使用自己创建的现有密钥。

如果您选择自行创建密钥,请确保其包含以下凭证,并采用以下 JSON 格式:

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

有关创建密钥的更多信息,请参阅《AWS Secrets Manager 用户指南》中的创建密钥

服务角色

要在 Amazon Q 开发者版中配置 Wiz 插件,您需要创建一个服务角色,用于授权 Amazon Q 访问 Secrets Manager 密钥的权限。Amazon Q 会通过扮演该角色来访问存储 Wiz 凭证的密钥。

在 AWS 控制台中配置插件时,您可以选择创建新密钥或使用现有密钥。若创建新密钥,系统会自动为您创建关联的服务角色。若使用现有密钥和现有服务角色,请确保您的服务角色包含以下权限,并已附加相应的信任策略。所需的服务角色取决于您的密钥加密方式。

如果密钥使用 AWS 托管 KMS 密钥进行加密,需使用以下 IAM 服务角色:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
            ]
        }
    ]
}
显示更多显示更少

如果您的密钥使用客户托管密 AWS KMS 钥加密,则需要以下 IAM 服务角色:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}
显示更多显示更少

要允许 Amazon Q 扮演该服务角色,服务角色需包含以下信任策略:

注意

codewhisperer 前缀是与 Amazon Q Developer 合并前的服务的旧名称。有关更多信息,请参阅 Amazon Q 开发者版重命名:变更摘要

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333",
          "aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
        }
      }
    }
  ]
}
显示更多显示更少

有关服务角色的更多信息,请参阅《AWS Identity and Access Management 用户指南》中的创建角色以向 AWS 服务委派权限

配置 Wiz 插件

您需在 Amazon Q 开发者版控制台中配置插件。Amazon Q 会使用存储在 AWS Secrets Manager 中的凭证,实现与 Wiz 的交互。

要配置 Wiz 插件,请完成以下流程:

  1. 在开发者/家中打开 Amazon Q https://console.aws.amazon.com/amazonq/开发者控制台

  2. 在 Amazon Q 开发者版控制台首页,选择设置

  3. 在导航栏中,选择插件

  4. 在插件页面,点击 Wiz 面板上的加号,打开插件配置页面。

  5. API 端点 URL 字段中,输入您访问 Wiz 所用的 API 端点 URL。

  6. 在 “配置” AWS Secrets Manager中,选择 “创建新密钥” 或 “使用现有密钥”。Secrets Manager 密钥将用于存储您的 Wiz 身份验证凭证。

    如果您要创建新密钥,请输入以下信息。

    1. 客户端 ID 字段中,输入您 Wiz 账户的客户端 ID。

    2. 客户端密钥字段中,输入您 Wiz 账户的客户端密钥。

    3. 系统会自动创建一个服务角色,供 Amazon Q 访问存储 Wiz 凭证的密钥。请勿编辑系统为您创建的服务角色。

    如果您使用现有密钥,请从 AWS Secrets Manager 密钥下拉菜单中选择一个密钥。该密钥需包含前文步骤中指定的 Wiz 身份验证凭证。

    有关所需凭证的更多信息,请参阅获取凭证

  7. 对于配置 AWS IAM 服务角色,选择创建新的服务角色使用现有服务角色

    注意

    如果您在步骤 6 中选择了创建新密钥,则无法使用现有服务角色。系统会自动为您创建一个新角色。

    如果您要创建新的服务角色,系统会自动创建一个服务角色,供 Amazon Q 访问存储 Wiz 凭证的密钥。请勿编辑系统为您创建的服务角色。

    如果您要使用现有服务角色,请从显示的下拉菜单中选择一个角色。请确保该服务角色包含服务角色中定义的权限和信任策略。

  8. 选择 Save configuration

  9. 当 Wiz 插件面板显示在“插件”页面的已配置插件部分后,用户即可访问该插件。

如果您要更新插件凭证,必须删除当前插件,然后配置一个新插件。删除插件会清除之前的所有配置信息,且每次配置新插件时,都会生成一个新的插件 ARN。

配置用户权限

要使用插件,需具备以下权限:

  • 在控制台中与 Amazon Q 进行交互的权限。有关授予聊天所需权限的 IAM 策略示例,请参阅允许用户与 Amazon Q 聊天

  • q:UsePlugin 权限。

当您向某个 IAM 身份授予已配置 Wiz 插件的访问权限后,该身份将能访问插件可检索的 Wiz 账户中的所有资源。该插件无法检测 Wiz 的用户权限。若需控制对插件的访问权限,可在 IAM 策略中指定插件的 ARN。

每次创建插件或删除并重新配置插件时,系统都会为其分配一个新的 ARN。如果您在策略中使用了插件 ARN,且希望授予对新配置插件的访问权限,则需更新该 ARN。

要查找 Wiz 插件的 ARN,请转至 Amazon Q 开发者版控制台的插件页面,然后选择已配置的 Wiz 插件。在“插件详细信息”页面,复制插件 ARN。您可将该 ARN 添加到策略中,以允许或拒绝对 Wiz 插件的访问。

如果您创建策略以控制对 Wiz 插件的访问权限,请在策略中指定插件提供商为 Wiz

有关控制插件访问权限的 IAM 策略示例,请参阅支持用户与来自一个提供商的插件进行聊天

与 Wiz 插件进行交互

要使用 Amazon Q Wiz 插件,需在关于 Wiz 问题的提问开头输入 @Wiz。针对 Amazon Q 问题的后续提问或回复,也必须包含 @Wiz

以下是一些使用案例示例及对应的问题,可帮助您充分利用 Amazon Q Wiz 插件:

  • 查看严重级别为“严重”的问题:请求 Amazon Q Wiz 插件列出严重级别为“严重”或“高”的问题,插件最多可返回 10 个问题。您也可要求列出最严重的前 10 个问题。

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • 按日期或状态列出问题:请求按创建日期、截止日期或解决日期列出问题,也可按状态、严重级别和类型等属性筛选问题。

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • 评估存在安全漏洞的问题:咨询问题中构成安全威胁的漏洞或暴露情况。

    • @wiz which issues are associated with vulnerabilities or external exposures?