Amazon Q Developer 中的安全成本管理功能 - AWS 成本管理
成本分析权限成本优化权限定价和成本估算权限q: PassRequest 权限跨区域调用数据保护

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Q Developer 中的安全成本管理功能

以下内容概述了 Amazon Q Developer 中成本管理功能的权限和数据保护。

成本分析权限

Amazon Q Developer 提供的所有成本数据均来自 Cost Explorer。访问 Amazon Q 开发人员中的成本分析功能的 IAM 用户必须拥有使用 Amazon Q 开发人员的权限以及从 Cost Explorer 检索成本和使用数据的权限。管理员授予用户访问 Amazon Q Developer 权限的最快方法是使用AmazonQFullAccess托管策略。

以下 IAM 政策声明允许用户访问 Amazon Q Developer 中的成本分析功能:

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "EnablesCostAnalysisInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"ce:GetCostAndUsage",
				"ce:GetCostForecast",
				"ce:GetDimensionValues",
				"ce:GetTags",
				"ce:GetCostCategories"
			],
			"Resource": "*"
		}
	]
}

成本优化权限

以下 IAM 政策声明允许用户访问 Amazon Q Developer 中的成本优化功能:

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "EnablesCostOptimizationInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"cost-optimization-hub:GetRecommendation",
				"cost-optimization-hub:ListRecommendations",
				"cost-optimization-hub:ListRecommendationSummaries",
				"compute-optimizer:GetAutoScalingGroupRecommendations",
				"compute-optimizer:GetEBSVolumeRecommendations",
				"compute-optimizer:GetEC2InstanceRecommendations",
				"compute-optimizer:GetECSServiceRecommendations",
				"compute-optimizer:GetLambdaFunctionRecommendations",
				"compute-optimizer:GetRDSDatabaseRecommendations",
				"compute-optimizer:GetIdleRecommendations",
				"compute-optimizer:GetEffectiveRecommendationPreferences",
				"ce:GetReservationPurchaseRecommendation",
				"ce:GetSavingsPlansPurchaseRecommendation"
			],
			"Resource": "*"
		}
	]
}

定价和成本估算权限

以下 IAM 政策声明允许用户访问 Amazon Q Developer 中的定价和成本估算功能:

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Sid": "EnablesCostOptimizationInAmazonQ",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*"
        }
    ]
}

q: PassRequest 权限

q:PassRequest是一项 Amazon Q 开发者许可,允许 Amazon Q 开发者代表您致电 AWS APIs 。当您向 IAM 身份添加q:PassRequest权限时,Amazon Q 开发人员将获得调用 IAM 身份有权调用的任何 API 的权限。例如,如果某个 IAM 角色具有ce:GetCostAndUsage权限和权限,则当扮演 IAM 角色的用户要求 Amazon Q 开发人员从 Cost Explorer 检索成本和使用量数据时,Amazon Q 开发人员可以调用 GetCostAndUsage API。q:PassRequest

您也可以允许 IAM 委托人访问 Cost Explorer 和使用 Amazon Q Developer,但使用aws:CalledVia全局条件密钥限制他们使用 Amazon Q Developer 中的成本分析或成本优化功能。以下 IAM 策略提供了使用此条件密钥的示例。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "ce:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ce:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

对于 AWS 组织用户,管理账户管理员可以使用 B AWS illing and Cost Management 控制台中的 “成本管理” 偏好设置来限制成员账户用户对Cost Explorer和成本优化中心数据的访问权限(包括折扣、积分和退款)。这些首选项适用于 Amazon Q Developer 的方式与适用于管理控制台、软件开发工具包和 CLI 的方式相同。Amazon Q 开发者尊重客户的现有偏好。请注意,Amazon Q Developer 中的定价和成本估算功能仅提供公开定价数据;不反映客户特定的折扣。

跨区域调用

来自成本优化中心和Cost Explorer服务的数据托管在美国东部(弗吉尼亚北部)地区。来自的数据托管 AWS Compute Optimizer 在底层资源(例如实EC2 例)所在的 AWS 区域。 AWS 价目表 APIs 中提供的数据托管在 us-east-1、eu-central-1 和 ap-south-1 中(请注意,价目表不提供任何客户特定的数据)。 AWS APIs Amazon Q Developer 中的成本管理请求可能需要跨区域调用。有关更多信息,请参阅 Amazon Q 开发者用户指南中的 Amazon Q 开发人员中的跨区域处理

数据保护

我们可能会使用 Amazon Q 开发者免费套餐中的某些内容来改进服务。例如,Amazon Q Developer 可能会使用此内容来更好地回答常见问题、修复 Amazon Q Developer 的操作问题、调试或模型训练。例如, AWS 可用于改进服务的内容包括您向 Amazon Q 开发者提出的问题以及 Amazon Q 开发者生成的回复和代码。我们不会使用 Amazon Q 开发者版专业套餐或 Amazon Q 企业版中的内容进行服务改进。

使用内容改进服务选择退出 Amazon Q 开发者免费套餐的方式取决于您使用 Amazon Q 的环境。对于 AWS 管理控制台、控制 AWS 台移动应用程序、 AWS 网站和聊天 AWS 机器人,请在 Organizations 中配置 AI 服务选择退出政策。 AWS 有关更多信息,请参阅《Organizations 用户指南》中的 AI 服务选择退出政策。AWS 在 IDE 中,对于 Amazon Q 开发者版免费套餐,您可以在 IDE 中调整设置。有关更多信息,请参阅 Amazon Q 开发者用户指南中的选择退出 IDE 中的数据共享