Amazon Q 的操作、资源和条件键

Amazon Q（服务前缀：q）提供了以下可在 IAM 权限策略中使用的服务特定资源、操作和条件上下文键。

参考：

了解如何配置该服务。
查看适用于该服务的 API 操作列表。
了解如何使用 IAM 权限策略保护该服务及其资源。

主题

Amazon Q 定义的操作
Amazon Q 定义的资源类型
Amazon Q 的条件键

Amazon Q 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 AWS中执行操作的权限。您在策略中使用一项操作时，通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下，单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

“操作” 表的 “访问级别” 列描述了如何对操作进行分类（列出、读取、权限管理或标记）。此分类可以帮助您了解当您在策略中使用操作时，相应操作授予的访问级别。有关访问级别的更多信息，请参阅策略摘要中的访问级别。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值，您必须在策略语句的 Resource 元素中指定策略应用的所有资源（“*”）。通过在 IAM policy 中使用条件来筛选访问权限，以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源，则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限，则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的（未指示为必需），则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息，请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型（* 为必需）列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列，这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息，请参阅操作表。

操作	描述	访问级别	资源类型（* 为必需）	条件键	相关操作
AssociateConnectorResource [仅权限]	授予将 AWS 资源与 Amazon Q 连接器关联的权限	写入
CreateAssignment [仅权限]	授予权限以为 Amazon Q 开发者版配置文件创建用户分配或组分配	写入	profile*
CreateAssignment [仅权限]	授予权限以为 Amazon Q 开发者版配置文件创建用户分配或组分配	写入		identitystore:UserId identitystore:GroupId
CreateAuthGrant [仅权限]	授予在 Amazon Q 中创建 OAuth 用户的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo
CreateOAuthAppConnection [仅权限]	授予在 Amazon Q 中注册 OAuth 应用程序的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo
CreatePlugin [仅权限]	授予在 Amazon Q 中创建和配置第三方插件的权限	写入	plugin*
CreatePlugin [仅权限]	授予在 Amazon Q 中创建和配置第三方插件的权限	写入		aws:TagKeys aws:RequestTag/${TagKey}
DeleteAssignment [仅权限]	授予权限以删除 Amazon Q 开发者版配置文件的用户分配或组分配	写入	profile*
DeleteAssignment [仅权限]	授予权限以删除 Amazon Q 开发者版配置文件的用户分配或组分配	写入		identitystore:UserId identitystore:GroupId
DeleteConversation [仅权限]	授予删除与 Amazon Q 对话的权限	写入
DeleteOAuthAppConnection [仅权限]	授予在 Amazon Q 中删除 OAuth 应用程序的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo
DeletePlugin [仅权限]	授予在 Amazon Q 中删除已配置插件的权限	写入	plugin*
DeletePlugin [仅权限]	授予在 Amazon Q 中删除已配置插件的权限	写入		aws:ResourceTag/${TagKey}
GenerateCodeFromCommands [仅权限]	授予权限以通过 Amazon Q 中的 CLI 命令生成代码	读取
GenerateCodeRecommendations [仅权限]	授予在 Amazon Q 中生成代码推荐的权限	读取
GetConnector [仅权限]	授予权限以查看有关特定 Amazon Q 连接器的信息	读取
GetConversation [仅权限]	授予获取与 Amazon Q 特定对话关联的单条消息的权限	读取
GetIdentityMetadata [仅权限]	授予 Amazon Q 权限以获取身份元数据	读取
GetPlugin [仅权限]	授予权限以查看有关已配置的特定的 Amazon Q 插件的信息	读取	plugin*
GetPlugin [仅权限]	授予权限以查看有关已配置的特定的 Amazon Q 插件的信息	读取		aws:ResourceTag/${TagKey}
GetTroubleshootingResults [仅权限]	授予获取 Amazon Q 问题排查结果的权限	读取
ListConversations [仅权限]	授予权限以获取与特定 Amazon Q 用户关联的单个对话	读取
ListDashboardMetrics [仅权限]	授予读取指标以填充 Amazon Q 控制面板的权限	列表
ListPluginProviders [仅权限]	授予在 Amazon Q 中列出可用插件的权限	列表
ListPlugins [仅权限]	授予在 Amazon Q 中列出已配置插件的权限	列表	plugin*
ListTagsForResource [仅权限]	授予列出与 Amazon Q 资源关联的所有标签的权限	列表	plugin
ListTagsForResource [仅权限]	授予列出与 Amazon Q 资源关联的所有标签的权限	列表		aws:ResourceTag/${TagKey}
PassRequest [仅权限]	授予权限以允许 Amazon Q 代表您执行操作	写入
RejectConnector [仅权限]	授予拒绝 Amazon Q 连接器连接请求的权限	写入
SendEvent [仅权限]	授予触发异步 Amazon Q 操作的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo
SendMessage [仅权限]	授予向 Amazon Q 发送消息的权限	写入
StartConversation [仅权限]	授予开始与 Amazon Q 对话的权限	写入
StartTroubleshootingAnalysis [仅权限]	授予开始 Amazon Q 问题排查分析的权限	写入
StartTroubleshootingResolutionExplanation [仅权限]	授予开始 Amazon Q 问题排查解决方案解释的权限	写入
TagResource [仅权限]	授予将标签与 Amazon Q 资源关联的权限	标记	plugin
TagResource [仅权限]	授予将标签与 Amazon Q 资源关联的权限	标记		aws:ResourceTag/${TagKey} aws:TagKeys aws:RequestTag/${TagKey}
UntagResource [仅权限]	授予移除与 Amazon Q 资源关联的标签的权限	标记	plugin
UntagResource [仅权限]	授予移除与 Amazon Q 资源关联的标签的权限	标记		aws:ResourceTag/${TagKey} aws:TagKeys
UpdateAuthGrant [仅权限]	授予在 Amazon Q 中更新 OAuth 用户的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo
UpdateConversation [仅权限]	授予更新与 Amazon Q 对话的权限	写入
UpdateOAuthAppConnection [仅权限]	授予在 Amazon Q 中更新 OAuth 应用程序的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo
UpdatePlugin [仅权限]	授予在 Amazon Q 中更新第三方插件的权限	写入	plugin*
UpdatePlugin [仅权限]	授予在 Amazon Q 中更新第三方插件的权限	写入		aws:TagKeys aws:RequestTag/${TagKey}
UpdateTroubleshootingCommandResult [仅权限]	授予权限以更新 Amazon Q 问题排查命令结果	写入
UsePlugin [仅权限]	授予使用 Amazon Q 插件的权限	写入	plugin*
VerifyOAuthAppConnection [仅权限]	授予在 Amazon Q 中验证 OAuth 应用程序的权限	写入			kms:Decrypt kms:GenerateDataKeyWithoutPlaintext kms:ReEncryptFrom kms:ReEncryptTo

Amazon Q 定义的资源类型

以下资源类型是由该服务定义的，可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键，从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息，请参阅资源类型表。

资源类型	ARN	条件键
profile	`arn:${Partition}:codewhisperer:${Region}:${Account}:profile/${Identifier}`
plugin	`arn:${Partition}:qdeveloper:${Region}:${Account}:plugin/${Identifier}`	aws:ResourceTag/${TagKey}

Amazon Q 的条件键

Amazon Q 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息，请参阅条件键表。

要查看适用于所有服务的全局条件密钥，请参阅AWS 全局条件上下文密钥。

条件键	描述	类型
aws:RequestTag/${TagKey}	按请求中传递的标签筛选访问权限	字符串
aws:ResourceTag/${TagKey}	按与 Amazon Q 资源关联的标签筛选访问权限	字符串
aws:TagKeys	按请求中传递的标签键筛选访问权限	ArrayOfString
identitystore:GroupId	按 IAM Identity Center 组 ID 筛选访问权限	ArrayOfString
identitystore:UserId	按 IAM Identity Center 用户 ID 筛选访问权限	ArrayOfString

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 采购订单控制台

Amazon Q Business