本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Q Developer 中成本管理功能的安全性
以下概述 Amazon Q Developer 中成本管理功能的許可和資料保護。
權限概觀
若要在 Amazon Q Developer 中使用成本管理功能,您需要三組 Identity and Access Management (IAM) 許可:
-
Amazon Q 許可:在主控台中與 Amazon Q 聊天的許可 (例如
q:StartConversation和 q:SendMessage) -
服務許可:存取提供成本資料之基礎 Billing and Cost Management 服務的許可
-
PassRequest 許可:允許 Amazon Q 代表您呼叫 AWS APIs
q:PassRequest許可
管理員授予使用者 Amazon Q Developer 存取權的最快速方法是使用 AmazonQFullAccess受管政策。
成本管理功能的許可
下列 IAM 政策陳述式授予使用者對 Amazon Q Developer 中所有成本管理功能的存取權:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
您可以縮小此政策的範圍,僅授予特定成本管理功能的存取權。例如,如果您不希望使用者存取資源層級的成本資料,您可以移除 ce:GetCostAndUsageWithResources動作,或新增明確拒絕陳述式。
q:PassRequest 許可
q:PassRequest 是一種 Amazon Q Developer 許可,可讓 Amazon Q Developer 代表您呼叫 AWS APIs。當您將 q:PassRequest 許可新增至 IAM 身分時,Amazon Q Developer 會取得呼叫 IAM 身分具有呼叫許可之任何 API 的許可。例如,如果 IAM 角色具有 ce:GetCostAndUsage許可和 q:PassRequest許可,則當擔任該 IAM 角色的使用者要求 Amazon Q Developer 從 Cost Explorer 擷取成本和用量資料時,Amazon Q Developer 可以呼叫 GetCostAndUsage API。
您也可以允許 IAM 主體存取 Cost Explorer 和使用 Amazon Q Developer,但使用aws:CalledVia全域條件金鑰來限制他們使用 Amazon Q Developer 中的成本分析或成本最佳化功能。下列 IAM 政策提供使用此條件金鑰的範例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
多帳戶存取
對於 AWS Organizations 的使用者,管理帳戶管理員可以使用 AWS Billing and Cost Management 主控台中的 Cost Management 偏好設定,限制成員帳戶使用者存取 Cost Explorer 和 Cost Optimization Hub 資料 (包括存取折扣、點數和退款)。這些偏好設定套用到 Amazon Q Developer 的方式與套用到管理主控台、軟體開發套件和 CLI 的方式相同。Amazon Q Developer 遵守客戶的現有偏好設定。
跨區域呼叫
Cost Optimization Hub 和 Cost Explorer 服務的資料託管在美國東部 (維吉尼亞北部) 區域。來自 的資料 AWS Compute Optimizer 託管在基礎資源所在的 AWS 區域中,例如 EC2 執行個體。從 AWS Price List APIs提供的資料託管於 us-east-1、eu-central-1 和 ap-south-1 (請注意, AWS Price List APIs 不提供任何客戶特定資料)。Amazon Q Developer 中的成本管理請求可能需要跨區域呼叫。如需詳細資訊,請參閱《Amazon Q 開發人員使用者指南》中的 Amazon Q 開發人員中的跨區域處理。
資料保護
我們可能會使用 Amazon Q Developer 免費方案的特定內容來改善服務。例如,Amazon Q Developer 可能會使用此內容來提供更好的常見問題回應、修正 Amazon Q Developer 操作問題、偵錯或模型訓練。例如, AWS 可能用於改善服務的內容包括您向 Amazon Q Developer 提出的問題,以及 Amazon Q Developer 產生的回應和程式碼。我們不會使用 Amazon Q Developer 專業方案或 Amazon Q Business 的內容來改善服務。
您使用改善服務內容選擇退出 Amazon Q Developer 免費方案的方式,取決於您使用 Amazon Q 的環境。對於 AWS 管理主控台、 AWS 主控台行動應用程式、 AWS 網站和 AWS Chatbot,請在 AWS Organizations 中設定 AI 服務選擇退出政策。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的 AI 服務選擇退出政策。
