本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Q Developer 中成本管理功能的安全性
以下提供 Amazon Q Developer 中成本管理功能的許可和資料保護概觀。
成本分析許可
Amazon Q Developer 提供的所有成本資料均來自 Cost Explorer。在 Amazon Q Developer 中存取成本分析功能的 IAM 使用者必須具有使用 Amazon Q Developer 的許可,以及從 Cost Explorer 擷取成本和用量資料的許可。管理員授予使用者存取 Amazon Q Developer 的最快方法是使用 AmazonQFullAccess受管政策。使用者也需要存取 ce:GetCostAndUsage許可。
下列 IAM 政策陳述式授予使用者 Amazon Q Developer 中成本分析功能的存取權:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnablesCostAnalysisInAmazonQ", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "ce:GetCostAndUsage", "ce:GetCostForecast", "ce:GetDimensionValues", "ce:GetTags", "ce:GetCostCategories" ], "Resource": "*" } ] }
成本最佳化許可
下列 IAM 政策陳述式授予使用者 Amazon Q Developer 中成本最佳化功能的存取權:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnablesCostOptimizationInAmazonQ", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "ce:GetReservationPurchaseRecommendation", "ce:GetSavingsPlansPurchaseRecommendation" ], "Resource": "*" } ] }
q:PassRequest 許可
q:PassRequest 是一種 Amazon Q Developer 許可,可讓 Amazon Q Developer 代表您呼叫 AWS APIs。當您將 q:PassRequest 許可新增至 IAM 身分時,Amazon Q Developer 會取得呼叫 IAM 身分具有呼叫許可之任何 API 的許可。例如,如果 IAM 角色具有 ce:GetCostAndUsage許可和 q:PassRequest許可,則當擔任該 IAM 角色的使用者要求 Amazon Q Developer 從 Cost Explorer 擷取成本和用量資料時,Amazon Q Developer 可以呼叫 GetCostAndUsage API。
您也可以允許 IAM 主體存取 Cost Explorer 和使用 Amazon Q Developer,但使用aws:CalledVia全域條件金鑰來限制他們使用 Amazon Q Developer 中的成本分析或成本最佳化功能。下列 IAM 政策提供使用此條件金鑰的範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "ce:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
對於 AWS Organizations 的使用者,管理帳戶管理員可以使用 Billing and Cost Management 主控台中的 AWS Cost Management 偏好設定,限制成員帳戶使用者存取 Cost Explorer 和 Cost Optimization Hub 資料 (包括存取折扣、點數和退款)。這些偏好設定套用到 Amazon Q Developer 的方式與套用到管理主控台、軟體開發套件和 CLI 的方式相同。Amazon Q Developer 遵守客戶的現有偏好設定。
跨區域呼叫
Cost Optimization Hub 和 Cost Explorer 服務的資料託管在美國東部 (維吉尼亞北部) 區域。來自 的資料 AWS Compute Optimizer 託管在基礎資源所在的 AWS 區域中,例如 EC2 執行個體。成本分析和成本最佳化請求可能需要跨區域呼叫。如需詳細資訊,請參閱《Amazon Q 開發人員使用者指南》中的 Amazon Q 開發人員中的跨區域處理。
資料保護
我們可能會使用 Amazon Q Developer 免費方案的特定內容來改善服務。例如,Amazon Q Developer 可能會使用此內容來提供更好的常見問題回應、修正 Amazon Q Developer 操作問題、偵錯或模型訓練。例如, AWS 可能用於改善服務的內容包括您向 Amazon Q Developer 提出的問題,以及 Amazon Q Developer 產生的回應和程式碼。我們不會使用 Amazon Q Developer Pro 或 Amazon Q Business 的內容來改善服務。
您使用改善服務內容選擇退出 Amazon Q 開發人員免費方案的方式,取決於您使用 Amazon Q 的環境。對於 AWS 管理主控台、 AWS 主控台行動應用程式、 AWS 網站和 AWS Chatbot,請在 AWS Organizations 中設定 AI 服務選擇退出政策。如需詳細資訊,請參閱 AWS Organizations 使用者指南中的 AI 服務選擇退出政策。在 IDE 中,針對 Amazon Q Developer 免費方案,調整 IDE 中的設定。如需詳細資訊,請參閱《Amazon Q 開發人員使用者指南》中的選擇退出 IDE 中的資料共用。
