Bewährte Methoden für Richtlinien Zuweisen von Berechtigungen Zugriff verwalten mit SCPs Datenperimeter für Amazon Q-Ressourcen

Zugriff auf Amazon Q Developer mit Richtlinien verwalten

Anmerkung

Die Informationen auf dieser Seite beziehen sich auf den Zugriff auf Amazon Q Developer. Informationen zur Verwaltung des Zugriffs auf Amazon Q Business finden Sie unter Beispiele für identitätsbasierte Richtlinien für Amazon Q Business im Amazon Q Business-Benutzerhandbuch.

Die Richtlinien und Beispiele in diesem Thema sind spezifisch für Amazon Q auf der AWS Management Console AWS Console Mobile Application,, AWS Website AWS Documentation, und AWS Chatbot. Andere in Amazon Q integrierte Services erfordern möglicherweise andere Richtlinien oder Einstellungen. Endbenutzer von Amazon Q von Drittanbietern IDEs müssen keine IAM-Richtlinien verwenden. Weitere Informationen finden Sie in der Dokumentation für den Service, der eine Amazon Q-Funktion oder -Integration enthält.

Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon Q zu verwenden. IAM-Administratoren können den Zugriff auf Amazon Q Developer und seine Funktionen verwalten, indem sie Berechtigungen für IAM-Identitäten gewähren.

Am schnellsten kann ein Administrator Benutzern Zugriff gewähren, indem er eine verwaltete Richtlinie verwendet. AWS Die AmazonQFullAccess Richtlinie kann an IAM-Identitäten angehängt werden, um vollen Zugriff auf Amazon Q Developer und seine Funktionen zu gewähren. Weitere Informationen zu dieser Richtlinie finden Sie unter AWS verwaltete Richtlinien für Amazon Q Developer.

Um bestimmte Aktionen zu verwalten, die IAM-Identitäten mit Amazon Q Developer ausführen können, können Administratoren benutzerdefinierte Richtlinien erstellen, die definieren, welche Berechtigungen ein Benutzer, eine Gruppe oder eine Rolle hat. Sie können auch Richtlinien zur Servicesteuerung (SCPs) verwenden, um zu kontrollieren, welche Amazon Q-Funktionen in Ihrer Organisation verfügbar sind.

Eine Liste aller Amazon Q-Berechtigungen, die Sie mit Richtlinien kontrollieren können, finden Sie unterReferenz zu Amazon Q-Entwicklerberechtigungen.

Themen

Bewährte Methoden für Richtlinien
Zuweisen von Berechtigungen
Verwalten Sie den Zugriff mit Richtlinien zur Dienststeuerung (SCPs)
Datenperimeter für Amazon Q-Ressourcen
Beispiele für identitätsbasierte Richtlinien für Amazon Q Developer

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Q Developer-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Zuweisen von Berechtigungen

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in: AWS IAM Identity Center

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.
IAM-Benutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Verwalten Sie den Zugriff mit Richtlinien zur Dienststeuerung (SCPs)

Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. Sie können kontrollieren, welche Amazon Q Developer-Funktionen in Ihrer Organisation verfügbar sind, indem Sie einen SCP erstellen, der Berechtigungen für einige oder alle Amazon Q-Aktionen festlegt.

Weitere Informationen zur Verwendung SCPs zur Zugriffskontrolle in Ihrer Organisation finden Sie unter Servicesteuerungsrichtlinien erstellen, aktualisieren und löschen und Servicesteuerungsrichtlinien anhängen und trennen im AWS Organizations Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für einen SCP, der den Zugriff auf Amazon Q verweigert. Diese Richtlinie schränkt den Zugriff auf den Amazon Q-Chat, die Behebung von Konsolenfehlern und die Fehlerbehebung im Netzwerk ein.

Anmerkung

Wenn Sie den Zugriff auf Amazon Q verweigern, werden das Amazon Q-Symbol oder das Chat-Panel in der AWS Konsole, AWS auf der Website, auf den AWS Dokumentationsseiten oder AWS Console Mobile Application nicht deaktiviert.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Datenperimeter für Amazon Q-Ressourcen

Für einige Funktionen lädt Amazon Q Artefakte in AWS serviceeigene Amazon S3 S3-Buckets hoch. Wenn Sie Datenperimeter verwenden, um den Zugriff auf Amazon S3 in Ihrer Umgebung zu kontrollieren, müssen Sie möglicherweise den Zugriff auf diese Buckets explizit zulassen, um die entsprechenden Amazon Q-Funktionen nutzen zu können.

In der folgenden Tabelle sind der ARN und die URL der einzelnen Amazon S3 S3-Buckets aufgeführt, auf die Amazon Q Zugriff benötigt, sowie die Funktionen, die die einzelnen Buckets verwenden. Sie können den Bucket-ARN oder die Bucket-URL verwenden, um diese Buckets auf eine Zulassungsliste zu setzen, je nachdem, wie Sie den Zugriff auf Amazon S3 kontrollieren.

ARN für den Amazon S3 S3-Bucket	URL des Amazon S3 S3-Buckets	Beschreibung
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Ein Amazon S3 S3-Bucket, der zum Hochladen von Artefakten für Amazon Q-Code-Rezensionen verwendet wird
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Ein Amazon S3 S3-Bucket zum Hochladen von Artefakten für Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Ein Amazon S3 S3-Bucket zum Hochladen von Artefakten für Amazon Q Developer Agent for software development
`arn:aws:s3:::amazonq-test-generation-us-east-1-74b667808f2`	`https://amazonq-test-generation-us-east-1-74b667808f2.s3.us-east-1.amazonaws.com/`	Ein Amazon S3 S3-Bucket, der zum Hochladen von Artefakten für den Amazon Q Developer Agent zur Generierung von Komponententests verwendet wird

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Funktionsweise von Amazon Q mit IAM

Beispiele für identitätsbasierte Richtlinien für Amazon Q