Administración del acceso a Amazon Q Developer con políticas de IAM

nota

La información de esta página se refiere al acceso a Amazon Q Developer. Para obtener más información sobre la administración del acceso a Amazon Q Business, consulte Identity-based policy examples for Amazon Q Business en la Amazon Q Business User Guide.

Las políticas y los ejemplos de este tema son específicos de Amazon Q en AWS Management Console, AWS Console Mobile Application, el sitio web de AWS, AWS Documentation y AWS Chatbot. Es posible que otros servicios integrados con Amazon Q requieran políticas o configuraciones diferentes. Los usuarios finales de Amazon Q en IDE de terceros no están obligados a utilizar políticas de IAM. Para obtener más información, consulte la documentación de los servicios que contienen una característica o integración de Amazon Q.

De forma predeterminada, los usuarios y los roles no tienen permiso para utilizar Amazon Q. Los administradores de IAM pueden gestionar el acceso a Amazon Q Developer y sus características mediante la concesión de permisos a las identidades de IAM.

La forma más rápida de que un administrador conceda acceso a los usuarios es mediante una política administrada de AWS. La política AmazonQFullAccess se puede asociar a las identidades de IAM para conceder el acceso total a Amazon Q Developer y sus características. Para obtener más información sobre esta política, consulte Políticas administradas de AWS para Amazon Q Developer.

Para administrar acciones específicas que las identidades de IAM pueden realizar con Amazon Q Developer, los administradores pueden crear políticas personalizadas que definan los permisos que tiene un usuario, grupo o rol. También puede utilizar políticas de control de servicios (SCP) para controlar qué características de Amazon Q están disponibles en su organización.

Para ver una lista de todos los permisos de Amazon Q que puede controlar con políticas, consulte Referencia de permisos de Amazon Q Developer.

Temas

Prácticas recomendadas sobre las políticas
Asignar permisos
Administración del acceso con políticas de control de servicios (SCP)
Perímetros de datos para los recursos de Amazon Q
Ejemplos de políticas basadas en identidad para Amazon Q Developer

Prácticas recomendadas sobre las políticas

Las políticas basadas en identidad determinan si alguien puede crear, acceder o eliminar los recursos de Amazon Q Developer de la cuenta. Estas acciones pueden generar costes adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:

Comience con las políticas administradas por AWSy continúe con los permisos de privilegio mínimo: a fin de comenzar a conceder permisos a los usuarios y las cargas de trabajo, utilice las políticas administradas por AWS, que conceden permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía de usuario de IAM.
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para obtener más información, consulte Validación de políticas mediante el Analizador de acceso de IAM en la Guía del usuario de IAM.
Solicite la autenticación multifactor (MFA): si se encuentra en una situación en la que necesita usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para obtener más información, consulte Acceso seguro a la API con MFA en la Guía del usuario de IAM.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.

Asignar permisos

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
Usuarios administrados en IAM a través de un proveedor de identidades:

Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
Usuarios de IAM:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Administración del acceso con políticas de control de servicios (SCP)

Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. Puede controlar qué características de Amazon Q Developer están disponibles en su organización creando una SCP que especifique los permisos para algunas o todas las acciones de Amazon Q.

Para obtener más información sobre el uso de las SCP con el fin de controlar el acceso en su organización, consulte Creating, updating, and deleting service control policies y Attaching and detaching service control policies en la AWS Organizations User Guide.

El siguiente es un ejemplo de una SCP que deniega el acceso a Amazon Q. Esta política restringe el acceso al chat de Amazon Q, a la solución de problemas de errores de la consola y a la solución de problemas de red.

nota

Denegar el acceso a Amazon Q no inhabilitará el icono o el panel de chat de Amazon Q en la consola de AWS, el sitio web de AWS, las páginas de documentación de AWS o AWS Console Mobile Application.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Perímetros de datos para los recursos de Amazon Q

En el caso de algunas características, Amazon Q carga artefactos en los buckets de Amazon S3 propiedad del servicio de AWS. Si utiliza perímetros de datos para controlar el acceso a Amazon S3 en su entorno, es posible que necesite permitir explícitamente el acceso a estos buckets para utilizar las características de Amazon Q correspondientes.

En la siguiente tabla se muestran el ARN y la URL de cada uno de los buckets de Amazon S3 a los que Amazon Q necesita acceder, así como las características que utilizan cada bucket. Puede usar el ARN del bucket o la URL del bucket para incluir estos buckets en la lista de permitidos, en función de cómo controle el acceso a Amazon S3.

ARN de bucket de Amazon S3 URL de bucket de Amazon S3 Descripción

ARN de bucket de Amazon S3	URL de bucket de Amazon S3	Descripción
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Un bucket de Amazon S3 utilizado para cargar artefactos para escanear códigos de Amazon Q
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Un bucket de Amazon S3 utilizado para cargar artefactos para el Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Un bucket de Amazon S3 utilizado para cargar artefactos para el Amazon Q Developer Agent for software development


arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b


https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/

Un bucket de Amazon S3 utilizado para cargar artefactos para escanear códigos de Amazon Q


arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0


https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/

Un bucket de Amazon S3 utilizado para cargar artefactos para el Amazon Q Developer Agent for code transformation


arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6


https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/

Un bucket de Amazon S3 utilizado para cargar artefactos para el Amazon Q Developer Agent for software development

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo funciona Amazon Q con IAM

Ejemplos de políticas basadas en identidad para Amazon Q