Requisitos previos Secretos y funciones de servicio Configure el Wiz complemento Configura los permisos de usuario Chatea con el Wiz complemento

Configuración del Amazon Q Developer Wiz complemento

Wiz es una plataforma de seguridad en la nube que proporciona gestión de la postura de seguridad, evaluación y priorización de riesgos y gestión de vulnerabilidades. Si usas Wiz para evaluar y monitorear tus AWS aplicaciones, puedes usar el complemento del chat de Amazon Q para acceder a información de Wiz sin salir del AWS Management Console.

Puede usar el complemento para identificar y recuperar Wiz problemas, evalúe sus activos más riesgosos y comprenda las vulnerabilidades o exposiciones. Tras recibir una respuesta, puede hacer preguntas de seguimiento, incluida la forma de solucionar un problema.

Para configurar el complemento, debes proporcionar las credenciales de autenticación de tu Wiz cuenta para habilitar una conexión entre Amazon Q y Wiz. Después de configurar el complemento, puede acceder a Wiz métricas @wiz añadiéndolas al principio de la pregunta en el chat de Amazon Q.

aviso

Wiz los permisos de usuario no son detectados por el Wiz plugin en Amazon Q. Cuando un administrador configura el Wiz complemento en una AWS cuenta, los usuarios con permisos de complemento en esa cuenta tienen acceso a cualquier recurso de Wiz cuenta recuperable mediante el complemento.

Puede configurar IAM políticas para restringir los complementos a los que tienen acceso los usuarios. Para obtener más información, consulte Configura los permisos de usuario.

Requisitos previos

Agregar permisos

Para configurar los complementos, se requieren los siguientes permisos de nivel de administrador:

Permisos para acceder a la consola Amazon Q Developer. Para ver un ejemplo IAM de política que concede los permisos necesarios, consultePermitir a los administradores utilizar la consola Amazon Q Developer.
Permisos para configurar complementos. Para ver un ejemplo IAM de política que concede los permisos necesarios, consultePermita a los administradores configurar los complementos.

Adquiera credenciales

Antes de empezar, anote la siguiente información de su Wiz account. Estas credenciales de autenticación se almacenarán en AWS Secrets Manager secreto al configurar el complemento.

APIPunto final URL: el URL lugar al que accedes Wiz. Por ejemplo,https://api.us1.app.Wiz.io/graphql. Para obtener más información, consulte el APIpunto final URL en el Wiz .
ID de cliente y secreto de cliente: credenciales que permiten a Amazon Q llamar Wiz APIspara acceder a su aplicación. Para obtener más información, consulte el identificador de cliente y el secreto del cliente en la Wiz .

Secretos y funciones de servicio

AWS Secrets Manager secreto

Cuando configuras el complemento, Amazon Q crea un nuevo AWS Secrets Manager secreto para que lo guardes Wiz credenciales de autenticación. Como alternativa, puede usar un secreto existente que haya creado usted mismo.

Si crea un secreto usted mismo, asegúrese de que incluya las siguientes credenciales y utilice el siguiente JSON formato:


{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Para obtener más información sobre la creación de secretos, consulte Crear un secreto en la Guía del AWS Secrets Manager usuario.

Roles de servicio

Para configurar el Wiz en Amazon Q Developer, necesitas crear un rol de servicio que dé permiso a Amazon Q para acceder a tu secreto de Secrets Manager. Amazon Q asume esta función para acceder al secreto donde su Wiz se almacenan las credenciales.

Al configurar el complemento en la AWS consola, tiene la opción de crear un nuevo secreto o utilizar uno existente. Si creas un secreto nuevo, el rol de servicio asociado se crea automáticamente. Si utilizas un secreto existente y un rol de servicio existente, asegúrate de que tu rol de servicio contenga estos permisos y que tenga adjunta la siguiente política de confianza. El rol de servicio necesario depende del método de cifrado secreto.

Si el secreto está cifrado con una KMS clave AWS gestionada, se requiere el siguiente rol de IAM servicio:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}

Mostrar menos

Si el secreto está cifrado con una AWS KMS clave gestionada por el cliente, se requiere el siguiente rol de IAM servicio:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:{{region}}:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.{{region}}.amazonaws.com"
                }
            }
        }
    ]
}

Mostrar menos

Para permitir que Amazon Q asuma la función de servicio, la función de servicio necesita la siguiente política de confianza:

nota

El prefijo codewhisperer es un nombre heredado de un servicio que se fusionó con Amazon Q Developer. Para obtener más información, consulte Cambio de nombres de Amazon Q Developer: resumen de cambios.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}

Mostrar menos

Para obtener más información sobre las funciones de servicio, consulte Crear una función para delegar permisos a un AWS servicio en la Guía del AWS Identity and Access Management usuario.

Configure el Wiz complemento

Los complementos se configuran en la consola de Amazon Q Developer. Amazon Q utiliza las credenciales almacenadas en AWS Secrets Manager para permitir las interacciones con Wiz.

Para configurar el Wiz complete el siguiente procedimiento:

Abre la consola Amazon Q Developer en https://console.aws.amazon.com/amazonq/developer/home
En la página de inicio de la consola Amazon Q Developer, selecciona Configuración.
En la barra de navegación, selecciona Plugins.
En la página de complementos, selecciona el signo más en la Wizpanel. Se abre la página de configuración del plugin.
Para el APIpunto final URL, introduzca URL el API punto final al que accede Wiz.
AWS Secrets Manager En Configurar, elija Crear un secreto nuevo o Usar un secreto existente. El secreto de Secrets Manager es dónde está tu Wiz se almacenarán las credenciales de autenticación.

Si crea un secreto nuevo, introduzca la siguiente información:
1. Para el ID de cliente, introduzca el ID de cliente de su Wiz account.
2. En Secreto de cliente, introduzca el secreto de cliente de su Wiz account.
3. Se creará un rol de servicio que Amazon Q utilizará para acceder al secreto donde su Wiz se almacenan las credenciales. No edite el rol de servicio que se ha creado para usted.
Si utilizas un secreto existente, elige uno en el menú desplegable de AWS Secrets Manager secretos. El secreto debe incluir el Wiz las credenciales de autenticación especificadas en el paso anterior.

Para obtener más información sobre las credenciales necesarias, consulte Adquiera credenciales .
En Configurar el rol de AWS IAM servicio, elija Crear un nuevo rol de servicio o Usar el rol de servicio existente.

nota
Si seleccionaste Crear un secreto nuevo en el paso 6, no podrás usar un rol de servicio existente. Se creará un nuevo rol para ti.

Si crea un nuevo rol de servicio, se creará un rol de servicio que Amazon Q utilizará para acceder al secreto donde está su Wiz se almacenan las credenciales. No edite el rol de servicio que se ha creado para usted.

Si usa un rol de servicio existente, elija un rol en el menú desplegable que aparece. Asegúrese de que su función de servicio tenga los permisos y la política de confianza definidos enRoles de servicio.
Seleccione Guardar configuración.
Después de Wiz El panel de complementos aparece en la sección de complementos configurados de la página de complementos, los usuarios tendrán acceso al complemento.

Si quieres actualizar las credenciales de un complemento, debes eliminar el complemento actual y configurar uno nuevo. Al eliminar un complemento, se eliminan todas las credenciales y especificaciones anteriores. Cada vez que configuras un complemento nuevo, ARN se genera uno nuevo.

Configura los permisos de usuario

Para usar los complementos, se requieren los siguientes permisos:

Permisos para chatear con Amazon Q en la consola. Para ver un ejemplo IAM de política que otorga los permisos necesarios para chatear, consultePermiso a los usuarios para chatear con Amazon Q.
El permiso q:UsePlugin.

Cuando concedes acceso a una IAM identidad a una entidad configurada Wiz plugin, la identidad obtiene acceso a cualquier recurso del Wiz cuenta recuperable mediante el complemento. Wiz el plugin no detecta los permisos de usuario. Si quieres controlar el acceso a un complemento, puedes hacerlo especificando el complemento ARN en una IAM política.

Cada vez que crees o elimines y vuelvas a configurar un complemento, se le asigna uno nuevoARN. Si utilizas un complemento ARN en una política, tendrás que actualizarlo si quieres conceder acceso al complemento recién configurado.

Para localizar el Wiz complementoARN, vaya a la página de complementos en la consola de desarrolladores de Amazon Q y elija el configurado Wiz el complemento. En la página de detalles del plugin, copia el pluginARN. Puedes añadirlo ARN a una política para permitir o denegar el acceso al Wiz el complemento.

Para ver ejemplos de IAM políticas que controlan el acceso a los complementos, consultePermita a los usuarios chatear con complementos de un proveedor.

Chatea con el Wiz complemento

Para usar Amazon Q Wiz plugin, introduce @Wiz al principio una pregunta sobre tu Wiz problemas. También se deben incluir las preguntas de seguimiento o las respuestas a las preguntas de Amazon @Wiz Q.

A continuación, se muestran algunos ejemplos de casos de uso y las preguntas asociadas que puede hacer para aprovechar al máximo Amazon Q Wiz el complemento:

Ver problemas de gravedad crítica — Ask the Amazon Q Wiz complemento para enumerar los problemas de gravedad grave o alta. El complemento puede devolver hasta 10 problemas. También puedes solicitar una lista de los 10 problemas más graves.
- @wiz what are my critical severity issues?
- @wiz can you specify the top 5?
Enumere los problemas según la fecha o el estado: solicite enumerar los problemas según la fecha de creación, la fecha de vencimiento o la fecha de resolución. También puedes especificar los problemas en función de propiedades como el estado, la gravedad y el tipo.
- @wiz which issues are due before <date>?
- @wiz what are my issues that have been resolved since <date>?
Evalúe los problemas relacionados con las vulnerabilidades de seguridad: pregunte acerca de las vulnerabilidades o exposiciones que representan una amenaza para la seguridad en sus problemas.
- @wiz which issues are associated with vulnerabilities or external exposures?

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Datadog

Console-to-Code