AWS politiques gérées pour Amazon Q Developer - Amazon Q Developer
AmazonQFullAccessAmazonQDeveloperAccessAWSServiceRoleForAmazonQDeveloperPolitiqueAWSServiceRoleForUserSubscriptionPolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon Q Developer

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Le moyen le plus rapide pour un administrateur d'accorder l'accès aux utilisateurs est d'utiliser une politique gérée par AWS . Les politiques AWS gérées suivantes pour Amazon Q Developer peuvent être associées aux identités IAM :

  • AmazonQFullAccessfournit un accès complet pour permettre les interactions avec Amazon Q Developer, y compris l'accès administrateur.

  • AmazonQDeveloperAccessfournit un accès complet pour permettre les interactions avec Amazon Q Developer, sans accès administrateur.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AmazonQFullAccess

La politique AmazonQFullAccess gérée fournit un accès administrateur pour permettre aux utilisateurs de votre organisation d'accéder à Amazon Q Developer. Il fournit également un accès complet pour permettre les interactions avec Amazon Q Developer, y compris la connexion à IAM Identity Center pour accéder à Amazon Q via un abonnement Amazon Q Developer Pro.

Note

Pour permettre un accès complet aux tâches administratives dans la console de gestion des abonnements Amazon Q et la console Amazon Q Developer Pro, des autorisations supplémentaires sont nécessaires. Pour de plus amples informations, veuillez consulter Autorisations d'administrateur.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment",
                "q:GenerateCodeFromCommands",
                "q:CreatePlugin",
                "q:GetPlugin",
                "q:DeletePlugin",
                "q:ListPlugins",
                "q:ListPluginProviders",
                "q:UsePlugin",
                "q:TagResource",
                "q:UntagResource",
                "q:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonQDeveloperAccess

La politique AmazonQDeveloperAccess gérée fournit un accès complet pour permettre les interactions avec Amazon Q Developer, sans accès administrateur. Cela inclut l'accès à la connexion avec IAM Identity Center pour accéder à Amazon Q via un abonnement Amazon Q Developer Pro.

Pour utiliser certaines fonctionnalités d'Amazon Q, vous aurez peut-être besoin d'autorisations supplémentaires. Consultez la rubrique relative à la fonctionnalité que vous souhaitez utiliser pour plus d'informations sur les autorisations.

{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData",
          "q:GenerateCodeFromCommands",
          "q:UsePlugin"

      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolitique

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon Q Developer. La politique est ajoutée au rôle lié au AWSService RoleForAmazon QDeveloper service créé lors de votre intégration à Amazon Q.

Vous ne pouvez pas associer AWSService RoleForAmazon QDeveloper de politique à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Amazon Q d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour les abonnements Amazon Q destinés aux développeurs et aux utilisateurs.

Cette politique accorde des administrator autorisations permettant de publier des statistiques pour la facturation/l'utilisation.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • cloudwatch— Permet aux principaux de publier des statistiques d'utilisation CloudWatch pour la facturation/l'utilisation. Cela est nécessaire pour que vous puissiez suivre votre utilisation d'Amazon Q dans CloudWatch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

Pour consulter cette politique dans le contexte d'autres politiques AWS gérées, consultez Amazon QDeveloper Policy.

AWSServiceRoleForUserSubscriptionPolicy

Cette politique AWS gérée accorde les autorisations généralement nécessaires pour utiliser Amazon Q Developer. La politique est ajoutée au rôle AWSService RoleForUserSubscriptions lié au service créé lorsque vous créez des abonnements Amazon Q.

Vous ne pouvez pas vous associer AWSService RoleForUserSubscriptionPolicy à vos entités IAM. Cette politique est associée à un rôle lié à un service qui permet à Amazon Q d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour les abonnements Amazon Q destinés aux développeurs et aux utilisateurs.

Cette politique permet aux abonnements Amazon Q d'accéder aux ressources de votre Identity Center afin de mettre à jour automatiquement vos abonnements.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • identitystore— Permet aux principaux de suivre les modifications du répertoire Identity Center afin que les abonnements puissent être automatiquement mis à jour.

    organizations— Permet aux directeurs de suivre les modifications apportées à AWS Organizations afin que les abonnements puissent être automatiquement mis à jour.

    sso— Permet aux principaux de suivre les modifications apportées aux instances d'Identity Center afin que les abonnements puissent être automatiquement mis à jour.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

Pour consulter cette politique dans le contexte d'autres politiques AWS gérées, consultez AWSServiceRoleForUserSubscriptionPolicy.

Mises à jour des politiques

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Q Developer depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique des documents pour Amazon Q Developer User Guide.

Modification Description Date

AmazonQDeveloperAccess – Mise à jour de politique

Des autorisations supplémentaires ont été ajoutées pour permettre l'utilisation des plug-ins Amazon Q Developer.

13 novembre 2024

AmazonQFullAccess  – Mise à jour de politique

Des autorisations supplémentaires ont été ajoutées pour configurer et utiliser les plug-ins Amazon Q Developer et pour créer et gérer des balises pour les ressources Amazon Q Developer.

13 novembre 2024

AmazonQDeveloperAccess – Mise à jour de politique

Des autorisations supplémentaires ont été ajoutées pour permettre la génération de code à partir de commandes CLI avec Amazon Q.

28 octobre 2024

AmazonQFullAccess  – Mise à jour de politique

Des autorisations supplémentaires ont été ajoutées pour permettre la génération de code à partir de commandes CLI avec Amazon Q.

28 octobre 2024

AmazonQFullAccess  – Mise à jour de politique

Des autorisations supplémentaires ont été ajoutées pour permettre à Amazon Q d'accéder aux ressources en aval.

9 juillet 2024

AmazonQDeveloperAccess : nouvelle politique

Fournit un accès complet pour permettre les interactions avec Amazon Q Developer, sans accès administrateur.

9 juillet 2024

AmazonQFullAccess  – Mise à jour de politique

Des autorisations supplémentaires ont été ajoutées pour permettre la vérification des abonnements pour Amazon Q Developer.

30 avril 2024

AWSServiceRoleForUserSubscriptionPolicy  : nouvelle politique

Permet à Amazon Q Subscriptions de mettre automatiquement à jour les abonnements en fonction des modifications apportées AWS IAM Identity Center, Répertoire AWS IAM Identity Center et AWS Organizations en votre nom.

30 avril 2024

AWSServiceRoleForAmazonQDeveloperPolicy  : nouvelle politique

Permet à Amazon Q d'appeler Amazon CloudWatch et Amazon CodeGuru en votre nom.

30 avril 2024

AmazonQFullAccess : nouvelle politique

Fournit un accès complet pour permettre les interactions avec Amazon Q Developer.

28 novembre 2023

Amazon Q Developer a commencé à suivre les modifications

Amazon Q Developer a commencé à suivre les modifications apportées aux politiques AWS gérées.

28 novembre 2023