Bonnes pratiques en matière de politiques Attribution des autorisations Gérez l'accès avec SCPs Périmètres de données pour les ressources Amazon Q

Gérez l'accès à Amazon Q Developer à l'aide de politiques

Note

Les informations de cette page concernent l'accès à Amazon Q Developer. Pour plus d'informations sur la gestion de l'accès à Amazon Q Business, consultez les exemples de politiques basées sur l'identité pour Amazon Q Business dans le guide de l'utilisateur Amazon Q Business.

Les politiques et les exemples présentés dans cette rubrique sont spécifiques à Amazon Q dans le AWS Management Console AWS Console Mobile Application,, AWS site Web AWS Documentation, AWS Chatbot, et dansIDEs. Les autres services intégrés à Amazon Q peuvent nécessiter des politiques ou des paramètres différents. Pour plus d'informations, consultez la documentation du service qui contient une fonctionnalité ou une intégration Amazon Q.

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à utiliser Amazon Q. IAM Les administrateurs peuvent gérer l'accès à Amazon Q Developer et à ses fonctionnalités en accordant des autorisations aux IAM identités.

Le moyen le plus rapide pour un administrateur d'accorder l'accès aux utilisateurs est d'utiliser une politique AWS gérée. La AmazonQFullAccess politique peut être attachée aux IAM identités pour accorder un accès complet à Amazon Q Developer et à ses fonctionnalités. Pour de plus amples informations sur cette stratégie, consultez AWS politiques gérées pour Amazon Q Developer.

Pour gérer les actions spécifiques que les IAM identités peuvent effectuer avec Amazon Q Developer, les administrateurs peuvent créer des politiques personnalisées qui définissent les autorisations d'un utilisateur, d'un groupe ou d'un rôle. Vous pouvez également utiliser les politiques de contrôle des services (SCPs) pour contrôler les fonctionnalités Amazon Q disponibles dans votre organisation.

Pour obtenir la liste de toutes les autorisations Amazon Q que vous pouvez contrôler à l'aide de politiques, consultez leRéférence des autorisations des développeurs Amazon Q.

Rubriques

Bonnes pratiques en matière de politiques
Attribution des autorisations
Gérez l'accès avec des politiques de contrôle des services (SCPs)
Périmètres de données pour les ressources Amazon Q
Exemples de politiques basées sur l'identité pour Amazon Q Developer

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources Amazon Q Developer dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique AWS service, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.

Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.

Attribution des autorisations

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés IAM via un fournisseur d'identité :

Créez un rôle pour la fédération d’identité. Suivez les instructions de la section Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le guide de IAM l'utilisateur.
IAMutilisateurs :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section Création d'un rôle pour un IAM utilisateur dans le Guide de IAM l'utilisateur.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la section Ajouter des autorisations à un utilisateur (console) dans le guide de IAM l'utilisateur.

Gérez l'accès avec des politiques de contrôle des services (SCPs)

Les politiques de contrôle des services (SCPs) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. Vous pouvez contrôler les fonctionnalités Amazon Q Developer disponibles dans votre organisation en créant un identifiant SCP qui spécifie les autorisations pour certaines ou toutes les actions Amazon Q.

Pour plus d'informations sur l'utilisation SCPs pour contrôler l'accès dans votre organisation, voir Création, mise à jour et suppression de politiques de contrôle des services et Joindre et détacher des politiques de contrôle des services dans le Guide de l'AWS Organizations utilisateur.

Voici un exemple de refus d'accès à Amazon Q. Cette politique restreint l'accès au chat Amazon Q, à la résolution des erreurs de console et à la résolution des problèmes réseau. SCP

Note

Le refus d'accès à Amazon Q ne désactivera pas l'icône Amazon Q ou le panneau de discussion dans la AWS console, le AWS site Web, les pages de AWS documentation ou AWS Console Mobile Application.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Périmètres de données pour les ressources Amazon Q

Pour certaines fonctionnalités, Amazon Q télécharge des artefacts dans des compartiments Amazon AWS S3 appartenant au service. Si vous utilisez des périmètres de données pour contrôler l'accès à Amazon S3 dans votre environnement, vous devrez peut-être autoriser explicitement l'accès à ces compartiments pour utiliser les fonctionnalités Amazon Q correspondantes.

Le tableau suivant répertorie le ARN et URL de chacun des compartiments Amazon S3 auxquels Amazon Q doit accéder, ainsi que les fonctionnalités qui utilisent chaque compartiment. Vous pouvez utiliser le compartiment ARN ou le compartiment URL pour autoriser la mise en liste de ces compartiments, en fonction de la manière dont vous contrôlez l'accès à Amazon S3.

Compartiment Amazon S3 ARN Compartiment Amazon S3 URL Description

Compartiment Amazon S3 ARN	Compartiment Amazon S3 URL	Description
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Un compartiment Amazon S3 utilisé pour télécharger des artefacts pour les scans de code Amazon Q
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Un compartiment Amazon S3 utilisé pour télécharger des artefacts pour Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Un compartiment Amazon S3 utilisé pour télécharger des artefacts pour Amazon Q Developer Agent for software development


arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b


https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/

Un compartiment Amazon S3 utilisé pour télécharger des artefacts pour les scans de code Amazon Q


arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0


https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/

Un compartiment Amazon S3 utilisé pour télécharger des artefacts pour Amazon Q Developer Agent for code transformation


arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6


https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/

Un compartiment Amazon S3 utilisé pour télécharger des artefacts pour Amazon Q Developer Agent for software development

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment fonctionne Amazon Q avec IAM

Exemples de politiques basées sur une identité pour Amazon Q