Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Wiz est une plateforme de sécurité dans le cloud qui assure la gestion du niveau de sécurité, l'évaluation et la priorisation des risques, ainsi que la gestion des vulnérabilités. Si vous utilisez Wiz pour évaluer et surveiller vos AWS applications, vous pouvez utiliser le plugin dans le chat Amazon Q pour accéder aux informations provenant de Wiz sans quitter le AWS Management Console.
Vous pouvez utiliser le plugin pour identifier et récupérer Wiz les problèmes, évaluez vos actifs les plus risqués et comprenez les vulnérabilités ou les expositions. Après avoir reçu une réponse, vous pouvez poser des questions complémentaires, notamment sur la manière de résoudre un problème.
Pour configurer le plugin, vous devez fournir les informations d'authentification de votre Wiz compte pour activer une connexion entre Amazon Q et Wiz. Après avoir configuré le plugin, vous pouvez accéder Wiz statistiques en les ajoutant @wiz au début de votre question dans le chat Amazon Q.
Avertissement
Wiz les autorisations utilisateur ne sont pas détectées par Wiz plugin sur Amazon Q. Lorsqu'un administrateur configure le Wiz dans un AWS compte, les utilisateurs disposant d'autorisations de plug-in sur ce compte ont accès à toutes les ressources du Wiz compte récupérable par le plugin.
Vous pouvez configurer des politiques IAM pour limiter les plug-ins auxquels les utilisateurs ont accès. Pour de plus amples informations, veuillez consulter Configuration des autorisations utilisateur.
Prérequis
Ajout des autorisations
Pour configurer les plug-ins, les autorisations de niveau administrateur suivantes sont requises :
-
Autorisations d'accès à la console Amazon Q Developer. Pour un exemple de politique IAM qui accorde les autorisations nécessaires, voirAutoriser les administrateurs à utiliser la console Amazon Q Developer.
-
Autorisations pour configurer les plugins. Pour un exemple de politique IAM qui accorde les autorisations nécessaires, consultezAutoriser les administrateurs à configurer les plugins.
Acquérir des identifiants
Avant de commencer, notez les informations suivantes provenant de votre Wiz . Ces informations d'authentification seront stockées dans un AWS Secrets Manager secret lorsque vous configurerez le plugin.
-
URL du point de terminaison de l'API : URL à laquelle vous accédez Wiz. Par exemple,
https://api.us1.app.Wiz.io/graphql. Pour plus d'informations, consultez l'URL du point de terminaison de l'APIdans le Wiz . -
ID client et secret client : informations d'identification permettant à Amazon Q d'appeler Wiz APIs pour accéder à votre application. Pour plus d'informations, consultez les sections ID client et secret client
dans le Wiz .
Secrets et rôles de service
AWS Secrets Manager secret
Lorsque vous configurez le plugin, Amazon Q crée un nouveau AWS Secrets Manager secret que vous devez stocker Wiz informations d'authentification. Vous pouvez également utiliser un secret existant que vous avez créé vous-même.
Si vous créez vous-même un secret, assurez-vous qu'il inclut les informations d'identification suivantes et qu'il utilise le format JSON suivant :
{ "ClientId": "<your-client-id>", "ClientSecret": "<your-client-secret>" }
Pour plus d'informations sur la création de secrets, voir Création d'un secret dans le Guide de AWS Secrets Manager l'utilisateur.
Rôles de service
Pour configurer le Wiz dans Amazon Q Developer, vous devez créer un rôle de service qui autorise Amazon Q à accéder à votre secret Secrets Manager. Amazon Q assume ce rôle pour accéder au secret où se trouve votre Wiz les informations d'identification sont stockées.
Lorsque vous configurez le plugin dans la AWS console, vous avez la possibilité de créer un nouveau secret ou d'utiliser un secret existant. Si vous créez un nouveau secret, le rôle de service associé est créé pour vous. Si vous utilisez un secret existant et un rôle de service existant, assurez-vous que votre rôle de service contient ces autorisations et qu'il est assorti de la politique de confiance suivante. Le rôle de service requis dépend de votre méthode de chiffrement secrète.
Si votre secret est chiffré à l'aide d'une clé KMS AWS gérée, le rôle de service IAM suivant est requis :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
}
]
}Si votre secret est chiffré à l'aide d'une AWS KMS clé gérée par le client, le rôle de service IAM suivant est requis :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:{{region}}:{{accountId}}:secret:{{secretId}}"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.{{region}}.amazonaws.com"
}
}
}
]
}Pour permettre à Amazon Q d'assumer le rôle de service, celui-ci doit respecter la politique de confiance suivante :
Note
Le codewhisperer préfixe est un ancien nom issu d'un service fusionné avec Amazon Q Developer. Pour de plus amples informations, veuillez consulter Changement du nom du développeur Amazon Q - Résumé des modifications.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{accountId}}",
"aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
}
}
}
]
}Pour plus d'informations sur les rôles de service, voir Créer un rôle pour déléguer des autorisations à un AWS service dans le Guide de AWS Identity and Access Management l'utilisateur.
Configurez le Wiz .
Vous configurez les plug-ins dans la console Amazon Q Developer. Amazon Q utilise les informations d'identification stockées dans le AWS Secrets Manager site pour permettre les interactions avec Wiz.
Pour configurer le Wiz plugin, effectuez la procédure suivante :
-
Ouvrez la console Amazon Q Developer sur le site du https://console.aws.amazon.com/amazonq/développeur/à la maison
-
Sur la page d'accueil de la console Amazon Q Developer, sélectionnez Paramètres.
-
Dans la barre de navigation, choisissez Plugins.
-
Sur la page des plugins, choisissez le signe plus sur le Wizpanneau. La page de configuration du plugin s'ouvre.
-
Pour l'URL du point de terminaison de l'API, entrez l'URL du point de terminaison de l'API auquel vous accédez Wiz.
-
Pour Configurer AWS Secrets Manager, choisissez Créer un nouveau secret ou Utiliser un secret existant. Le secret du Secrets Manager est l'endroit où vous Wiz les informations d'authentification seront stockées.
Si vous créez un nouveau secret, entrez les informations suivantes :
-
Dans le champ ID client, entrez l'ID client de votre Wiz .
-
Dans le champ Client Secret, entrez le Client Secret pour votre Wiz .
-
Un rôle de service sera créé qu'Amazon Q utilisera pour accéder au secret où se trouve votre Wiz les informations d'identification sont stockées. Ne modifiez pas le rôle de service créé pour vous.
Si vous utilisez un secret existant, choisissez-en un dans le menu déroulant des AWS Secrets Manager secrets. Le secret doit inclure Wiz les informations d'authentification spécifiées à l'étape précédente.
Pour plus d'informations sur les informations d'identification requises, consultezAcquérir des identifiants .
-
-
Pour Configurer le rôle de service AWS IAM, choisissez Créer un nouveau rôle de service ou Utiliser un rôle de service existant.
Note
Si vous avez choisi Créer un nouveau secret pour l'étape 6, vous ne pouvez pas utiliser un rôle de service existant. Un nouveau rôle sera créé pour vous.
Si vous créez un nouveau rôle de service, un rôle de service sera créé qu'Amazon Q utilisera pour accéder au secret où se trouve votre Wiz les informations d'identification sont stockées. Ne modifiez pas le rôle de service créé pour vous.
Si vous utilisez un rôle de service existant, choisissez-en un dans le menu déroulant qui apparaît. Assurez-vous que votre rôle de service dispose des autorisations et de la politique de confiance définies dansRôles de service.
-
Choisissez Save configuration.
-
Après le Wiz le panneau du plugin apparaît dans la section Plugins configurés de la page Plugins, les utilisateurs auront accès au plugin.
Si vous souhaitez mettre à jour les informations d'identification d'un plugin, vous devez supprimer le plugin actuel et en configurer un nouveau. La suppression d'un plugin entraîne la suppression de toutes les spécifications précédentes. Chaque fois que vous configurez un nouveau plugin, un nouvel ARN de plugin est généré.
Configuration des autorisations utilisateur
Pour utiliser les plugins, les autorisations suivantes sont requises :
-
Autorisations pour discuter avec Amazon Q dans la console. Pour un exemple de politique IAM qui accorde les autorisations nécessaires pour discuter, voirAutoriser les utilisateurs à discuter avec Amazon Q.
-
L'
q:UsePluginautorisation.
Lorsque vous accordez à une identité IAM l'accès à un Wiz plugin, l'identité accède à toutes les ressources du Wiz compte récupérable par le plugin. Wiz les autorisations des utilisateurs ne sont pas détectées par le plugin. Si vous souhaitez contrôler l'accès à un plugin, vous pouvez le faire en spécifiant son ARN dans une politique IAM.
Chaque fois que vous créez ou supprimez et reconfigurez un plugin, un nouvel ARN lui est attribué. Si vous utilisez un ARN de plugin dans une politique, celui-ci devra être mis à jour si vous souhaitez autoriser l'accès au plugin nouvellement configuré.
Pour localiser le Wiz ARN du plugin, rendez-vous sur la page Plugins de la console Amazon Q Developer et choisissez le Wiz . Sur la page de détails du plugin, copiez l'ARN du plugin. Vous pouvez ajouter cet ARN à une politique pour autoriser ou refuser l'accès au Wiz .
Si vous créez une politique pour contrôler l'accès à Wiz plugins, spécifiez Wiz le nom du plugin dans la politique.
Pour des exemples de politiques IAM qui contrôlent l'accès aux plug-ins, consultezPermettre aux utilisateurs de discuter avec les plugins d'un seul fournisseur.
Discutez avec Wiz .
Pour utiliser Amazon Q Wiz plugin, entrez @Wiz au début d'une question concernant votre Wiz problèmes. Les questions de suivi ou les réponses aux questions d'Amazon Q doivent également inclure@Wiz.
Voici quelques exemples de cas d'utilisation et de questions connexes que vous pouvez poser pour tirer le meilleur parti d'Amazon Q Wiz :
-
Afficher les problèmes d'une gravité critique — Ask the Amazon Q Wiz plugin pour répertorier vos problèmes critiques ou très graves. Le plugin peut renvoyer jusqu'à 10 problèmes. Vous pouvez également demander à répertorier les 10 problèmes les plus graves.
-
@wiz what are my critical severity issues? -
@wiz can you specify the top 5?
-
-
Répertoriez les problèmes en fonction de leur date ou de leur statut : demandez à répertorier les problèmes en fonction de leur date de création, de leur date d'échéance ou de leur date de résolution. Vous pouvez également spécifier les problèmes en fonction de propriétés telles que le statut, la gravité et le type.
-
@wiz which issues are due before <date>? -
@wiz what are my issues that have been resolved since <date>?
-
-
Évaluez les problèmes liés aux failles de sécurité : renseignez-vous sur les vulnérabilités ou les risques qui constituent une menace pour la sécurité de vos problèmes.
-
@wiz which issues are associated with vulnerabilities or external exposures?
-
