Izin pengguna - Amazon Q Developer
Izinkan pengguna mengakses Amazon Q dengan langganan Amazon Q Developer ProIzinkan Amazon Q mengakses kunci yang dikelola pelangganIzinkan pengguna untuk mengobrol dengan Amazon QIzinkan pengguna menggunakan Amazon Q CLI dengan AWS CloudShellIzinkan pengguna menjalankan transformasi pada baris perintahIzinkan pengguna mendiagnosis kesalahan konsol dengan Amazon QIzinkan pengguna untuk menghasilkan kode dari perintah CLI dengan Amazon QIzinkan pengguna untuk mengobrol tentang sumber daya dengan Amazon QIzinkan Amazon Q melakukan tindakan atas nama Anda dalam obrolanTolak izin Amazon Q untuk melakukan tindakan tertentu atas nama AndaIzinkan izin Amazon Q untuk melakukan tindakan tertentu atas nama AndaIzinkan izin Amazon Q untuk melakukan tindakan atas nama Anda di wilayah tertentuTolak izin Amazon Q untuk melakukan tindakan atas nama AndaIzinkan pengguna untuk mengobrol dengan plugin dari satu penyediaIzinkan pengguna untuk mengobrol dengan plugin tertentuTolak akses ke Amazon QMemungkinkan pengguna untuk melihat izin mereka

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin pengguna

Kebijakan berikut memungkinkan pengguna mengakses fitur Pengembang Amazon Q di AWS aplikasi dan situs web.

Untuk kebijakan yang mengaktifkan akses administratif ke Pengembang Amazon Q, lihatIzin administrator.

Izinkan pengguna mengakses Amazon Q dengan langganan Amazon Q Developer Pro

Contoh kebijakan berikut memberikan izin untuk menggunakan Amazon Q dengan langganan Amazon Q Developer Pro. Tanpa izin ini, pengguna hanya dapat mengakses tingkat Gratis Amazon Q. Untuk mengobrol dengan Amazon Q atau menggunakan fitur Amazon Q lainnya, pengguna memerlukan izin tambahan, seperti yang diberikan oleh kebijakan contoh di bagian ini.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetIdentity",
            "Effect": "Allow",
            "Action": [
                "q:GetIdentityMetaData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

Izinkan Amazon Q mengakses kunci yang dikelola pelanggan

Contoh kebijakan berikut memberikan izin kepada pengguna untuk mengakses fitur yang dienkripsi dengan kunci yang dikelola pelanggan dengan mengizinkan Amazon Q mengakses kunci tersebut. Kebijakan ini diperlukan untuk menggunakan Amazon Q jika administrator telah menyiapkan kunci terkelola pelanggan untuk enkripsi.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "QKMSDecryptGenerateDataKeyPermissions",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo"
      ],
      "Resource": [
        "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
      ],
      "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "q.{{region}}.amazonaws.com"
            ]
        }
      }
    }
  ]
}

Izinkan pengguna untuk mengobrol dengan Amazon Q

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan Amazon Q di konsol.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQConversationAccess",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations"
      ],
      "Resource": "*"
    }
  ]
}

Izinkan pengguna menggunakan Amazon Q CLI dengan AWS CloudShell

Contoh kebijakan berikut memberikan izin untuk menggunakan Amazon Q CLI dengan. AWS CloudShell

catatan

codewhispererAwalan adalah nama lama dari layanan yang digabungkan dengan Amazon Q Developer. Untuk informasi selengkapnya, lihat Ganti nama Pengembang Amazon Q - Ringkasan perubahan. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codewhisperer:GenerateRecommendations", 
        "codewhisperer:ListCustomizations", 
      ],
      "Resource": "*"
    },
        {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage" 
      ],
      "Resource": "*"
    }
  ]
}

Izinkan pengguna menjalankan transformasi pada baris perintah

Contoh kebijakan berikut memberikan izin untuk mengubah kode dengan alat baris perintah Amazon Q untuk transformasi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "qdeveloper:StartAgentSession",
              "qdeveloper:ImportArtifact",
              "qdeveloper:ExportArtifact",
              "qdeveloper:TransformCode"
            ]
            "Resource": "*"
        }
    ]
}

Izinkan pengguna mendiagnosis kesalahan konsol dengan Amazon Q

Contoh kebijakan berikut memberikan izin untuk mendiagnosis kesalahan konsol dengan Amazon Q.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQTroubleshooting",
      "Effect": "Allow",
      "Action": [
        "q:StartTroubleshootingAnalysis",
        "q:GetTroubleshootingResults",
        "q:StartTroubleshootingResolutionExplanation",
        "q:UpdateTroubleshootingCommandResult",
        "q:PassRequest",
        "cloudformation:GetResource"
      ],
      "Resource": "*"
    }
  ]
}

Izinkan pengguna untuk menghasilkan kode dari perintah CLI dengan Amazon Q

Contoh kebijakan berikut memberikan izin untuk menghasilkan kode dari perintah CLI yang direkam dengan Amazon Q, yang memungkinkan penggunaan fitur. Console-to-Code

{
   "Version": "2012-10-17",
   "Statement": [
       {
         "Sid": "AllowAmazonQConsoleToCode",
         "Effect": "Allow",
         "Action": "q:GenerateCodeFromCommands",
         "Resource": "*"
       }
   ]
}

Izinkan pengguna untuk mengobrol tentang sumber daya dengan Amazon Q

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan Amazon Q tentang sumber daya, dan memungkinkan Amazon Q untuk mengambil informasi sumber daya atas nama Anda. Amazon Q hanya memiliki izin untuk mengakses sumber daya yang memiliki izin identitas IAM Anda. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
         "cloudformation:GetResource",
         "cloudformation:ListResources"
      ],
      "Resource": "*"
    }
  ]
}

Izinkan Amazon Q melakukan tindakan atas nama Anda dalam obrolan

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan Amazon Q, dan memungkinkan Amazon Q untuk melakukan tindakan atas nama Anda. Amazon Q hanya memiliki izin untuk melakukan tindakan yang diizinkan oleh identitas IAM Anda. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    }
  ]
}

Tolak izin Amazon Q untuk melakukan tindakan tertentu atas nama Anda

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan Amazon Q, dan memungkinkan Amazon Q untuk melakukan tindakan apa pun atas nama Anda yang identitas IAM Anda memiliki izin untuk melakukan, kecuali untuk tindakan Amazon EC2 . Kebijakan ini menggunakan kunci kondisi aws:CalledVia global untuk menentukan bahwa EC2 tindakan Amazon hanya ditolak saat Amazon Q memanggilnya. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": "*",
      "Condition": {
            "ForAnyValue:StringEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    }
  ]
}

Izinkan izin Amazon Q untuk melakukan tindakan tertentu atas nama Anda

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan Amazon Q, dan memungkinkan Amazon Q melakukan tindakan apa pun atas nama Anda yang diizinkan oleh identitas IAM Anda, kecuali tindakan Amazon EC2 . Kebijakan ini memberikan izin identitas IAM Anda untuk melakukan EC2 tindakan Amazon apa pun, tetapi hanya mengizinkan Amazon Q untuk melakukan tindakan tersebutec2:describeInstances. Kebijakan ini menggunakan kunci kondisi aws:CalledVia global untuk menentukan bahwa Amazon Q hanya diizinkan untuk meneleponec2:describeInstances, dan bukan EC2 tindakan Amazon lainnya.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": "*",
      "Condition": {
            "ForAnyValue:StringNotEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:describeInstances"
      ],
      "Resource": "*",
       "Condition": {
            "ForAnyValue:StringEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    }
  ]
}

Izinkan izin Amazon Q untuk melakukan tindakan atas nama Anda di wilayah tertentu

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan Amazon Q, dan memungkinkan Amazon Q untuk melakukan panggilan hanya ke us-west-2 Wilayah us-east-1 dan saat melakukan tindakan atas nama Anda. Amazon Q tidak dapat melakukan panggilan ke Wilayah lain mana pun. Untuk informasi selengkapnya tentang cara menentukan Wilayah yang dapat Anda hubungi, lihat aws: RequestedRegion di Panduan AWS Identity and Access Management Pengguna.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": [ 
                "us-east-1", 
                "us-west-2"
            ] 
        } 
      }
    }
  ]
}

Tolak izin Amazon Q untuk melakukan tindakan atas nama Anda

Contoh kebijakan berikut mencegah Amazon Q melakukan tindakan atas nama Anda.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQPassRequest",
      "Effect": "Deny",
      "Action": [
        "q:PassRequest"
      ],
      "Resource": "*"
    }
  ]
}

Izinkan pengguna untuk mengobrol dengan plugin dari satu penyedia

Contoh kebijakan berikut memberikan izin untuk mengobrol dengan plugin apa pun dari penyedia tertentu yang dikonfigurasi administrator, yang ditentukan oleh plugin ARN dengan karakter wildcard (). * Jika plugin dihapus dan dikonfigurasi ulang, pengguna dengan izin ini akan mempertahankan akses ke plugin yang baru dikonfigurasi. Untuk menggunakan kebijakan ini, ganti yang berikut ini di ARN di Resource bidang:

  • AWS-account-ID— ID AWS akun akun tempat plugin Anda dikonfigurasi.

  • plugin-name— Nama plugin yang ingin Anda akses, seperti, CloudZeroDatadog, atauWiz. Bidang nama plugin peka huruf besar/kecil.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowAmazonQConversationAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "AllowPluginAccess",
            "Action": [
                "q:UsePlugin"
            ],
            "Resource": "arn:aws:q::AWS-account-ID:plugin/plugin-name/*"
            
        }
    ]
}

Izinkan pengguna untuk mengobrol dengan plugin tertentu

Contoh kebijakan berikut memberikan izin untuk chatting dengan plugin tertentu, yang ditentukan oleh plugin ARN. Jika plugin dihapus dan dikonfigurasi ulang, pengguna tidak akan memiliki akses ke plugin baru kecuali plugin ARN diperbarui dalam kebijakan ini. Untuk menggunakan kebijakan ini, ganti yang berikut ini di ARN di Resource bidang:

  • AWS-account-ID— ID AWS akun akun tempat plugin Anda dikonfigurasi.

  • plugin-name— Nama plugin yang ingin Anda akses, seperti, CloudZeroDatadog, atauWiz. Bidang nama plugin peka huruf besar/kecil.

  • plugin-ARN— ARN dari plugin yang ingin Anda akses.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowAmazonQConversationAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "AllowPluginAccess",
            "Action": [
                "q:UsePlugin"
            ],
            "Resource": "arn:aws:q::AWS-account-ID:plugin/plugin-name/plugin-ARN"
            
        }
    ]
}

Tolak akses ke Amazon Q

Contoh kebijakan berikut menolak semua izin untuk menggunakan Amazon Q.

catatan

Menolak akses ke Amazon Q tidak akan menonaktifkan ikon Amazon Q atau panel obrolan di AWS konsol, AWS situs web, halaman AWS dokumentasi, atau AWS Console Mobile Application.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Memungkinkan pengguna untuk melihat izin mereka

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}