Autorizzazioni degli utenti - Amazon Q Developer
Consenti agli utenti di accedere ad Amazon Q con un abbonamento Amazon Q Developer ProConsenti ad Amazon Q l'accesso alle chiavi gestite dai clientiConsenti agli utenti di chattare con Amazon QConsenti agli utenti di utilizzare Amazon Q CLI con AWS CloudShellConsenti agli utenti di eseguire trasformazioni sulla riga di comandoConsenti agli utenti di diagnosticare gli errori della console con Amazon QConsenti agli utenti di generare codice dai comandi CLI con Amazon QConsenti agli utenti di chattare sulle risorse con Amazon QConsenti ad Amazon Q di eseguire azioni per tuo conto in chatNegare ad Amazon Q l'autorizzazione a eseguire azioni specifiche per tuo contoConsenti ad Amazon Q di eseguire azioni specifiche per tuo contoConsenti ad Amazon Q di eseguire azioni per tuo conto in regioni specificheNegare ad Amazon Q l'autorizzazione a eseguire azioni per tuo contoConsenti agli utenti di chattare con i plug-in di un providerConsenti agli utenti di chattare con un plug-in specificoRifiuto dell'accesso ad Amazon QConsenti agli utenti di visualizzare le proprie autorizzazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni degli utenti

Le seguenti politiche consentono agli utenti di accedere alle funzionalità di Amazon Q Developer su AWS app e siti Web.

Per le politiche che consentono l'accesso amministrativo ad Amazon Q Developer, consultaAutorizzazioni di amministratore.

Consenti agli utenti di accedere ad Amazon Q con un abbonamento Amazon Q Developer Pro

La seguente politica di esempio concede l'autorizzazione a utilizzare Amazon Q con un abbonamento Amazon Q Developer Pro. Senza queste autorizzazioni, gli utenti possono accedere solo al livello gratuito di Amazon Q. Per chattare con Amazon Q o utilizzare altre funzionalità di Amazon Q, gli utenti hanno bisogno di autorizzazioni aggiuntive, come quelle concesse dalle politiche di esempio in questa sezione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowGetIdentity",
            "Effect": "Allow",
            "Action": [
                "q:GetIdentityMetaData"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

Consenti ad Amazon Q l'accesso alle chiavi gestite dai clienti

La seguente politica di esempio concede agli utenti le autorizzazioni per accedere a funzionalità crittografate con una chiave gestita dal cliente, consentendo ad Amazon Q l'accesso alla chiave. Questa politica è necessaria per utilizzare Amazon Q se un amministratore ha configurato una chiave gestita dal cliente per la crittografia.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "QKMSDecryptGenerateDataKeyPermissions",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateDataKeyWithoutPlaintext",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo"
      ],
      "Resource": [
        "arn:aws:kms:{{region}}:{{account_id}}:key/[[key_id]]"
      ],
      "Condition": {
        "StringLike": {
            "kms:ViaService": [
                "q.{{region}}.amazonaws.com"
            ]
        }
      }
    }
  ]
}

Consenti agli utenti di chattare con Amazon Q

La seguente politica di esempio concede le autorizzazioni per chattare con Amazon Q nella console.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQConversationAccess",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations"
      ],
      "Resource": "*"
    }
  ]
}

Consenti agli utenti di utilizzare Amazon Q CLI con AWS CloudShell

La seguente politica di esempio concede le autorizzazioni per l'uso della CLI di Amazon Q con. AWS CloudShell

Nota

Il codewhisperer prefisso è un nome legacy di un servizio che si è unito ad Amazon Q Developer. Per ulteriori informazioni, consulta Amazon Q Developer rename - Riepilogo delle modifiche. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "codewhisperer:GenerateRecommendations", 
        "codewhisperer:ListCustomizations", 
      ],
      "Resource": "*"
    },
        {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage" 
      ],
      "Resource": "*"
    }
  ]
}

Consenti agli utenti di eseguire trasformazioni sulla riga di comando

La seguente politica di esempio concede le autorizzazioni per trasformare il codice con lo strumento a riga di comando Amazon Q per le trasformazioni.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "qdeveloper:StartAgentSession",
              "qdeveloper:ImportArtifact",
              "qdeveloper:ExportArtifact",
              "qdeveloper:TransformCode"
            ]
            "Resource": "*"
        }
    ]
}

Consenti agli utenti di diagnosticare gli errori della console con Amazon Q

La seguente politica di esempio concede le autorizzazioni per diagnosticare gli errori della console con Amazon Q.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQTroubleshooting",
      "Effect": "Allow",
      "Action": [
        "q:StartTroubleshootingAnalysis",
        "q:GetTroubleshootingResults",
        "q:StartTroubleshootingResolutionExplanation",
        "q:UpdateTroubleshootingCommandResult",
        "q:PassRequest",
        "cloudformation:GetResource"
      ],
      "Resource": "*"
    }
  ]
}

Consenti agli utenti di generare codice dai comandi CLI con Amazon Q

La seguente politica di esempio concede le autorizzazioni per generare codice dai comandi CLI registrati con Amazon Q, che consente l'uso della funzionalità. Console-to-Code

{
   "Version": "2012-10-17",
   "Statement": [
       {
         "Sid": "AllowAmazonQConsoleToCode",
         "Effect": "Allow",
         "Action": "q:GenerateCodeFromCommands",
         "Resource": "*"
       }
   ]
}

Consenti agli utenti di chattare sulle risorse con Amazon Q

La seguente politica di esempio concede l'autorizzazione a chattare con Amazon Q sulle risorse e consente ad Amazon Q di recuperare informazioni sulle risorse per tuo conto. Amazon Q è autorizzato ad accedere solo alle risorse per le quali la tua identità IAM dispone delle autorizzazioni. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
         "cloudformation:GetResource",
         "cloudformation:ListResources"
      ],
      "Resource": "*"
    }
  ]
}

Consenti ad Amazon Q di eseguire azioni per tuo conto in chat

La seguente politica di esempio concede l'autorizzazione a chattare con Amazon Q e consente ad Amazon Q di eseguire azioni per tuo conto. Amazon Q è autorizzata a eseguire solo azioni che la tua identità IAM è autorizzata a eseguire. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAmazonQPassRequest",
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    }
  ]
}

Negare ad Amazon Q l'autorizzazione a eseguire azioni specifiche per tuo conto

La seguente politica di esempio concede l'autorizzazione a chattare con Amazon Q e consente ad Amazon Q di eseguire per tuo conto qualsiasi azione che la tua identità IAM sia autorizzata a eseguire, ad eccezione EC2 delle azioni Amazon. Questa policy utilizza la chiave aws:CalledVia global condition per specificare che EC2 le azioni di Amazon vengono negate solo quando Amazon Q le chiama. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": "*",
      "Condition": {
            "ForAnyValue:StringEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    }
  ]
}

Consenti ad Amazon Q di eseguire azioni specifiche per tuo conto

La seguente policy di esempio concede l'autorizzazione a chattare con Amazon Q e consente ad Amazon Q di eseguire per tuo conto qualsiasi azione che la tua identità IAM sia autorizzata a eseguire, ad eccezione delle EC2 azioni Amazon. Questa policy concede alla tua identità IAM l'autorizzazione a eseguire qualsiasi EC2 azione Amazon, ma consente solo ad Amazon Q di eseguire l'ec2:describeInstancesazione. Questa politica utilizza la chiave di condizione aws:CalledVia globale per specificare che Amazon Q può solo effettuare chiamate ec2:describeInstances e non altre EC2 azioni Amazon.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": "*",
      "Condition": {
            "ForAnyValue:StringNotEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:describeInstances"
      ],
      "Resource": "*",
       "Condition": {
            "ForAnyValue:StringEquals": {
               "aws:CalledVia": ["q.amazonaws.com"]
            }
       }
    }
  ]
}

Consenti ad Amazon Q di eseguire azioni per tuo conto in regioni specifiche

La seguente politica di esempio concede l'autorizzazione a chattare con Amazon Q e consente ad Amazon Q di effettuare chiamate solo verso le us-west-2 regioni us-east-1 e quando esegue azioni per tuo conto. Amazon Q non può effettuare chiamate verso nessun'altra regione. Per ulteriori informazioni su come specificare le regioni verso cui effettuare chiamate, consulta aws: RequestedRegion nella Guida per l'AWS Identity and Access Management utente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "q:StartConversation",
        "q:SendMessage",
        "q:GetConversation",
        "q:ListConversations",
        "q:PassRequest"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
            "aws:RequestedRegion": [ 
                "us-east-1", 
                "us-west-2"
            ] 
        } 
      }
    }
  ]
}

Negare ad Amazon Q l'autorizzazione a eseguire azioni per tuo conto

La seguente politica di esempio impedisce ad Amazon Q di eseguire azioni per tuo conto.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQPassRequest",
      "Effect": "Deny",
      "Action": [
        "q:PassRequest"
      ],
      "Resource": "*"
    }
  ]
}

Consenti agli utenti di chattare con i plug-in di un provider

La seguente politica di esempio concede l'autorizzazione a chattare con qualsiasi plug-in di un determinato provider configurato da un amministratore, specificato dall'ARN del plug-in con un carattere jolly (). * Se il plug-in viene eliminato e riconfigurato, un utente con queste autorizzazioni manterrà l'accesso al plug-in appena configurato. Per utilizzare questo criterio, sostituisci quanto segue nell'ARN del Resource campo:

  • AWS-account-ID— L'ID dell' AWS account in cui è configurato il plug-in.

  • plugin-name— Il nome del plugin a cui vuoi consentire l'accesso, mi piace CloudZeroDatadog, oWiz. Il campo del nome del plugin distingue tra maiuscole e minuscole.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowAmazonQConversationAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "AllowPluginAccess",
            "Action": [
                "q:UsePlugin"
            ],
            "Resource": "arn:aws:q::AWS-account-ID:plugin/plugin-name/*"
            
        }
    ]
}

Consenti agli utenti di chattare con un plug-in specifico

La seguente politica di esempio concede il permesso di chattare con un plug-in specifico, specificato dal plugin ARN. Se il plug-in viene eliminato e riconfigurato, un utente non avrà accesso al nuovo plug-in a meno che l'ARN del plug-in non venga aggiornato in questa politica. Per utilizzare questo criterio, sostituisci quanto segue nell'ARN del Resource campo:

  • AWS-account-ID— L'ID dell' AWS account in cui è configurato il plug-in.

  • plugin-name— Il nome del plugin a cui vuoi consentire l'accesso, mi piace CloudZeroDatadog, oWiz. Il campo del nome del plugin distingue tra maiuscole e minuscole.

  • plugin-ARN— L'ARN del plugin a cui vuoi consentire l'accesso.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowAmazonQConversationAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "AllowPluginAccess",
            "Action": [
                "q:UsePlugin"
            ],
            "Resource": "arn:aws:q::AWS-account-ID:plugin/plugin-name/plugin-ARN"
            
        }
    ]
}

Rifiuto dell'accesso ad Amazon Q

La seguente policy di esempio nega tutte le autorizzazioni per l'uso di Amazon Q.

Nota

Il rifiuto dell'accesso ad Amazon Q non disattiverà l'icona o il pannello di chat di Amazon Q nella AWS console, nel AWS sito Web, nelle pagine di AWS documentazione o AWS Console Mobile Application.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Consenti agli utenti di visualizzare le proprie autorizzazioni

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}