Best practice per le policy Assegnazione delle autorizzazioni Gestisci l'accesso con SCPs Perimetri di dati per le risorse Amazon Q

Gestisci l'accesso ad Amazon Q Developer con policy

Nota

Le informazioni in questa pagina riguardano l'accesso ad Amazon Q Developer. Per informazioni sulla gestione dell'accesso ad Amazon Q Business, consulta gli esempi di policy basate sull'identità per Amazon Q Business nella Amazon Q Business User Guide.

Le politiche e gli esempi in questo argomento sono specifici di Amazon Q nel AWS sito Web AWS Management Console AWS Console Mobile Application, AWS Documentation, e AWS Chatbot. Altri servizi integrati con Amazon Q potrebbero richiedere policy o impostazioni diverse. Gli utenti finali di Amazon Q di terze parti non IDEs sono tenuti a utilizzare le policy IAM. Per ulteriori informazioni, consulta la documentazione del servizio che contiene una funzionalità o un'integrazione di Amazon Q.

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per utilizzare Amazon Q. Gli amministratori IAM possono gestire l'accesso ad Amazon Q Developer e alle sue funzionalità concedendo le autorizzazioni alle identità IAM.

Il modo più rapido per un amministratore di concedere l'accesso agli utenti è tramite una policy gestita. AWS La AmazonQFullAccess policy può essere allegata alle identità IAM per garantire l'accesso completo ad Amazon Q Developer e alle sue funzionalità. Per ulteriori informazioni su questa policy, consulta AWS politiche gestite per Amazon Q Developer.

Per gestire azioni specifiche che le identità IAM possono eseguire con Amazon Q Developer, gli amministratori possono creare policy personalizzate che definiscono le autorizzazioni di cui dispone un utente, un gruppo o un ruolo. Puoi anche utilizzare le policy di controllo del servizio (SCPs) per controllare quali funzionalità di Amazon Q sono disponibili nella tua organizzazione.

Per un elenco di tutte le autorizzazioni di Amazon Q che puoi controllare con le policy, consulta laRiferimento alle autorizzazioni di Amazon Q Developer.

Argomenti

Best practice per le policy
Assegnazione delle autorizzazioni
Gestisci l'accesso con le politiche di controllo del servizio (SCPs)
Perimetri di dati per le risorse Amazon Q
Esempi di policy basate sull'identità per Amazon Q Developer

Best practice per le policy

Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon Q Developer nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:

Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse è possibile aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l'utente IAM.
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Protezione dell'accesso API con MFA nella Guida per l'utente IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.

Assegnazione delle autorizzazioni

Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:

Utenti e gruppi in: AWS IAM Identity Center

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti in IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l'utente IAM.
Utenti IAM:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l'utente IAM.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente IAM.

Gestisci l'accesso con le politiche di controllo del servizio (SCPs)

Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. Puoi controllare quali funzionalità di Amazon Q Developer sono disponibili nella tua organizzazione creando un SCP che specifica le autorizzazioni per alcune o tutte le azioni di Amazon Q.

Per ulteriori informazioni sull'utilizzo SCPs per controllare l'accesso nella tua organizzazione, consulta Creazione, aggiornamento ed eliminazione delle politiche di controllo del servizio e Allegare e scollegare le politiche di controllo del servizio nella Guida per l'utente.AWS Organizations

Di seguito è riportato un esempio di SCP che nega l'accesso ad Amazon Q. Questa politica limita l'accesso alla chat di Amazon Q, alla risoluzione degli errori della console e alla risoluzione dei problemi di rete.

Nota

Il rifiuto dell'accesso ad Amazon Q non disattiverà l'icona o il pannello di chat di Amazon Q nella AWS console, nel AWS sito Web, nelle pagine di AWS documentazione o AWS Console Mobile Application.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Perimetri di dati per le risorse Amazon Q

Per alcune funzionalità, Amazon Q carica gli artefatti nei bucket Amazon S3 di AWS proprietà del servizio. Se utilizzi perimetri di dati per controllare l'accesso ad Amazon S3 nel tuo ambiente, potresti dover consentire esplicitamente l'accesso a questi bucket per utilizzare le funzionalità di Amazon Q corrispondenti.

La tabella seguente elenca l'ARN e l'URL di ciascuno dei bucket Amazon S3 a cui Amazon Q richiede l'accesso e le funzionalità che utilizzano ciascun bucket. Puoi utilizzare l'ARN del bucket o l'URL del bucket per inserire questi bucket nell'elenco consentito, a seconda di come controlli l'accesso ad Amazon S3.

ARN per bucket Amazon S3	URL del bucket Amazon S3	Descrizione
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Un bucket Amazon S3 utilizzato per caricare artefatti per le revisioni del codice Amazon Q
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Un bucket Amazon S3 utilizzato per caricare artefatti per Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Un bucket Amazon S3 utilizzato per caricare artefatti per Amazon Q Developer Agent for software development
`arn:aws:s3:::amazonq-test-generation-us-east-1-74b667808f2`	`https://amazonq-test-generation-us-east-1-74b667808f2.s3.us-east-1.amazonaws.com/`	Un bucket Amazon S3 utilizzato per caricare artefatti per Amazon Q Developer Agent per la generazione di unit test

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Funzionamento di Amazon Q con IAM

Esempi di policy basate sull'identità per Amazon Q