Amazon Q Developer Datadog プラグインの設定 - Amazon Q Developer
前提条件シークレットとサービスロールDatadog プラグインを設定するユーザーアクセス許可を設定するDatadog プラグインとチャットする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer Datadog プラグインの設定

Datadog は、インフラストラクチャ、アプリケーション、ネットワークのモニタリングと分析を提供するモニタリングおよびセキュリティプラットフォームです。Datadog を使用して AWS アプリケーションをモニタリングする場合は、Amazon Q Developer チャットの Datadogプラグインを使用して、 を離れることなくモニタリング情報にアクセスできます AWS Management Console。

Datadog プラグインを使用して、 について学びDatadog、 AWS サービスとの連携方法を理解し、Datadogケースやモニターについて質問できます。回答を受け取ったら、問題に対処する方法やDatadogリソースの詳細など、フォローアップの質問をすることができます。

プラグインを設定するには、Datadogアカウントから認証情報を指定して、Amazon Q と 間の接続を有効にしますDatadog。プラグインを設定したら、Amazon Q チャットで質問の先頭@datadogに を追加してDatadogメトリクスにアクセスできます。

警告

Datadog ユーザーアクセス許可は Amazon Q のDatadogプラグインでは検出されません。管理者が AWS アカウントのDatadogプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なDatadogアカウントの任意のリソースにアクセスできます。

IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「ユーザーアクセス許可を設定する」を参照してください。

前提条件

アクセス許可を追加する

プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。

認証情報を取得する

開始する前に、 Datadog アカウントの次の情報を書き留めます。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。

  • サイト URL – 使用するDatadogサイトの URL。例えば、https://us3.datadoghq.com と指定します。詳細については、 DatadogドキュメントのDatadog「サイトの開始方法」を参照してください。

  • API キーとアプリケーションキー – Amazon Q が Datadog API を呼び出してイベントとメトリクスにアクセスできるようにするアクセスキー。これらは、Datadogアカウントの組織設定にあります。詳細については、 Datadogドキュメントの「API とアプリケーションキー」を参照してください。

シークレットとサービスロール

AWS Secrets Manager シークレット

プラグインを設定すると、Amazon Q はDatadog認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。

シークレットを自分で作成する場合は、次の認証情報が含まれ、次の JSON 形式を使用していることを確認してください。

{ 
   "ApiKey": "<your-api-key>", 
   "AppKey": "<your-applicaiton-key>" 
}

シークレットの作成の詳細については、「 AWS Secrets Manager ユーザーガイド」の「シークレットの作成」を参照してください。

サービス役割

Amazon Q Developer でDatadogプラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Datadog認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。

AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連するサービスロールが作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。

シークレットが マネージド KMS キーで暗号化されている場合は AWS 、次の IAM サービスロールが必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}
表示を増やす表示を減らす

シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:{{region}}:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.{{region}}.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

Amazon Q がサービスロールを引き受けることを許可するには、サービスロールに次の信頼ポリシーが必要です。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名称変更 - 変更の概要」を参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}
表示を増やす表示を減らす

サービスロールの詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

Datadog プラグインを設定する

Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 に保存されている認証情報 AWS Secrets Manager を使用して、 とのやり取りを有効にしますDatadog。

Datadog プラグインを設定するには、次の手順を実行します。

  1. https://console.aws.amazon.com/amazonq/developer/home で Amazon Q Developer コンソールを開きます。

  2. Amazon Q Developer コンソールのホームページで、設定を選択します。

  3. ナビゲーションバーで、プラグインを選択します。

  4. プラグインページで、Datadogパネルのプラス記号を選択します。プラグイン設定ページが開きます。

  5. サイト URL には、使用するDatadogサイトの URL を入力します。

  6. 設定 AWS Secrets Manager で、新しいシークレットを作成する または既存のシークレットを使用する を選択します。Secrets Manager シークレットは、Datadog認証情報が保存される場所です。

    新しいシークレットを作成する場合は、次の情報を入力します。

    1. Datadog API キーには、Datadog組織の API キーを入力します。

    2. Datadog アプリケーションキーには、Datadogアカウントのアプリケーションキーを入力します。

    3. Amazon Q がDatadog認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成されたサービスロールを編集しないでください。

    既存のシークレットを使用する場合は、シークレットドロップダウンメニューからAWS Secrets Manager シークレットを選択します。シークレットには、前のステップで指定したDatadog認証情報が含まれている必要があります。

    必要な認証情報の詳細については、「認証情報を取得する 」を参照してください。

  7. AWS IAM サービスロールを設定する で、新しいサービスロールを作成する または既存のサービスロールを使用する を選択します。

    注記

    ステップ 6 で新しいシークレットを作成するを選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。

    新しいサービスロールを作成すると、Amazon Q がDatadog認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成されたサービスロールを編集しないでください。

    既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、 で定義されているアクセス許可と信頼ポリシーがあることを確認しますサービス役割

  8. [設定の保存] を選択します。

  9. Datadog プラグインページの「設定済みプラグイン」セクションにプラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。

プラグインの認証情報を更新する場合は、現在のプラグインを削除し、新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。

ユーザーアクセス許可を設定する

プラグインを使用するには、次のアクセス許可が必要です。

  • コンソールで Amazon Q とチャットするためのアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「」を参照してくださいユーザーに Amazon Q とのチャットを許可する

  • q:UsePlugin アクセス許可

IAM ID に設定されたDatadogプラグインへのアクセスを許可すると、ID はプラグインによって取得可能なDatadogアカウント内のリソースへのアクセスを取得します。 Datadogユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御する場合は、IAM ポリシーでプラグイン ARN を指定することで制御できます。

プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合は、新しく設定されたプラグインへのアクセスを許可する場合は、そのプラグインを更新する必要があります。

Datadog プラグイン ARN を見つけるには、Amazon Q Developer コンソールのプラグインページに移動し、設定されたDatadogプラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Datadogプラグインへのアクセスを許可または拒否できます。

Datadog プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーのプラグイン名Datadogに を指定します。

プラグインアクセスを制御する IAM ポリシーの例については、「」を参照してください1 つのプロバイダーのプラグインとのチャットをユーザーに許可する

Datadog プラグインとチャットする

Datadog プラグインを使用するには、 Datadog または AWS アプリケーションモニターとケースに関する質問の冒@datadog頭に「」と入力します。Amazon Q からのフォローアップの質問または質問への回答には、 も含める必要があります@datadog

以下は、Amazon Q Datadogプラグインを最大限に活用するためのユースケースの例と関連する質問です。

  • ワークロードでの Datadog機能の使用について – 機能が特定の サービスとどのように連携するかについて質問します AWS 。 Datadog AWS Amazon Q は、最善の回答を提供するために何をしようとしているかについて、さらに詳しく尋ねる場合があります。

    • @datadog how do I use APM on EC2?

  • ケースとモニターの取得と要約 – 特定のケースやモニターについて質問するか、プロパティを指定して、モニターや、作成日、ステータス、作成者などのケースに関する情報を取得します。プロパティの詳細については、 Datadogドキュメントの「プロパティ」を参照してください。

    • @datadog summarize the global outage case

    • @datadog summarize my top cases

  • アラーム状態のモニターを確認する – Amazon Q Datadogプラグインに、アラーム状態の AWS アプリケーションモニターを見つけるよう依頼します。リストされているモニターに関する質問をフォローアップできます。

    • @datadog what monitors are in alarm?

    • @datadog what is the status for monitor <monitor ID>?