翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Q Developer の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
管理者がユーザーにアクセス権を付与する最も簡単な方法は、 AWS マネージドポリシーを介した方法です。Amazon Q Developer の以下の AWS マネージドポリシーを IAM ID にアタッチできます。
-
AmazonQFullAccessは、管理者アクセスを含む、Amazon Q Developer とのやり取りを可能にするフルアクセスを、管理者アクセスを含めて提供します。 -
AmazonQDeveloperAccessは、Amazon Q Developer とのやり取りを可能にするフルアクセスを、管理者アクセスなしで提供します。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS AWS のサービス は、新しい が起動されたとき、または既存のサービスで新しい API オペレーションが利用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AmazonQFullAccess
AmazonQFullAccess マネージドポリシーは、組織のユーザーが Amazon Q Developer にアクセスすることを許可する管理者アクセスを提供します。また、IAM アイデンティティセンターでのログインや Amazon Q Developer Pro サブスクリプションによる Amazon Q へのアクセスなど、Amazon Q Developer とのやり取りを可能にするためのフルアクセスも提供します。
注記
Amazon Q サブスクリプション管理コンソールと Amazon Q Developer Pro コンソールで管理タスクを完了するためのフルアクセスを有効にするには、追加のアクセス許可が必要です。詳細については、「管理者用のアクセス許可」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQFullAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "q:StartTroubleshootingAnalysis", "q:GetTroubleshootingResults", "q:StartTroubleshootingResolutionExplanation", "q:UpdateTroubleshootingCommandResult", "q:GetIdentityMetadata", "q:CreateAssignment", "q:DeleteAssignment", "q:GenerateCodeFromCommands", "q:CreatePlugin", "q:GetPlugin", "q:DeletePlugin", "q:ListPlugins", "q:ListPluginProviders", "q:UsePlugin", "q:TagResource", "q:UntagResource", "q:ListTagsForResource" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "q.amazonaws.com" ] } } } ] }
AmazonQDeveloperAccess
AmazonQDeveloperAccess マネージドポリシーは、Amazon Q Developer とのやり取りを可能にするフルアクセスを、管理者アクセスなしで提供します。これには、Amazon Q Developer Pro サブスクリプションを通じて Amazon Q にアクセスするための IAM アイデンティティセンターへのログインアクセスが含まれます。
Amazon Q の一部の機能を使用するために、追加の許可が必要な場合があります。アクセス許可の詳細については、使用する機能のトピックを参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "q:StartTroubleshootingAnalysis", "q:StartTroubleshootingResolutionExplanation", "q:GetTroubleshootingResults", "q:UpdateTroubleshootingCommandResult", "q:GetIdentityMetaData", "q:GenerateCodeFromCommands", "q:UsePlugin" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" } ] }
AWSServiceRoleForAmazonQDeveloperPolicy
この AWS 管理ポリシーは、Amazon Q Developer を使用するために一般的に必要なアクセス許可を付与します。このポリシーは、Amazon Q にオンボーディングするときに作成される AWSServiceRoleForAmazonQDeveloper サービスリンクロールに追加されます。
ユーザーの IAM エンティティに AWSServiceRoleForAmazonQDeveloperPolicy をアタッチすることはできません。このポリシーは、Amazon Q がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Q Developer およびユーザーサブスクリプションでサービスリンクロールを使用する」を参照してください。
このポリシーは、請求/使用状況に対してメトリクスを発行する許可を管理者に付与します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
cloudwatch— プリンシパルが CloudWatch に請求 / 使用状況のメトリクスを発行することを許可します。これは、CloudWatch で Amazon Q の使用状況を追跡するために必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/Q" ] } } } ] }
他の AWS マネージドポリシーのコンテキストでこのポリシーを表示するには、AmazonQDeveloperPolicy」を参照してください。
AWSServiceRoleForUserSubscriptionPolicy
この AWS 管理ポリシーは、Amazon Q Developer を使用するために一般的に必要なアクセス許可を付与します。このポリシーは、Amazon Q サブスクリプションの作成時に作成される AWSServiceRoleForUserSubscriptions サービスリンクロールに追加されます。
ユーザーの IAM エンティティに AWSServiceRoleForUserSubscriptionPolicy をアタッチすることはできません。このポリシーは、Amazon Q がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Q Developer およびユーザーサブスクリプションでサービスリンクロールを使用する」を参照してください。
このポリシーは、Amazon Q サブスクリプションがアイデンティティセンターのリソースにアクセスし、サブスクリプションを自動的に更新できるようにします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
identitystore– サブスクリプションを自動的に更新できるように、プリンシパルにアイデンティティセンターのディレクトリの変更追跡を許可します。organizations– サブスクリプションを自動的に更新できるように、プリンシパルに AWS Organizations の変更追跡を許可します。sso– サブスクリプションを自動的に更新できるように、プリンシパルにアイデンティティセンターのインスタンスの変更追跡を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "identitystore:DescribeGroup", "identitystore:DescribeUser", "identitystore:IsMemberInGroups", "identitystore:ListGroupMemberships", "organizations:DescribeOrganization", "sso:DescribeApplication", "sso:DescribeInstance", "sso:ListInstances" ], "Resource": "*" } ] }
他の管理ポリシーのコンテキストでこの AWS ポリシーを表示するには、「AWSServiceRoleForUserSubscriptionPolicy」を参照してください。
ポリシーの更新
Amazon Q Developer の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動アラートを受け取るには、「Amazon Q Developer ユーザーガイドのドキュメント履歴」ページで RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonQDeveloperAccess – ポリシーを更新 |
Amazon Q Developer プラグインを使用できるように、アクセス許可が追加されました。 |
2024 年 11 月 13 日 |
|
AmazonQFullAccess – ポリシーを更新 |
Amazon Q Developer プラグインを設定して使用し、Amazon Q Developer リソースのタグを作成および管理するためのアクセス許可が追加されました。 |
2024 年 11 月 13 日 |
|
AmazonQDeveloperAccess – ポリシーを更新 |
Amazon Q で CLI コマンドからのコード生成を有効にするためのアクセス許可が追加されました。 |
2024 年 10 月 28 日 |
|
AmazonQFullAccess – ポリシーを更新 |
Amazon Q で CLI コマンドからのコード生成を有効にするためのアクセス許可が追加されました。 |
2024 年 10 月 28 日 |
|
AmazonQFullAccess – ポリシーを更新 |
Amazon Q がダウンストリームリソースにアクセスできるようにするためのアクセス許可が追加されました。 |
2024 年 7 月 9 日 |
|
AmazonQDeveloperAccess – 新しいポリシー |
管理者アクセスなしで Amazon Q Developer とのやり取りを有効にするためのフルアクセスを提供します。 |
2024 年 7 月 9 日 |
|
AmazonQFullAccess – ポリシーを更新 |
Amazon Q Developer のサブスクリプションチェックを有効にするためのアクセス許可が追加されました。 |
2024 年 4 月 30 日 |
|
AWSServiceRoleForUserSubscriptionPolicy – 新しいポリシー |
Amazon Q Subscriptions が AWS IAM アイデンティティセンターディレクトリ AWS Organizations 、ユーザーに代わって AWS IAM Identity Center、 の変更からサブスクリプションを自動的に更新できるようにします。 |
2024 年 4 月 30 日 |
|
AWSServiceRoleForAmazonQDeveloperPolicy – 新しいポリシー |
Amazon Q がユーザーに代わって Amazon CloudWatch と Amazon CodeGuru を呼び出すことを許可します。 |
2024 年 4 月 30 日 |
|
AmazonQFullAccess – 新しいポリシー |
Amazon Q Developer とのやり取りを可能にするフルアクセスを提供します。 |
2023 年 11 月 28 日 |
|
Amazon Q Developer が変更の追跡を開始 |
Amazon Q Developer が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 11 月 28 日 |
