Amazon Q Developer の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS マネージドポリシーを介した方法です。Amazon Q Developer 向けの以下の AWS マネージドポリシーを IAM ID にアタッチできます。

AWS マネージドポリシーは、特定のユースケースに対して最小特権の許可を付与しない場合があることに注意してください。これは、すべての AWS 顧客が使用できる状態になっているためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AmazonQFullAccess

AmazonQFullAccess マネージドポリシーは、組織のユーザーが Amazon Q Developer にアクセスすることを許可する管理者アクセスを提供します。また、IAM アイデンティティセンターでのログインや Amazon Q Developer Pro サブスクリプションによる Amazon Q へのアクセスなど、Amazon Q Developer とのやり取りを可能にするためのフルアクセスも提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment",
                "q:GenerateCodeFromCommands"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

AmazonQDeveloperAccess

AmazonQDeveloperAccess マネージドポリシーは、Amazon Q Developer とのやり取りを可能にするフルアクセスを、管理者アクセスなしで提供します。これには、Amazon Q Developer Pro サブスクリプションを通じて Amazon Q にアクセスするための IAM アイデンティティセンターへのログインアクセスが含まれます。

Amazon Q の一部の機能を使用するために、追加の許可が必要な場合があります。アクセス許可の詳細については、使用する機能のトピックを参照してください。

{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData",
          "q:GenerateCodeFromCommands"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolicy

この AWS マネージドポリシーは、Amazon Q Developer を使用するために一般的に必要とされるアクセス許可を付与します。このポリシーは、Amazon Q にオンボーディングするときに作成される AWSServiceRoleForAmazonQDeveloper サービスリンクロールに追加されます。

ユーザーの IAM エンティティに AWSServiceRoleForAmazonQDeveloperPolicy をアタッチすることはできません。このポリシーは、Amazon Q がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Q Developer およびユーザーサブスクリプションでサービスリンクロールを使用する」を参照してください。

このポリシーは、請求/使用状況に対してメトリクスを発行する許可を管理者に付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

このポリシーを他の AWS マネージドポリシーのコンテキストで確認するには、「AmazonQDeveloperPolicy」を参照してください。

AWSServiceRoleForUserSubscriptionPolicy

この AWS マネージドポリシーは、Amazon Q Developer を使用するために一般的に必要とされるアクセス許可を付与します。このポリシーは、Amazon Q サブスクリプションの作成時に作成される AWSServiceRoleForUserSubscriptions サービスリンクロールに追加されます。

ユーザーの IAM エンティティに AWSServiceRoleForUserSubscriptionPolicy をアタッチすることはできません。このポリシーは、Amazon Q がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon Q Developer およびユーザーサブスクリプションでサービスリンクロールを使用する」を参照してください。

このポリシーは、Amazon Q サブスクリプションがアイデンティティセンターのリソースにアクセスし、サブスクリプションを自動的に更新できるようにします。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

このポリシーを他の AWS マネージドポリシーのコンテキストで確認するには、「AWSServiceRoleForUserSubscriptionPolicy」を参照してください。

ポリシーの更新

Amazon Q Developer の AWS マネージドポリシーへの更新に関する詳細を確認できます。ここに記載されているのは、Amazon Q Developer がこうした変更の追跡を開始した後の情報のみです。このページへの変更に関する自動アラートを受け取るには、「Amazon Q Developer ユーザーガイドのドキュメント履歴」ページで RSS フィードにサブスクライブしてください。