翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Q Developer の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
管理者がユーザーにアクセス権を付与する最も簡単な方法は、 AWS マネージドポリシーを介した方法です。Amazon Q Developer の以下の AWS マネージドポリシーを ID IAM にアタッチできます。
-
AmazonQFullAccessは、管理者アクセスなど、Amazon Q デベロッパーとのやり取りを可能にするためのフルアクセスを提供します。 -
AmazonQDeveloperAccessは、管理者アクセスなしで Amazon Q Developer とのインタラクションを有効にするためのフルアクセスを提供します。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 AWS サービス は、新しい AWS が起動されるか、既存のサービスで新しいAPIオペレーションが使用可能になると、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーIAM」を参照してください。
AmazonQFullAccess
AmazonQFullAccess 管理ポリシーは、組織内のユーザーが Amazon Q Developer にアクセスできるようにする管理者アクセスを提供します。また、IAMIdentity Center でログインして Amazon Q Developer Pro サブスクリプションを介して Amazon Q にアクセスするなど、Amazon Q Developer とのやり取りを可能にするためのフルアクセスも提供します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQFullAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "q:StartTroubleshootingAnalysis", "q:GetTroubleshootingResults", "q:StartTroubleshootingResolutionExplanation", "q:UpdateTroubleshootingCommandResult", "q:GetIdentityMetadata", "q:CreateAssignment", "q:DeleteAssignment" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" } ] }
AmazonQDeveloperAccess
AmazonQDeveloperAccess 管理ポリシーは、管理者アクセスなしで Amazon Q Developer とのやり取りを有効にするためのフルアクセスを提供します。これには、IAMIdentity Center でログインして Amazon Q Developer Pro サブスクリプションを介して Amazon Q にアクセスするアクセスが含まれます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "q:StartTroubleshootingAnalysis", "q:StartTroubleshootingResolutionExplanation", "q:GetTroubleshootingResults", "q:UpdateTroubleshootingCommandResult", "q:GetIdentityMetaData" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" } ] }
AWSServiceRoleForAmazonQDeveloperPolicy
この AWS 管理ポリシーは、Amazon Q Developer を使用するために一般的に必要なアクセス許可を付与します。このポリシーは、Amazon Q にオンボードするときに作成される AWSServiceRoleForAmazonQDeveloper サービスにリンクされたロールに追加されます。
IAM エンティティ AWSServiceRoleForAmazonQDeveloperPolicy に をアタッチすることはできません。このポリシーは、Amazon Q がユーザーに代わってアクションを実行することを許可するサービスにリンクされたロールにアタッチされます。詳細については、「Amazon Q デベロッパーサブスクリプションとユーザーサブスクリプションのサービスにリンクされたロールの使用」を参照してください。
このポリシーでは、administrator 請求/使用状況のメトリクスの発行を許可する アクセス許可。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
cloudwatch— プリンシパルが請求/使用状況 CloudWatch の使用状況メトリクスを に発行できるようにします。これは、 で Amazon Q の使用状況を追跡するために必要です CloudWatch。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/Q" ] } } } ] }
他の AWS 管理ポリシーのコンテキストでこのポリシーを表示するには、「ポリシーmazonQDeveloper」を参照してください。
AWSServiceRoleForUserSubscriptionPolicy
この AWS 管理ポリシーは、Amazon Q Developer を使用するために一般的に必要なアクセス許可を付与します。ポリシーは、Amazon Q サブスクリプションの作成時に作成される AWSServiceRoleForUserSubscriptions サービスにリンクされたロールに追加されます。
IAM エンティティ AWSServiceRoleForUserSubscriptionPolicy に をアタッチすることはできません。このポリシーは、Amazon Q がユーザーに代わってアクションを実行することを許可するサービスにリンクされたロールにアタッチされます。詳細については、「Amazon Q デベロッパーサブスクリプションとユーザーサブスクリプションのサービスにリンクされたロールの使用」を参照してください。
このポリシーは、Amazon Q サブスクリプションに Identity Center リソースへのアクセスを提供し、サブスクリプションを自動的に更新します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
identitystore— プリンシパルが Identity Center ディレクトリの変更を追跡して、サブスクリプションを自動的に更新できるようにします。organizations— プリンシパルが AWS Organizations の変更を追跡して、サブスクリプションを自動的に更新できるようにします。sso— プリンシパルが Identity Center インスタンスの変更を追跡して、サブスクリプションを自動的に更新できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "identitystore:DescribeGroup", "identitystore:DescribeUser", "identitystore:IsMemberInGroups", "identitystore:ListGroupMemberships", "organizations:DescribeOrganization", "sso:DescribeApplication", "sso:DescribeInstance", "sso:ListInstances" ], "Resource": "*" } ] }
他の AWS 管理ポリシーのコンテキストでこのポリシーを表示するには、「」を参照してくださいAWSServiceRoleForUserSubscriptionPolicy。
ポリシーの更新
Amazon Q Developer の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動アラートについては、Amazon Q デベロッパーユーザーガイドのドキュメント履歴ページのRSSフィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonQFullAccess – Updated policy |
Amazon Q がダウンストリームリソースにアクセスできるようにするためのアクセス許可が追加されました。 |
2024 年 7 月 9 日 |
|
AmazonQDeveloperAccess – 新しいポリシー |
管理者アクセスなしで、Amazon Q Developer とのインタラクションを有効にするためのフルアクセスを提供します。 |
2024 年 7 月 9 日 |
|
AmazonQFullAccess – Updated policy |
Amazon Q Developer のサブスクリプションチェックを有効にするためのアクセス許可が追加されました。 |
2024 年 4 月 30 日 |
|
AWSServiceRoleForUserSubscriptionPolicy – 新しいポリシー |
Amazon Q サブスクリプションが、 AWS IAM アイデンティティセンターディレクトリ AWS Organizations ユーザーに代わって AWS IAM Identity Centerの変更からサブスクリプションを自動的に更新できるようにします。 |
2024 年 4 月 30 日 |
|
AWSServiceRoleForAmazonQDeveloperPolicy – 新しいポリシー |
Amazon Q がユーザーに代わって Amazon CloudWatch と Amazon CodeGuru を呼び出すことを許可します。 |
2024 年 4 月 30 日 |
|
AmazonQFullAccess – 新しいポリシー |
Amazon Q デベロッパーとのインタラクションを有効にするためのフルアクセスを提供します。 |
2023 年 11 月 28 日 |
|
Amazon Q Developer が変更の追跡を開始しました |
Amazon Q Developer が AWS マネージドポリシーの変更の追跡を開始しました。 |
2023 年 11 月 28 日 |
