翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Q Developer プラグインの使用
Amazon Q Developer はサードパーティーのモニタリングツールやセキュリティプラットフォームと統合されているため、 AWS ビルダー環境を離れることなく AWS アプリケーションインサイトにアクセスできます。 AWS マネジメントコンソールでは、これらのツールが提供するメトリクスについてチャットして、アプリケーションのパフォーマンス、エラー、脆弱性の理解と対応に役立てることができます。
プラグインを設定したら、 AWS コンソールで Amazon Q とチャットするときに、質問の先頭にプラグインエイリアスを追加します。Amazon Q はサードパーティープロバイダー API を呼び出してリソースを取得し、外部リソースへのディープリンクを含む応答を生成します。
Amazon Q がサードパーティー API を呼び出すと、API は AWS CloudTrail ログに表示されません。CloudTrail ログには、Amazon Q がサードパーティープロバイダーに接続するための認証情報を取得するために AWS Secrets Manager シークレットにアクセスした場合にのみ表示されます。
Amazon Q は、プラグインを設定または使用する際に、サードパーティープロバイダーと情報を共有しません。Amazon Q でのデータの使用方法の詳細については、「[データ保護](data-protection.md)」を参照してください。
**注記**
AWS 組織内のメンバーアカウントは、組織の管理アカウントプロファイルで設定されたプラグインにアクセスできません。各メンバーアカウントは、アカウントでプラグインを設定して使用する前に、独自の Q Developer プロファイルを作成する必要があります。
**警告**
サードパーティープロバイダーのユーザーアクセス許可は、Amazon Q Developer プラグインでは検出されません。管理者が AWS アカウントでプラグインを設定すると、そのアカウントのプラグイン権限を持つユーザーは、プラグインによって取得可能なサードパーティープロバイダーアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
開始するには、Amazon Q Developer で使用するプラグインのトピックを参照してください。
**Topics**
+ [Amazon Q Developer CloudZero プラグインの設定](cloudzero-plugin.md)
+ [Amazon Q Developer Datadog プラグインの設定](datadog-plugin.md)
+ [Amazon Q Developer Wiz プラグインの設定](wiz-plugin.md)
# Amazon Q Developer CloudZero プラグインの設定
CloudZero は、クラウド効率を向上させるためにコストを評価するクラウドコスト最適化プラットフォームです。CloudZero を使用して AWS コストをモニタリングする場合は、Amazon Q Developer チャットの CloudZeroプラグインを使用して、 を離れることなくコストインサイトにアクセスできます AWS マネジメントコンソール。
CloudZero プラグインを使用して、 AWS コストの把握、コスト最適化のインサイトの取得、請求の追跡を行うことができます。応答を受け取ったら、CloudZero インサイトのステータスやコストへの影響など、フォローアップの質問をすることができます。
プラグインを設定するには、CloudZero アカウントから認証情報を指定して、Amazon Q と CloudZero 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に ****@cloudzero**** を追加して CloudZero データにアクセスできます。
**警告**
CloudZero ユーザーアクセス許可は、Amazon Q のCloudZeroプラグインによって検出されません。管理者が AWS アカウントのCloudZeroプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なCloudZeroアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[ユーザーアクセス許可の設定](#cloudzero-configure-user-permissions)」を参照してください。
## 前提条件
### アクセス許可を追加する
プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。
+ Amazon Q Developer コンソールへのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者に Amazon Q Developer コンソールの使用を許可する](id-based-policy-examples-admins.md#q-admin-setup-admin-users)」を参照してください。
+ プラグインを設定するアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者にプラグインの設定を許可する](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)」を参照してください。
### 認証情報の取得
開始する前に、CloudZero アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。
+ **API キー** – Amazon Q が CloudZero API を呼び出して組織のコストインサイトと請求情報にアクセスできるようにするアクセスキー。API キーは CloudZero アカウント設定で確認できます。詳細については「CloudZero ドキュメント」の「[Authorization](https://docs.cloudzero.com/reference/authorization)」を参照してください。
CloudZero アカウントから認証情報を取得する方法の詳細については、「[CloudZeroドキュメント](https://docs.cloudzero.com/docs/amazon-q-integration)」を参照してください。
## シークレットとサービスロール
### AWS Secrets Manager シークレット
プラグインを設定すると、Amazon Q はCloudZero認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。
シークレットを自分で作成する場合は、API キーをプレーンテキストとして入力します。
```
your-api-key
```
シークレットを作成する方法については、「*AWS Secrets Manager User Guide*」の「[Create a secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」を参照してください。
### サービスロール
Amazon Q Developer で CloudZero プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、CloudZero 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。
AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。
シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。
**注記**
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
サービスロールの詳細については、「 *AWS Identity and Access Management ユーザーガイド*」の[「 AWS サービスにアクセス許可を委任するロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を作成する」を参照してください。
## CloudZero プラグインを設定する
Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、CloudZero とのやり取りを有効にします。
CloudZero プラグインを設定するには、次の手順を実行します。
1. [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) で Amazon Q Developer コンソールを開きます。
1. Amazon Q Developer コンソールのホームページで、**[設定]** を選択します。
1. ナビゲーションバーで、**[プラグイン]** を選択します。
1. プラグインページで、**CloudZero** パネルのプラス記号を選択します。プラグイン設定ページが開きます。
1. **Configure AWS Secrets Manager** で、**新しいシークレットを作成する**か**、既存のシークレットを使用する**を選択します。CloudZero 認証情報は、Secrets Manager シークレットに保存されます。
新しい設定を作成する場合は、以下の情報を入力します。
1. **[CloudZero API キー]** で、CloudZero 組織の API キーを入力します。
1. Amazon Q が CloudZero 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のシークレットがある場合は、**[AWS Secrets Manager シークレット]** ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した CloudZero 認証情報が含まれている必要があります。
必要な認証情報の詳細については、「[認証情報の取得](#acquire-cloudzero-credentials)」を参照してください。
1. **IAM サービスロールを設定する AWS **で、**新しいサービスロールを作成する** または**既存のサービスロールを使用する** を選択します。
**注記**
手順 6 で**[新しいシークレットを作成する]**を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。
新しいサービスロールを作成する場合、Amazon Q が CloudZero 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、[サービスロール](#cloudzero-service-role) で定義されているアクセス許可と信頼ポリシーがあることを確認します。
1. **[設定の保存]** を選択します。
1. プラグインページの **[設定済みプラグイン]** セクションに CloudZero プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。
プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。
## ユーザーアクセス許可の設定
プラグインを使用するには、以下のアクセス許可が必要です。
+ コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ `q:UsePlugin` アクセス許可
IAM ID に設定済みの CloudZero プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な CloudZero アカウント内のリソースへのアクセスを取得します。CloudZero ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。
プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。
CloudZero プラグイン ARN を見つけるには、Amazon Q Developer コンソールの**プラグイン**ページに移動し、設定済みの CloudZero プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、CloudZero プラグインへのアクセスを許可または拒否できます。
CloudZero プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに `CloudZero` を指定します。
プラグインアクセスを制御する IAM ポリシーの例については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
## CloudZero プラグインを使用してチャットする
CloudZero プラグインを使用するには、 CloudZero または AWS アプリケーションモニターとケースに関する質問の冒**@cloudzero**頭に と入力します。Amazon Q からのフォローアップの質問や質問への回答には、**@cloudzero** も含める必要があります。
以下は、Amazon Q CloudZero プラグインを最大限に活用するためのユースケースの例と、関連する質問です。
+ **CloudZero で を使用する方法を学ぶ AWS** – CloudZero機能の仕組みについて質問します。Amazon Q は、最善の回答を提供するために、ユーザーが何をしようとしているかに関する詳細を求める場合があります。
+ **@cloudzero how do I use CloudZero?**
+ **@cloudzero how do I get started with CloudZero?**
+ **コストインサイトの一覧** — コストインサイトの一覧を取得したり、特定のインサイトの詳細を確認したりできます。
+ **@cloudzero list my top cost insights**
+ **@cloudzero tell me more about insight **
+ **請求情報の取得** – AWS 請求情報については、Amazon Q CloudZero プラグインにお問い合わせください。
+ **@cloudzero what were my AWS costs for December 2024?**
# Amazon Q Developer Datadog プラグインの設定
Datadog は、インフラストラクチャ、アプリケーション、ネットワークのモニタリングと分析を提供するモニタリングおよびセキュリティプラットフォームです。Datadog を使用して AWS アプリケーションをモニタリングする場合は、Amazon Q Developer チャットの Datadogプラグインを使用して、 を離れることなくモニタリング情報にアクセスできます AWS マネジメントコンソール。
Datadog プラグインを使用して、 について学びDatadog、 AWS サービスとの連携を理解し、Datadogケースやモニターについて質問できます。応答を受け取ったら、問題に対処する方法や Datadog リソースの詳細など、フォローアップの質問をすることができます。
プラグインを設定するには、Datadog アカウントから認証情報を指定して、Amazon Q と Datadog 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に ****@datadog**** を追加して Datadog メトリクスにアクセスできます。
**警告**
Datadog ユーザーアクセス許可は、Amazon Q のDatadogプラグインによって検出されません。管理者が AWS アカウントのDatadogプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なDatadogアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[ユーザーアクセス許可の設定](#datadog-configure-user-permissions)」を参照してください。
## 前提条件
### アクセス許可を追加する
プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。
+ Amazon Q Developer コンソールへのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者に Amazon Q Developer コンソールの使用を許可する](id-based-policy-examples-admins.md#q-admin-setup-admin-users)」を参照してください。
+ プラグインを設定するアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者にプラグインの設定を許可する](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)」を参照してください。
### 認証情報の取得
開始する前に、Datadog アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。
+ **サイトパラメータ** – 使用する Datadog サイトパラメータ。例えば、`us3.datadoghq.com`。詳細については、「Datadog ドキュメント」の「[Datadog サイトの概要](https://docs.datadoghq.com/getting_started/site/)」を参照してください。
+ **API キーとアプリケーションキー** – Amazon Q が Datadog API を呼び出してイベントとメトリクスにアクセスできるようにするアクセスキー。これらは、Datadog アカウントの **[組織設定]** にあります。詳細については、「Datadog ドキュメント」の「[API キーとアプリケーションキー](https://docs.datadoghq.com/account_management/api-app-keys/)」を参照してください。
## シークレットとサービスロール
### AWS Secrets Manager シークレット
プラグインを設定すると、Amazon Q はDatadog認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。
シークレットを自分で作成する場合は、以下の認証情報が含まれていることを確認し、次の JSON 形式を使用してください。
```
{
"ApiKey": "",
"AppKey": ""
}
```
シークレットを作成する方法については、「*AWS Secrets Manager User Guide*」の「[Create a secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」を参照してください。
### サービスロール
Amazon Q Developer で Datadog プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Datadog 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。
AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールに次のアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。
シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。
**注記**
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
サービスロールの詳細については、「 *AWS Identity and Access Management ユーザーガイド*[」の「 AWS サービスにアクセス許可を委任するロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を作成する」を参照してください。
## Datadog プラグインを設定する
Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、Datadog とのやり取りを有効にします。
Datadog プラグインを設定するには、次の手順を実行します。
1. [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) で Amazon Q Developer コンソールを開きます。
1. Amazon Q Developer コンソールのホームページで、**[設定]** を選択します。
1. ナビゲーションバーで、**[プラグイン]** を選択します。
1. プラグインページで、**Datadog** パネルのプラス記号を選択します。プラグイン設定ページが開きます。
1. **[サイト URL]** で、使用する Datadog サイトの URL を入力します。
1. **Configure AWS Secrets Manager** で、**新しいシークレットを作成する**か**、既存のシークレットを使用する**を選択します。Datadog 認証情報は、Secrets Manager シークレットに保存されます。
新しい設定を作成する場合は、以下の情報を入力します。
1. **[Datadog API キー]** で、Datadog 組織の API キーを入力します。
1. **[Datadog アプリケーションキー]** で、Datadog アカウントのアプリケーションキーを入力します。
1. Amazon Q が Datadog 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のシークレットがある場合は、**[AWS Secrets Manager シークレット]** ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した Datadog 認証情報が含まれている必要があります。
必要な認証情報の詳細については、「[認証情報の取得](#acquire-datadog-credentials)」を参照してください。
1. **IAM サービスロールを設定する AWS **で、**新しいサービスロールを作成する** または**既存のサービスロールを使用する** を選択します。
**注記**
手順 6 で**[新しいシークレットを作成する]**を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。
新しいサービスロールを作成する場合、Amazon Q が Datadog 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、[サービスロール](#datadog-service-role) で定義されているアクセス許可と信頼ポリシーがあることを確認します。
1. **[設定の保存]** を選択します。
1. プラグインページの **[設定済みプラグイン]** セクションに Datadog プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。
プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。
## ユーザーアクセス許可の設定
プラグインを使用するには、以下のアクセス許可が必要です。
+ コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ `q:UsePlugin` アクセス許可
IAM ID に設定済みの Datadog プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な Datadog アカウント内のリソースへのアクセスを取得します。Datadog ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。
プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。
Datadog プラグイン ARN を見つけるには、Amazon Q Developer コンソールの**プラグイン**ページに移動し、設定済みの Datadog プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Datadog プラグインへのアクセスを許可または拒否できます。
Datadog プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに `Datadog` を指定します。
プラグインアクセスを制御する IAM ポリシーの例については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
## Datadog プラグインを使用してチャットする
Datadog プラグインを使用するには、 Datadog または AWS アプリケーションモニターとケースに関する質問の冒頭**@datadog**に と入力します。Amazon Q からのフォローアップの質問や質問への回答には、**@datadog** も含める必要があります。
以下は、Amazon Q Datadog プラグインを最大限に活用するためのユースケースの例と、関連する質問です。
+ **ワークロードでの Datadog 機能の使用について – 機能が特定の サービスとどのように連携するかについて質問します AWS **。 Datadog AWS Amazon Q は、最善の回答を提供するために、ユーザーが何をしようとしているかに関する詳細を求める場合があります。
+ **@datadog how do I use APM on EC2?**
+ **ケースとモニターの取得と要約** – 特定のケースやモニターについて質問するか、プロパティを指定して、モニターや作成日、ステータス、作成者などのケースに関する情報を取得します。プロパティの詳細については、「Datadog ドキュメント」の「[モニター ステータ スページ (レガシー)](https://docs.datadoghq.com/monitors/manage/status/#properties)」を参照してください。
+ **@datadog summarize the global outage case**
+ **@datadog summarize my top cases**
+ **アラーム状態のモニターを確認する** – Amazon Q Datadog プラグインに、アラーム状態の AWS アプリケーションモニターを見つけるよう依頼します。リストに記載されているモニターに関するフォローアップの質問をすることができます。
+ **@datadog what monitors are in alarm?**
+ **@datadog what is the status for monitor ?**
# Amazon Q Developer Wiz プラグインの設定
Wiz は、セキュリティ体制管理、リスク評価と優先順位付け、脆弱性管理を提供するクラウドセキュリティプラットフォームです。Wiz を使用して AWS アプリケーションを評価およびモニタリングする場合は、Amazon Q チャットの プラグインを使用して、 を離れWizることなく からインサイトにアクセスできます AWS マネジメントコンソール。
プラグインを使用して、Wiz の問題の特定と取得、最もリスクの高いアセットの評価、脆弱性や漏洩の把握を行うことができます。応答を受け取ったら、問題に対処する方法など、フォローアップの質問をすることができます。
プラグインを設定するには、Wiz アカウントから認証情報を指定して、Amazon Q と Wiz 間の接続を有効にします。プラグインを設定したら、Amazon Q チャットの質問の先頭に **@wiz** を追加して Wiz メトリクスにアクセスできます。
**警告**
Wiz ユーザーアクセス許可は、Amazon Q のWizプラグインによって検出されません。管理者が AWS アカウントのWizプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なWizアカウントの任意のリソースにアクセスできます。
IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「[ユーザーアクセス許可の設定](#wiz-configure-user-permissions)」を参照してください。
## 前提条件
### アクセス許可を追加する
プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。
+ Amazon Q Developer コンソールへのアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者に Amazon Q Developer コンソールの使用を許可する](id-based-policy-examples-admins.md#q-admin-setup-admin-users)」を参照してください。
+ プラグインを設定するアクセス許可。必要なアクセス許可を付与する IAM ポリシーの例については、「[管理者にプラグインの設定を許可する](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)」を参照してください。
### 認証情報の取得
開始する前に、Wiz アカウントの次の情報をメモしてください。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。
+ **API エンドポイント URL** – Wiz にアクセスする URL。例えば、`https://api.us1.app.Wiz.io/graphql`。詳細については、「Wiz ドキュメント」の「[API endpoint URL](https://win.wiz.io/reference/prerequisites#api-endpoint-url)」を参照してください。
+ **クライアント ID とクライアントシークレット** – Amazon Q が Wiz API を呼び出してアプリケーションにアクセスできるようにする認証情報。詳細については、「Wiz ドキュメント」の「[Client ID and Client secret](https://win.wiz.io/reference/prerequisites#client-id-and-client-secret)」を参照してください。
## シークレットとサービスロール
### AWS Secrets Manager シークレット
プラグインを設定すると、Amazon Q はWiz認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。
シークレットを自分で作成する場合は、以下の認証情報が含まれていることを確認し、次の JSON 形式を使用してください。
```
{
"ClientId": "",
"ClientSecret": ""
}
```
シークレットを作成する方法については、「*AWS Secrets Manager User Guide*」の「[Create a secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)」を参照してください。
### サービスロール
Amazon Q Developer で Wiz プラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Wiz 認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。
AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連付けられたサービスロールが自動的に作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールにこれらのアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。
シークレットが AWS マネージド KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
Amazon Q にサービスロールの引き受けを許可するには、サービスロールに以下の信頼ポリシーが必要です。
**注記**
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
サービスロールの詳細については、「 *AWS Identity and Access Management ユーザーガイド*[」の「 AWS サービスにアクセス許可を委任するロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を作成する」を参照してください。
## Wiz プラグインを設定する
Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 AWS Secrets Manager に保存されている認証情報を使用して、Wiz とのやり取りを有効にします。
Wiz プラグインを設定するには、次の手順を実行します。
1. [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) で Amazon Q Developer コンソールを開きます。
1. Amazon Q Developer コンソールのホームページで、**[設定]** を選択します。
1. ナビゲーションバーで、**[プラグイン]** を選択します。
1. プラグインページで、**Wiz** パネルのプラス記号を選択します。プラグイン設定ページが開きます。
1. **[API エンドポイント URL]** で、Wiz にアクセスする API エンドポイントの URL を入力します。
1. **Configure AWS Secrets Manager** で、**新しいシークレットを作成する**か**、既存のシークレットを使用する**を選択します。Wiz 認証情報は、Secrets Manager シークレットに保存されます。
新しい設定を作成する場合は、以下の情報を入力します。
1. **[クライアント ID]** で、Wiz アカウントのクライアント ID を入力します。
1. **[クライアントシークレット]** で、Wiz アカウントのクライアントシークレットを入力します。
1. Amazon Q が Wiz 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のシークレットがある場合は、**[AWS Secrets Manager シークレット]** ドロップダウンメニューからシークレットを選択します。シークレットには、前の手順で指定した Wiz 認証情報が含まれている必要があります。
必要な認証情報の詳細については、「[認証情報の取得](#acquire-wiz-credentials)」を参照してください。
1. **IAM サービスロールを設定する AWS **で、**新しいサービスロールを作成する** または**既存のサービスロールを使用する** を選択します。
**注記**
手順 6 で**[新しいシークレットを作成する]**を選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。
新しいサービスロールを作成する場合、Amazon Q が Wiz 認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成したサービスロールを編集しないでください。
既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、[サービスロール](#wiz-service-role) で定義されているアクセス許可と信頼ポリシーがあることを確認します。
1. **[設定の保存]** を選択します。
1. プラグインページの **[設定済みプラグイン]** セクションに Wiz プラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。
プラグインの認証情報を更新する場合は、現在のプラグインを削除して新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。
## ユーザーアクセス許可の設定
プラグインを使用するには、以下のアクセス許可が必要です。
+ コンソールで Amazon Q とチャットするアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「[ユーザーに Amazon Q とのチャットを許可するで Amazon Q CLI の使用をユーザーに許可する AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)」を参照してください。
+ `q:UsePlugin` アクセス許可
IAM ID に設定済みの Wiz プラグインへのアクセスを許可すると、ID はプラグインによって取得可能な Wiz アカウント内のリソースへのアクセスを取得します。Wiz ユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御するには、IAM ポリシーでプラグイン ARN を指定します。
プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合で、新しく設定されたプラグインへのアクセスを許可する場合は、プラグイン ARN を更新する必要があります。
Wiz プラグイン ARN を見つけるには、Amazon Q Developer コンソールの**プラグイン**ページに移動し、設定済みの Wiz プラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Wiz プラグインへのアクセスを許可または拒否できます。
Wiz プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーでプラグインプロバイダーに `Wiz` を指定します。
プラグインアクセスを制御する IAM ポリシーの例については、「[あるプロバイダーのプラグインとユーザーがチャットできるようにする](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)」を参照してください。
## Wiz プラグインを使用してチャットする
Amazon Q の Wiz プラグインを使用するには、Wiz 問題に関する質問の冒頭に「**@Wiz**」と入力します。Amazon Q からのフォローアップの質問や質問への回答には、**@Wiz** も含める必要があります。
以下は、Amazon Q Wiz プラグインを最大限に活用するためのユースケースの例と、関連する質問です。
+ **重大度が重大な問題を表示する** – Amazon Q の Wiz プラグインに、重大度が重大または高い問題を一覧表示するよう依頼します。プラグインは最大 10 個の問題を返すことができます。また、最も重大な問題の上位 10 件までを一覧表示するように依頼することもできます。
+ **@wiz what are my critical severity issues?**
+ **@wiz can you specify the top 5?**
+ **日付またはステータスに基づいて問題を一覧表示する** – 作成日、期日、または解決日に基づいて問題を一覧表示するよう依頼します。ステータス、重要度、タイプなどのプロパティに基づいて問題を指定することもできます。
+ **@wiz which issues are due before ?**
+ **@wiz what are my issues that have been resolved since ?**
+ **セキュリティの脆弱性に関する問題を評価する** – 問題の中でセキュリティの脅威をもたらしている脆弱性や漏洩について質問します。
+ **@wiz which issues are associated with vulnerabilities or external exposures?**