Amazon Q Developer Wiz プラグインの設定 - Amazon Q Developer
前提条件シークレットとサービスロールWiz プラグインを設定するユーザーアクセス許可を設定するWiz プラグインとチャットする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Q Developer Wiz プラグインの設定

Wiz は、セキュリティ体制管理、リスク評価と優先順位付け、脆弱性管理を提供するクラウドセキュリティプラットフォームです。Wiz を使用して AWS アプリケーションを評価およびモニタリングする場合は、Amazon Q チャットの プラグインを使用して、 を離れWizることなく からインサイトにアクセスできます AWS Management Console。

プラグインを使用して、Wiz問題の特定と取得、最もリスクの高いアセットの評価、脆弱性や露出の把握を行うことができます。回答を受け取ったら、問題の修正方法など、フォローアップの質問をすることができます。

プラグインを設定するには、Wizアカウントから認証情報を指定して、Amazon Q と 間の接続を有効にしますWiz。プラグインを設定したら、Amazon Q チャットで質問の先頭@wizに を追加してWizメトリクスにアクセスできます。

警告

Wiz ユーザーアクセス許可は Amazon Q のWizプラグインでは検出されません。管理者が AWS アカウントのWizプラグインを設定すると、そのアカウントのプラグインアクセス許可を持つユーザーは、プラグインによって取得可能なWizアカウントの任意のリソースにアクセスできます。

IAM ポリシーを設定して、ユーザーがアクセスできるプラグインを制限できます。詳細については、「ユーザーアクセス許可を設定する」を参照してください。

前提条件

アクセス許可を追加する

プラグインを設定するには、次の管理者レベルのアクセス許可が必要です。

認証情報の取得

開始する前に、 Wiz アカウントから次の情報を書き留めます。これらの認証情報は、プラグインを設定するときに AWS Secrets Manager シークレットに保存されます。

  • API エンドポイント URL – にアクセスする URLWiz。例えば、https://api.us1.app.Wiz.io/graphql と指定します。詳細については、 Wizドキュメントの「API エンドポイント URL」を参照してください。

  • クライアント ID とクライアントシークレット – Amazon Q が Wiz APIs を呼び出してアプリケーションにアクセスできるようにする認証情報。詳細については、 Wizドキュメントの「クライアント ID とクライアントシークレット」を参照してください。

シークレットとサービスロール

AWS Secrets Manager シークレット

プラグインを設定すると、Amazon Q はWiz認証情報を保存するための新しい AWS Secrets Manager シークレットを作成します。または、自分で作成した既存のシークレットを使用することもできます。

シークレットを自分で作成する場合は、次の認証情報が含まれ、次の JSON 形式を使用していることを確認してください。

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

シークレットの作成の詳細については、「 ユーザーガイド」の「シークレットの作成」を参照してください。 AWS Secrets Manager

サービス役割

Amazon Q Developer でWizプラグインを設定するには、Secrets Manager シークレットへのアクセス許可を Amazon Q に付与するサービスロールを作成する必要があります。Amazon Q は、Wiz認証情報が保存されているシークレットにアクセスするためにこのロールを引き受けます。

AWS コンソールでプラグインを設定する場合、新しいシークレットを作成するか、既存のシークレットを使用するかを選択できます。新しいシークレットを作成すると、関連するサービスロールが作成されます。既存のシークレットと既存のサービスロールを使用する場合は、サービスロールにこれらのアクセス許可が含まれ、次の信頼ポリシーがアタッチされていることを確認します。必要なサービスロールは、シークレットの暗号化方法によって異なります。

シークレットが マネージド KMS キーで暗号化されている場合は AWS 、次の IAM サービスロールが必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}
表示を増やす表示を減らす

シークレットがカスタマーマネージド AWS KMS キーで暗号化されている場合は、次の IAM サービスロールが必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:{{region}}:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.{{region}}.amazonaws.com"
                }
            }
        }
    ]
}
表示を増やす表示を減らす

Amazon Q がサービスロールを引き受けることを許可するには、サービスロールに次の信頼ポリシーが必要です。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名称変更 - 変更の概要」を参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}
表示を増やす表示を減らす

サービスロールの詳細については、「 AWS Identity and Access Management ユーザーガイド」の「 AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

Wiz プラグインを設定する

Amazon Q Developer コンソールでプラグインを設定します。Amazon Q は、 に保存されている認証情報 AWS Secrets Manager を使用して、 とのやり取りを有効にしますWiz。

Wiz プラグインを設定するには、次の手順を実行します。

  1. https://console.aws.amazon.com/amazonq/developer/home で Amazon Q Developer コンソールを開きます。

  2. Amazon Q Developer コンソールのホームページで、設定を選択します。

  3. ナビゲーションバーで、プラグインを選択します。

  4. プラグインページで、Wizパネルのプラス記号を選択します。プラグイン設定ページが開きます。

  5. API エンドポイント URL には、 にアクセスする API エンドポイントの URL を入力しますWiz。

  6. 設定 AWS Secrets Manager で、新しいシークレットを作成する または既存のシークレットを使用する を選択します。Secrets Manager シークレットは、Wiz認証情報が保存される場所です。

    新しいシークレットを作成する場合は、次の情報を入力します。

    1. クライアント ID には、Wizアカウントのクライアント ID を入力します。

    2. クライアントシークレットに、Wizアカウントのクライアントシークレットを入力します。

    3. Amazon Q がWiz認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成されたサービスロールを編集しないでください。

    既存のシークレットを使用する場合は、シークレットドロップダウンメニューからAWS Secrets Manager シークレットを選択します。シークレットには、前のステップで指定したWiz認証情報が含まれている必要があります。

    必要な認証情報の詳細については、「認証情報の取得 」を参照してください。

  7. IAM サービスロールを設定する AWS で、新しいサービスロールを作成する または既存のサービスロールを使用する を選択します。

    注記

    ステップ 6 で新しいシークレットを作成するを選択した場合、既存のサービスロールを使用することはできません。新しいロールが作成されます。

    新しいサービスロールを作成すると、Amazon Q がWiz認証情報が保存されているシークレットにアクセスするために使用するサービスロールが作成されます。作成されたサービスロールを編集しないでください。

    既存のサービスロールを使用する場合は、表示されるドロップダウンメニューからロールを選択します。サービスロールに、 で定義されているアクセス許可と信頼ポリシーがあることを確認しますサービス役割

  8. [設定の保存] を選択します。

  9. Wiz プラグインページの「設定済みプラグイン」セクションにプラグインパネルが表示されると、ユーザーはプラグインにアクセスできます。

プラグインの認証情報を更新する場合は、現在のプラグインを削除し、新しいプラグインを設定する必要があります。プラグインを削除すると、以前の仕様がすべて削除されます。新しいプラグインを設定するたびに、新しいプラグイン ARN が生成されます。

ユーザーアクセス許可を設定する

プラグインを使用するには、次のアクセス許可が必要です。

  • コンソールで Amazon Q とチャットするためのアクセス許可。チャットに必要なアクセス許可を付与する IAM ポリシーの例については、「」を参照してくださいユーザーに Amazon Q とのチャットを許可する

  • q:UsePlugin アクセス許可

IAM ID に設定されたWizプラグインへのアクセスを許可すると、ID はプラグインによって取得可能なWizアカウント内のリソースへのアクセスを取得します。 Wizユーザーのアクセス許可はプラグインによって検出されません。プラグインへのアクセスを制御する場合は、IAM ポリシーでプラグイン ARN を指定することで制御できます。

プラグインを作成または削除して再設定するたびに、新しい ARN が割り当てられます。ポリシーでプラグイン ARN を使用する場合は、新しく設定されたプラグインへのアクセスを許可する場合は、そのプラグインを更新する必要があります。

Wiz プラグイン ARN を見つけるには、Amazon Q Developer コンソールのプラグインページに移動し、設定されたWizプラグインを選択します。プラグインの詳細ページで、プラグイン ARN をコピーします。この ARN をポリシーに追加して、Wizプラグインへのアクセスを許可または拒否できます。

Wiz プラグインへのアクセスを制御するポリシーを作成する場合は、ポリシーのプラグイン名Wizに を指定します。

プラグインアクセスを制御する IAM ポリシーの例については、「」を参照してください1 つのプロバイダーのプラグインとのチャットをユーザーに許可する

Wiz プラグインとチャットする

Amazon Q Wizプラグインを使用するには、Wiz問題に関する質問の冒@Wiz頭に「」と入力します。Amazon Q からのフォローアップの質問または質問への回答には、 も含める必要があります@Wiz

以下は、Amazon Q Wizプラグインを最大限に活用するためのユースケースの例と関連する質問です。

  • 重大度が重大な問題を表示する – Amazon Q Wizプラグインに、重大度が重大または高い問題を一覧表示するよう依頼します。プラグインは最大 10 個の問題を返すことができます。また、最も重大な問題の上位 10 件までを に一覧表示するように依頼することもできます。

    • @wiz what are my critical severity issues?

    • @wiz can you specify the top 5?

  • 日付またはステータスに基づいて問題を一覧表示する – 作成日、期日、または解決日に基づいて問題を一覧表示するよう依頼します。ステータス、重要度、タイプなどのプロパティに基づいて問題を指定することもできます。

    • @wiz which issues are due before <date>?

    • @wiz what are my issues that have been resolved since <date>?

  • セキュリティの脆弱性に関する問題を評価する – 問題にセキュリティの脅威をもたらす脆弱性や露出について質問します。

    • @wiz which issues are associated with vulnerabilities or external exposures?