AmazonQFullAccess AmazonQDeveloperAccess AWSServiceRoleForAmazonQDeveloperPolicy AWSServiceRoleForUserSubscriptionPolicy Atualizações da política

AWS políticas gerenciadas para o Amazon Q Developer

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de uma política gerenciada pela AWS . As seguintes políticas AWS gerenciadas para o Amazon Q Developer podem ser anexadas às IAM identidades:

AmazonQFullAccessfornece acesso total para permitir interações com o Amazon Q Developer, incluindo acesso de administrador.
O AmazonQDeveloperAccess fornece acesso total para permitir interações com o Amazon Q Developer, sem acesso de administrador.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas gerenciadas pela AWS no Guia do Usuário do IAM.

AmazonQFullAccess

A política AmazonQFullAccess gerenciada fornece acesso de administrador para permitir que os usuários da sua organização acessem o Amazon Q Developer. Ele também fornece acesso total para permitir interações com o Amazon Q Developer, incluindo o login no IAM Identity Center para acessar o Amazon Q por meio de uma assinatura do Amazon Q Developer Pro.

nota

Para permitir o acesso total à conclusão de tarefas administrativas no console de gerenciamento de assinaturas do Amazon Q e no console do Amazon Q Developer Pro, são necessárias permissões adicionais. Para obter mais informações, consulte Permissões de administrador.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment",
                "q:GenerateCodeFromCommands",
                "q:CreatePlugin",
                "q:GetPlugin",
                "q:DeletePlugin",
                "q:ListPlugins",
                "q:ListPluginProviders",
                "q:UsePlugin",
                "q:TagResource",
                "q:UntagResource",
                "q:ListTagsForResource"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AmazonQDeveloperAccess

A política gerenciada pelo AmazonQDeveloperAccess fornece acesso total para permitir interações com o Amazon Q Developer. Inclui acesso ao login com o IAM Identity Center para acessar o Amazon Q por meio de uma assinatura do Amazon Q Developer Pro.

Para usar mais atributos do Amazon Q para fazer o trabalho, você pode precisar de permissões adicionais. Consulte o tópico do atributo que você deseja usar para obter informações sobre permissões.


{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData",
          "q:GenerateCodeFromCommands",
          "q:UsePlugin"

      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolicy

Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon Q Developer. A política é adicionada à função vinculada ao AWSServiceRoleForAmazonQDeveloper serviço que é criada quando você se integra ao Amazon Q.

Você não pode se vincular AWSServiceRoleForAmazonQDeveloperPolicy às suas IAM entidades. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Q realize ações em seu nome. Para obter mais informações, consulte Como usar funções vinculadas a serviços para Amazon Q Developer e User Subscriptions.

Essa política concede administrator permissões que permitem que métricas sejam publicadas para faturamento/uso.

Detalhes das permissões

Esta política inclui as seguintes permissões.

cloudwatch— Permite que os diretores publiquem métricas de uso CloudWatch para faturamento/uso. Isso é necessário para que você possa rastrear seu uso do Amazon Q em CloudWatch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

Para ver essa política no contexto de outras políticas AWS gerenciadas, consulte Uma mazonQDeveloper política.

AWSServiceRoleForUserSubscriptionPolicy

Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon Q Developer. A política é adicionada à função AWSServiceRoleForUserSubscriptions vinculada ao serviço que é criada quando você cria assinaturas do Amazon Q.

Você não pode se vincular AWSServiceRoleForUserSubscriptionPolicy às suas IAM entidades. Essa política é anexada a uma função vinculada ao serviço que permite que o Amazon Q realize ações em seu nome. Para obter mais informações, consulte Como usar funções vinculadas a serviços para Amazon Q Developer e User Subscriptions.

Essa política fornece acesso às assinaturas do Amazon Q aos recursos do seu Identity Center para atualizar automaticamente suas assinaturas.

Detalhes das permissões

Esta política inclui as seguintes permissões.

identitystore: permite que as entidades principais rastreiem as alterações no diretório do Identity Center para que as assinaturas possam ser atualizadas automaticamente.

organizations— Permite que os diretores acompanhem AWS as alterações da Organizations para que as assinaturas possam ser atualizadas automaticamente.

sso: permite que as entidades principais rastreiem as alterações na instância do Identity Center para que as assinaturas possam ser atualizadas automaticamente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

Para ver essa política no contexto de outras políticas AWS gerenciadas, consulte AWSServiceRoleForUserSubscriptionPolicy.

Atualizações da política

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Q Developer desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico de documentos do Amazon Q Developer User Guide.

Alteração	Descrição	Data
AmazonQDeveloperAccess: política atualizada	Permissões adicionais foram adicionadas para permitir o uso dos plug-ins Amazon Q Developer.	13 de novembro de 2024
AmazonQFullAccess : Atualizar política	Permissões adicionais foram adicionadas para configurar e usar os plug-ins do Amazon Q Developer e para criar e gerenciar tags para os recursos do Amazon Q Developer.	13 de novembro de 2024
AmazonQDeveloperAccess: Atualizar política	Permissões adicionais foram adicionadas para permitir a geração de código a partir de CLI comandos com o Amazon Q.	28 de outubro de 2024
AmazonQFullAccess : Atualizar política	Permissões adicionais foram adicionadas para permitir a geração de código a partir de CLI comandos com o Amazon Q.	28 de outubro de 2024
AmazonQFullAccess : Atualizar política	Permissões adicionais foram adicionadas para permitir que o Amazon Q acesse recursos downstream.	9 de julho de 2024
AmazonQDeveloperAccess: nova política	Fornece acesso total para permitir interações com o Amazon Q Developer, sem acesso de administrador.	9 de julho de 2024
AmazonQFullAccess : Atualizar política	Permissões adicionais foram adicionadas para permitir verificações de assinaturas para o Amazon Q Developer.	30 de abril de 2024
AWSServiceRoleForUserSubscriptionPolicy : nova política	Permite que as assinaturas Amazon Q atualizem automaticamente as assinaturas a partir de alterações feitas em Diretório do Centro de Identidade do AWS IAM e AWS Organizations em seu AWS IAM Identity Center nome.	30 de abril de 2024
AWSServiceRoleForAmazonQDeveloperPolicy : nova política	Permite que a Amazon Q ligue para a Amazon CloudWatch e a Amazon CodeGuru em seu nome.	30 de abril de 2024
AmazonQFullAccess: nova política	Fornece acesso total para permitir interações com o Amazon Q Developer.	28 de novembro de 2023
O Amazon Q Developer começou a rastrear as alterações	O Amazon Q Developer começou a monitorar as alterações nas políticas AWS gerenciadas.	28 de novembro de 2023

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referência de permissões do Amazon Q

Usar funções vinculadas ao serviço