AmazonQFullAccess AmazonQDeveloperAccess AWSServiceRoleForAmazonQDeveloperPolicy AWSServiceRoleForUserSubscriptionPolicy Atualizações da política

AWS políticas gerenciadas para o Amazon Q Developer

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de uma política gerenciada pela AWS . As seguintes políticas AWS gerenciadas para o Amazon Q Developer podem ser anexadas às IAM identidades:

AmazonQFullAccessfornece acesso total para permitir interações com o Amazon Q Developer, incluindo acesso de administrador.
AmazonQDeveloperAccessfornece acesso total para permitir interações com o Amazon Q Developer, sem acesso de administrador.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas AWS gerenciadas no Guia IAM do usuário.

AmazonQFullAccess

A política AmazonQFullAccess gerenciada fornece acesso de administrador para permitir que os usuários da sua organização acessem o Amazon Q Developer. Ele também fornece acesso total para permitir interações com o Amazon Q Developer, incluindo o login no IAM Identity Center para acessar o Amazon Q por meio de uma assinatura do Amazon Q Developer Pro.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

AmazonQDeveloperAccess

A política AmazonQDeveloperAccess gerenciada fornece acesso total para permitir interações com o Amazon Q Developer, sem acesso de administrador. Inclui acesso ao login com o IAM Identity Center para acessar o Amazon Q por meio de uma assinatura do Amazon Q Developer Pro.


{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolicy

Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon Q Developer. A política é adicionada à função vinculada ao AWSServiceRoleForAmazonQDeveloper serviço que é criada quando você se integra ao Amazon Q.

Você não pode se vincular AWSServiceRoleForAmazonQDeveloperPolicy às suas IAM entidades. Essa política está vinculada a uma função vinculada ao serviço que permite que a Amazon Q execute ações em seu nome. Para obter mais informações, consulte Usando funções vinculadas a serviços para assinaturas de desenvolvedores e usuários do Amazon Q.

Esta política concede administrator permissões que permitem que métricas sejam publicadas para faturamento/uso.

Detalhes das permissões

Esta política inclui as seguintes permissões:

cloudwatch— Permite que os diretores publiquem métricas de uso CloudWatch para faturamento/uso. Isso é necessário para que você possa rastrear seu uso do Amazon Q em CloudWatch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

Para ver essa política no contexto de outras políticas AWS gerenciadas, consulte Uma mazonQDeveloper política.

AWSServiceRoleForUserSubscriptionPolicy

Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon Q Developer. A política é adicionada à função AWSServiceRoleForUserSubscriptions vinculada ao serviço que é criada quando você cria assinaturas do Amazon Q.

Você não pode se vincular AWSServiceRoleForUserSubscriptionPolicy às suas IAM entidades. Essa política está vinculada a uma função vinculada ao serviço que permite que a Amazon Q execute ações em seu nome. Para obter mais informações, consulte Usando funções vinculadas a serviços para assinaturas de desenvolvedores e usuários do Amazon Q.

Essa política fornece acesso às assinaturas do Amazon Q aos recursos do seu Identity Center para atualizar automaticamente suas assinaturas.

Detalhes das permissões

Esta política inclui as seguintes permissões:

identitystore— Permite que os diretores rastreiem as alterações no diretório do Identity Center para que as assinaturas possam ser atualizadas automaticamente.

organizations— Permite que os diretores acompanhem AWS as alterações da Organizations para que as assinaturas possam ser atualizadas automaticamente.

sso— Permite que os diretores rastreiem as alterações na instância do Identity Center para que as assinaturas possam ser atualizadas automaticamente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

Para ver essa política no contexto de outras políticas AWS gerenciadas, consulte AWSServiceRoleForUserSubscriptionPolicy.

Atualizações da política

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Q Developer desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico de documentos do Amazon Q Developer User Guide.

Alteração	Descrição	Data
AmazonQFullAccess : política atualizada	Permissões adicionais foram adicionadas para permitir que o Amazon Q acesse recursos downstream.	3 de outubro de 2024
AmazonQFullAccess : Atualizar política	Permissões adicionais foram adicionadas para permitir que o Amazon Q acesse recursos downstream.	9 de julho de 2024
AmazonQDeveloperAccess: nova política	Fornece acesso total para permitir interações com o Amazon Q Developer, sem acesso de administrador.	9 de julho de 2024
AmazonQFullAccess : Atualizar política	Permissões adicionais foram adicionadas para permitir verificações de assinaturas para o Amazon Q Developer.	30 de abril de 2024
AWSServiceRoleForUserSubscriptionPolicy : nova política	Permite que as assinaturas Amazon Q atualizem automaticamente as assinaturas a partir de alterações feitas em Diretório do Centro de Identidade do AWS IAM e AWS Organizations em seu AWS IAM Identity Center nome.	30 de abril de 2024
AWSServiceRoleForAmazonQDeveloperPolicy : nova política	Permite que a Amazon Q ligue para a Amazon CloudWatch e a Amazon CodeGuru em seu nome.	30 de abril de 2024
AmazonQFullAccess: nova política	Fornece acesso total para permitir interações com o Amazon Q Developer.	28 de novembro de 2023
O Amazon Q Developer começou a monitorar as mudanças	O Amazon Q Developer começou a monitorar as alterações nas políticas AWS gerenciadas.	28 de novembro de 2023

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Referência de permissões do Amazon Q

Usar funções vinculadas a serviços