Gerenciar o acesso ao Amazon Q Developer com políticas do IAM

nota

As informações nesta página dizem respeito ao acesso ao Amazon Q Developer. Para obter informações sobre como gerenciar o acesso ao Amazon Q Business, consulte Identity-based policy examples for Amazon Q Business no Amazon Q Business User Guide.

As políticas e exemplos neste tópico são específicos do Amazon Q no AWS Management Console, no AWS Console Mobile Application, no site da AWS, no AWS Documentation, e no AWS Chatbot. Outros serviços integrados ao Amazon Q podem exigir políticas ou configurações diferentes. Os usuários finais do Amazon Q em IDEs de terceiros não precisam usar políticas do IAM. Para obter mais informações, consulte a documentação do serviço que contém um atributo ou uma integração do Amazon Q.

Por padrão, usuários e funções não têm permissão para usar o Amazon Q. Os administradores do IAM podem gerenciar o acesso ao Amazon Q Developer e seus atributos ao conceder permissões às identidades do IAM.

A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de uma política gerenciada pela AWS. A política AmazonQFullAccess pode ser anexada às identidades do IAM para conceder acesso total ao Amazon Q Developer e seus atributos. Para obter mais informações sobre essa política, consulte Politicas gerenciadas pela AWS para o Amazon Q Developer.

Para gerenciar ações específicas que as identidades do IAM podem executar com o Amazon Q Developer, os administradores podem criar políticas personalizadas do IAM que definem quais permissões um usuário, um grupo ou um perfil tem. Você também pode usar políticas de controle de serviço (SCPs) para controlar quais atributos do Amazon Q estão disponíveis na sua organização.

Para obter uma lista de todas as permissões do Amazon Q que você pode controlar com políticas, consulte o Referência de permissões do Amazon Q Developer.

Tópicos

Práticas recomendadas de política
Atribuir permissões
Gerenciar acesso com as políticas de controle de serviço (SCPs)
Perímetros de dados para recursos do Amazon Q
Exemplos de políticas baseadas em identidade para o Amazon Q Developer

Práticas recomendadas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Q Developer na sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo –- para começar a conceder permissões a seus usuários e workloads, use as políticas gerenciadas pela AWS, que concedem permissões para muitos casos de uso comuns. Elas estão disponíveis em seus Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente AWS específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do Usuário do IAM.
Aplique permissões de privilégio mínimo –- ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do Usuário do IAM.
Use condições nas políticas do IAM para restringir ainda mais o acesso –- você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode gravar uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um AWS service (Serviço da AWS) específico, como o AWS CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: Condição no Guia do usuário do IAM.
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais –- o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de 100 verificações de política e recomendações acionáveis para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.
Exigir autenticação multifator (MFA) –- se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Acesso seguro à API com a MFA no Guia do usuário do IAM.

Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas Recomendadas de Segurança no IAM no Guia do Usuário do IAM.

Atribuir permissões

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos no AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Gerenciar acesso com as políticas de controle de serviço (SCPs)

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. Você pode controlar quais atributos do Amazon Q Developer estão disponíveis na sua organização ao criar uma SCP que especifique permissões para algumas ou todas as ações do Amazon Q.

Para obter mais informações sobre o uso de SCPs para controlar o acesso na sua organização, consulte Criar, atualizar e excluir de políticas de controle de serviço e Anexar e desvincular políticas de controle de serviço no Guia do usuário do AWS Organizations.

Veja a seguir um exemplo de SCP que nega acesso ao Amazon Q. Essa política restringe o acesso às conversas do Amazon Q, à solução de problemas de erros do console e à solução de problemas de rede.

nota

Negar acesso ao Amazon Q não desabilitará o ícone do Amazon Q ou o painel de bate-papo no Console da AWS, no site da AWS, nas páginas de documentação da AWS ou da AWS Console Mobile Application.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Perímetros de dados para recursos do Amazon Q

Para alguns atributos, o Amazon Q carrega artefatos em buckets AWS Amazon S3 de propriedade do serviço. Se você estiver usando perímetros de dados para controlar o acesso ao Amazon S3 em seu ambiente, talvez seja necessário permitir explicitamente o acesso a esses buckets para usar os atributos correspondentes do Amazon Q.

A tabela a seguir lista o ARN e o URL de cada um dos buckets do Amazon S3 aos quais o Amazon Q exige acesso e os atributos que usam cada bucket. Você pode usar o ARN do bucket ou o URL do bucket para permitir esses buckets, dependendo de como você controla o acesso ao Amazon S3.

ARN do bucket do Amazon S3 URL do Bucket do Amazon S3 Descrição

ARN do bucket do Amazon S3	URL do Bucket do Amazon S3	Descrição
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Um bucket do Amazon S3 usado para fazer upload de artefatos para escaneamentos de código do Amazon Q
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for software development


arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b


https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/

Um bucket do Amazon S3 usado para fazer upload de artefatos para escaneamentos de código do Amazon Q


arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0


https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/

Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for code transformation


arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6


https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/

Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for software development

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como o Amazon Q funciona com o IAM

Exemplos de políticas baseadas em identidade para o Amazon Q