Melhores práticas de política Atribuir permissões Gerencie o acesso com SCPs Perímetros de dados para recursos do Amazon Q

Gerencie o acesso ao Amazon Q Developer com políticas

nota

As informações nesta página se referem ao acesso ao Amazon Q Developer. Para obter informações sobre como gerenciar o acesso ao Amazon Q Business, consulte exemplos de políticas baseadas em identidade para o Amazon Q Business no Guia do usuário do Amazon Q Business.

As políticas e exemplos neste tópico são específicos do Amazon Q no AWS Management Console, AWS Console Mobile Application, AWS site, AWS Documentation AWS Chatbot, e emIDEs. Outros serviços integrados ao Amazon Q podem exigir políticas ou configurações diferentes. Para obter mais informações, consulte a documentação do serviço que contém um recurso ou integração do Amazon Q.

Por padrão, usuários e funções não têm permissão para usar o Amazon Q. IAM Os administradores podem gerenciar o acesso ao Amazon Q Developer e seus recursos concedendo permissões às identidades. IAM

A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de uma política AWS gerenciada. A AmazonQFullAccess política pode ser anexada às IAM identidades para conceder acesso total ao Amazon Q Developer e seus recursos. Para obter mais informações sobre essa política, consulte AWS políticas gerenciadas para o Amazon Q Developer.

Para gerenciar ações específicas que IAM as identidades podem realizar com o Amazon Q Developer, os administradores podem criar políticas personalizadas que definem quais permissões um usuário, grupo ou função tem. Você também pode usar políticas de controle de serviços (SCPs) para controlar quais recursos do Amazon Q estão disponíveis em sua organização.

Para obter uma lista de todas as permissões do Amazon Q que você pode controlar com políticas, consulte Referência de permissões para desenvolvedores do Amazon Q o.

Tópicos

Melhores práticas de política
Atribuir permissões
Gerencie o acesso com políticas de controle de serviços (SCPs)
Perímetros de dados para recursos do Amazon Q
Exemplos de políticas baseadas em identidade para o Amazon Q Developer

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon Q Developer em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte políticas AWS gerenciadas ou políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.
Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.
Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.
Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação da política do IAM Access Analyzer no Guia do IAM Usuário.
Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte Configurando o API acesso MFA protegido no Guia do IAMusuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Atribuir permissões

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos em AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
Usuários gerenciados IAM por meio de um provedor de identidade:

Crie um perfil para a federação de identidades. Siga as instruções em Criação de uma função para um provedor de identidade terceirizado (federação) no Guia IAM do usuário.
IAMusuários:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de uma função para um IAM usuário no Guia IAM do usuário.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adicionar permissões a um usuário (console) no Guia do IAM usuário.

Gerencie o acesso com políticas de controle de serviços (SCPs)

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. Você pode controlar quais recursos do Amazon Q Developer estão disponíveis em sua organização criando um SCP que especifique permissões para algumas ou todas as ações do Amazon Q.

Para obter mais informações sobre como usar SCPs para controlar o acesso em sua organização, consulte Criando, atualizando e excluindo políticas de controle de serviço e Anexando e desanexando políticas de controle de serviço no Guia do AWS Organizations usuário.

Veja a seguir um exemplo de um SCP que nega o acesso ao Amazon Q. Essa política restringe o acesso ao chat do Amazon Q, à solução de problemas de erro do console e à solução de problemas de rede.

nota

Negar acesso ao Amazon Q não desativará o ícone do Amazon Q ou o painel de bate-papo no AWS console, no AWS site, nas páginas de AWS documentação ou AWS Console Mobile Application.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Perímetros de dados para recursos do Amazon Q

Para alguns recursos, o Amazon Q carrega artefatos em buckets AWS Amazon S3 de propriedade do serviço. Se você estiver usando perímetros de dados para controlar o acesso ao Amazon S3 em seu ambiente, talvez seja necessário permitir explicitamente o acesso a esses buckets para usar os recursos correspondentes do Amazon Q.

A tabela a seguir lista a ARN extremidade URL de cada um dos buckets do Amazon S3 aos quais o Amazon Q exige acesso e os recursos que usam cada bucket. Você pode usar o bucket ARN ou bucket URL para permitir esses buckets, dependendo de como você controla o acesso ao Amazon S3.

Bucket Amazon S3 ARN Bucket Amazon S3 URL Descrição

Bucket Amazon S3 ARN	Bucket Amazon S3 URL	Descrição
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Um bucket do Amazon S3 usado para fazer upload de artefatos para escaneamentos de código Amazon Q
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for software development


arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b


https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/

Um bucket do Amazon S3 usado para fazer upload de artefatos para escaneamentos de código Amazon Q


arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0


https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/

Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for code transformation


arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6


https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/

Um bucket do Amazon S3 usado para fazer upload de artefatos para o Amazon Q Developer Agent for software development

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como o Amazon Q funciona com IAM

Exemplos de políticas baseadas em identidade para o Amazon Q