AWS 适用于 Amazon Q 开发者的托管政策 - Amazon Q 开发者版
AmazonQFullAccessAmazonQDeveloperAccessAWSServiceRoleForAmazonQDeveloperPolicyAWSServiceRoleForUserSubscriptionPolicy策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 适用于 Amazon Q 开发者的托管政策

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

管理员要向用户授予访问权限,最快捷的方法是通过 AWS 托管式策略。以下适用于 Amazon Q Developer 的 AWS 托管策略可以附加到IAM身份:

  • AmazonQFullAccess提供允许与 Amazon Q 开发者进行互动的完全访问权限,包括管理员访问权限。

  • AmazonQDeveloperAccess提供完全访问权限,无需管理员访问即可与 Amazon Q 开发者进行互动。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。

有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略

AmazonQFullAccess

AmazonQFullAccess托管策略提供管理员访问权限,使您组织中的用户能够访问 Amazon Q Developer。它还提供完全访问权限,允许与 Amazon Q 开发者进行互动,包括登录IAM身份中心,通过订阅 Amazon Q Developer Pro 访问亚马逊 Q。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

AmazonQDeveloperAccess

AmazonQDeveloperAccess托管策略提供完全访问权限,无需管理员访问即可与 Amazon Q Developer 进行互动。它包括使用IAM身份中心登录,通过订阅 Amazon Q Developer Pro 来访问 Amazon Q。

{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolicy

此 AWS 托管策略授予使用 Amazon Q Developer 通常所需的权限。该策略将添加到您加入 Amazon Q 时创建的 AWSServiceRoleForAmazonQDeveloper 服务关联角色中。

你无法附着 AWSServiceRoleForAmazonQDeveloperPolicy 在你的IAM实体上。此政策附属于服务相关角色,允许 Amazon Q 代表您执行操作。有关更多信息,请参阅 为 Amazon Q 开发者和用户订阅使用服务相关角色

本政策授予 administrator 允许发布账单/使用量指标的权限。

权限详细信息

该策略包含以下权限。

  • cloudwatch— 允许委托人向发布账单/使用情况 CloudWatch 的使用量指标。这是必需的,这样您才能跟踪自己对 Amazon Q 的使用情况 CloudWatch。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

要在其他 AWS 托管策略的背景下查看此策略,请参阅 A Polic mazonQDeveloper y

AWSServiceRoleForUserSubscriptionPolicy

此 AWS 托管策略授予使用 Amazon Q Developer 通常所需的权限。该策略将添加到您在创建 Amazon Q 订阅时创建的 AWSServiceRoleForUserSubscriptions 服务相关角色中。

你无法附着 AWSServiceRoleForUserSubscriptionPolicy 在你的IAM实体上。此政策附属于服务相关角色,允许 Amazon Q 代表您执行操作。有关更多信息,请参阅 为 Amazon Q 开发者和用户订阅使用服务相关角色

此政策允许 Amazon Q 订阅访问您的身份中心资源,以自动更新您的订阅。

权限详细信息

该策略包含以下权限。

  • identitystore— 允许委托人跟踪 Identity Center 目录的更改,以便可以自动更新订阅。

    organizations— 允许委托人跟踪 AWS Organizations 的更改,以便可以自动更新订阅。

    sso— 允许委托人跟踪 Identity Center 实例的更改,以便可以自动更新订阅。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

要在其他 AWS 托管策略的背景下查看此策略,请参阅AWSServiceRoleForUserSubscriptionPolicy

策略更新

查看自该服务开始跟踪这些变更以来对 Amazon Q Developer 的 AWS 托管政策更新的详细信息。要获得有关此页面变更的自动提醒,请在 “Amazon Q 开发者用户指南” 页面的文档历史记录页面上订阅 RSS Feed。

更改 描述 日期

AmazonQFullAccess - 更新的策略

已添加其他权限以允许 Amazon Q 访问下游资源。

2024 年 7 月 9 日

AmazonQDeveloperAccess:新策略

提供完全访问权限,无需管理员访问即可与 Amazon Q 开发者进行互动。

2024 年 7 月 9 日

AmazonQFullAccess :更新策略

已添加其他权限,以便为 Amazon Q 开发者启用订阅检查。

2024 年 4 月 30 日

AWSServiceRoleForUserSubscriptionPolicy :新策略

允许 Amazon Q 订阅 AWS Organizations 根据您的更改自动更新订阅。 AWS IAM Identity Center AWS IAM Identity Center 目录

2024 年 4 月 30 日

AWSServiceRoleForAmazonQDeveloperPolicy :新策略

允许 Amaz CodeGuru on Q 代表您致电亚马逊 CloudWatch 和亚马逊。

2024 年 4 月 30 日

AmazonQFullAccess:新策略

提供完全访问权限以允许与 Amazon Q 开发者进行互动。

2023 年 11 月 28 日

Amazon Q 开发者开始追踪变更

Amazon Q 开发者开始跟踪 AWS 托管政策的变更。

2023 年 11 月 28 日