本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 适用于 Amazon Q 开发者的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
管理员要向用户授予访问权限,最快捷的方法是使用 AWS 托管式策略。以下适用于 Amazon Q 开发者的 AWS 托管策略可以附加到 IAM 身份:
-
AmazonQFullAccess提供完全访问权限以支持与 Amazon Q 开发者版的交互,包含管理员访问权限。 -
AmazonQDeveloperAccess提供完全访问权限以支持与 Amazon Q 开发者版的交互,不含管理员访问权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略。
AmazonQFullAccess
AmazonQFullAccess 托管式策略提供管理员访问权限,允许您组织中的用户访问 Amazon Q 开发者版。它还提供完全访问权限,允许与 Amazon Q 开发者版进行互动,包括使用 IAM Identity Center 登录,从而通过订阅 Amazon Q 开发者版专业套餐来访问 Amazon Q。
注意
要启用在 Amazon Q 订阅管理控制台和 Amazon Q 开发者版专业套餐控制台中完成管理任务的完全访问权限,需要额外的权限。有关更多信息,请参阅管理员权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQFullAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "q:StartTroubleshootingAnalysis", "q:GetTroubleshootingResults", "q:StartTroubleshootingResolutionExplanation", "q:UpdateTroubleshootingCommandResult", "q:GetIdentityMetadata", "q:CreateAssignment", "q:DeleteAssignment", "q:GenerateCodeFromCommands", "q:CreatePlugin", "q:GetPlugin", "q:DeletePlugin", "q:ListPlugins", "q:ListPluginProviders", "q:UsePlugin", "q:TagResource", "q:UntagResource", "q:ListTagsForResource" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "q.amazonaws.com" ] } } } ] }
AmazonQDeveloperAccess
AmazonQDeveloperAccess 托管式策略提供完全访问权限以支持与 Amazon Q 开发者版的交互,不含管理员访问权限。它允许使用 IAM Identity Center 登录,从而通过订阅 Amazon Q 开发者版专业套餐来访问 Amazon Q。
要使用 Amazon Q 的某些功能,您可能需要额外权限。有关权限的信息,请参阅您要使用的功能的主题。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest", "q:StartTroubleshootingAnalysis", "q:StartTroubleshootingResolutionExplanation", "q:GetTroubleshootingResults", "q:UpdateTroubleshootingCommandResult", "q:GetIdentityMetaData", "q:GenerateCodeFromCommands", "q:UsePlugin" ], "Resource": "*" }, { "Sid": "AllowCloudControlReadAccess", "Effect": "Allow", "Action": [ "cloudformation:GetResource", "cloudformation:ListResources" ], "Resource": "*" }, { "Sid": "AllowSetTrustedIdentity", "Effect": "Allow", "Action": [ "sts:SetContext" ], "Resource": "arn:aws:sts::*:self" } ] }
AWSServiceRoleForAmazonQDeveloper政策
此 AWS 托管策略授予使用 Amazon Q Developer 通常所需的权限。该策略将添加到您加入 Amazon Q 时创建的 AWSServiceRoleForAmazonQDeveloper 服务关联角色中。
您不能将 AWSServiceRoleForAmazonQDeveloper策略附加到您的 IAM 实体。将此策略附加到允许 Amazon Q 代表您执行操作的服务相关角色。有关更多信息,请参阅 为 Amazon Q 开发者版和用户订阅使用服务相关角色。
此政策授予允许发布账单/使用情况指标的administrator权限。
权限详细信息
该策略包含以下权限。
-
cloudwatch— 允许委托人向发布账单/使用情况 CloudWatch 的使用量指标。这是必需的,这样您才能跟踪自己对 Amazon Q 的使用情况 CloudWatch。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/Q" ] } } } ] }
要在其他 AWS 托管政策的背景下查看本政策,请参阅 Amazon QDeveloper 政策。
AWSServiceRoleForUserSubscriptionPolicy
此 AWS 托管策略授予使用 Amazon Q Developer 通常所需的权限。该策略将添加到您在创建 Amazon Q 订阅时创建的 AWSServiceRoleForUserSubscriptions 服务相关角色中。
您无法附加 AWSServiceRoleForUserSubscriptionPolicy 到您的 IAM 实体。将此策略附加到允许 Amazon Q 代表您执行操作的服务相关角色。有关更多信息,请参阅为 Amazon Q 开发者版和用户订阅使用服务相关角色。
此策略提供 Amazon Q 订阅对您的 Identity Center 资源的访问权限,以自动更新您的订阅。
权限详细信息
该策略包含以下权限。
-
identitystore:允许主体跟踪 Identity Center 目录的更改,以便可以自动更新订阅。organizations:允许主体跟踪 AWS Organizations 的更改,以便可以自动更新订阅。sso:允许主体跟踪 Identity Center 实例的更改,以便可以自动更新订阅。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "identitystore:DescribeGroup", "identitystore:DescribeUser", "identitystore:IsMemberInGroups", "identitystore:ListGroupMemberships", "organizations:DescribeOrganization", "sso:DescribeApplication", "sso:DescribeInstance", "sso:ListInstances" ], "Resource": "*" } ] }
要在其他 AWS 托管策略的背景下查看此策略,请参阅AWSServiceRoleForUserSubscriptionPolicy。
策略更新
查看自该服务开始跟踪这些变更以来对 Amazon Q Developer 的 AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 Document history for Amazon Q Developer User Guide 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonQDeveloperAccess - 更新的策略 |
已添加其他权限以允许使用 Amazon Q 开发者插件。 |
2024 年 11 月 13 日 |
|
AmazonQFullAccess :更新策略 |
添加了配置和使用 Amazon Q 开发者插件以及为 Amazon Q 开发者资源创建和管理标签的其他权限。 |
2024 年 11 月 13 日 |
|
已添加额外权限,允许使用 Amazon Q 并基于 CLI 命令生成代码。 |
2024 年 10 月 28 日 |
|
|
AmazonQFullAccess :更新策略 |
已添加额外权限,允许使用 Amazon Q 并基于 CLI 命令生成代码。 |
2024 年 10 月 28 日 |
|
AmazonQFullAccess :更新策略 |
已添加其他权限,允许 Amazon Q 访问下游资源。 |
2024 年 7 月 9 日 |
|
提供完全访问权限以支持与 Amazon Q 开发者版的交互,不含管理员访问权限。 |
2024 年 7 月 9 日 |
|
|
AmazonQFullAccess :更新策略 |
已添加额外权限,可以为 Amazon Q 开发者版启用订阅检查。 |
2024 年 4 月 30 日 |
|
允许 Amazon Q 订阅 AWS Organizations 根据您的更改自动更新订阅。 AWS IAM Identity Center AWS IAM Identity Center 目录 |
2024 年 4 月 30 日 |
|
|
允许 Amaz CodeGuru on Q 代表您致电亚马逊 CloudWatch 和亚马逊。 |
2024 年 4 月 30 日 |
|
|
提供完全访问权限以启用与 Amazon Q 开发者版的交互。 |
2023 年 11 月 28 日 |
|
|
Amazon Q 开发者版已开始跟踪更改 |
Amazon Q 开发者开始跟踪 AWS 托管政策的变更。 |
2023 年 11 月 28 日 |
