本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Amazon Q Developer CloudZero 外掛程式
CloudZero 是雲端成本最佳化平台,可評估成本以改善雲端效率。如果您使用 CloudZero 來監控 AWS 成本,則可以在 Amazon Q Developer 聊天中使用 CloudZero 外掛程式來存取成本洞察,而無需離開 AWS 管理主控台。
您可以使用 CloudZero 外掛程式來了解您的 AWS 成本、取得成本最佳化洞見,以及追蹤帳單。收到回應後,您可以提出後續問題,例如 CloudZero 洞察的狀態或成本效益。
若要設定外掛程式,您可以從您的 CloudZero 帳戶提供身分驗證憑證,以啟用 Amazon Q 與 CloudZero 之間的連線。在您設定外掛程式之後,可以在 Amazon Q 聊天中於問題開頭加上 ****@cloudzero****,以存取 CloudZero 資料。
**警告**
CloudZero Amazon Q 中的CloudZero外掛程式不會偵測到使用者許可。當管理員在 AWS 帳戶中設定CloudZero外掛程式時,在該帳戶中具有外掛程式許可的使用者可以存取該外掛程式可擷取之CloudZero帳戶中的任何資源。
您可以設定 IAM 政策來限制使用者可以存取哪些外掛程式。如需詳細資訊,請參閱[設定使用者許可](#cloudzero-configure-user-permissions)。
## 先決條件
### 新增許可
若要設定外掛程式,則須有下列管理員層級許可:
+ 存取 Amazon Q Developer 主控台的許可。如需授與所需許可的範例 IAM 政策,請參閱 [允許管理員使用 Amazon Q Developer 主控台](id-based-policy-examples-admins.md#q-admin-setup-admin-users)。
+ 設定外掛程式的許可。如需授與所需許可的範例 IAM 政策,請參閱 [允許管理員設定外掛程式](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)。
### 取得憑證
開始之前,請記下 CloudZero 帳戶中的以下資訊。當您設定外掛程式時,這些身分驗證登入資料會存放在 AWS Secrets Manager 秘密中。
+ **API 金鑰** - 此存取金鑰允許 Amazon Q 呼叫 CloudZero API 以存取組織的成本洞察和帳單資訊。您可以在 CloudZero 帳戶設定中找到 API 金鑰。如需詳細資訊,請參閱 CloudZero 文件中的[身分驗證](https://docs.cloudzero.com/reference/authorization)。
如需從 CloudZero 帳戶取得憑證的詳細資訊,請參閱 [CloudZero 文件](https://docs.cloudzero.com/docs/amazon-q-integration)。
## 密碼和服務角色
### AWS Secrets Manager 秘密
當您設定外掛程式時,Amazon Q 會為您建立新的 AWS Secrets Manager 秘密,以存放CloudZero身分驗證登入資料。或者,您可以使用您自行建立的現有密碼。
如果您自行建立密碼,請輸入純文字格式的 API 金鑰:
```
your-api-key
```
如需建立密碼的詳細資訊,請參閱《AWS Secrets Manager 使用者指南》**中的[建立密碼](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)。
### 服務角色
若要在 Amazon Q Developer 中設定 CloudZero 外掛程式,您需要建立服務角色,以將存取 Secrets Manager 密碼的許可授與 Amazon Q。Amazon Q 會擔任此角色來存取儲存 CloudZero 憑證所在的密碼。
在 AWS 主控台中設定外掛程式時,您可以選擇建立新的秘密或使用現有的秘密。如果您建立新的密碼,則會為您建立相關聯的服務角色。如果您使用現有密碼和現有服務角色,請確定您的服務角色包含下列許可,並已附加下列信任政策。所需的服務角色取決於您的密碼加密方法。
如果您的密碼使用 AWS 受管 KMS 金鑰加密,則需要下列 IAM 服務角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
如果您的秘密使用客戶受管 AWS KMS 金鑰加密,則需要下列 IAM 服務角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
服務角色需要下列信任政策,才能讓 Amazon Q 擔任服務角色:
**注意**
`codewhisperer` 字首是與 Amazon Q Developer 合併之服務的舊名稱。如需詳細資訊,請參閱[Amazon Q Developer 重新命名 - 變更摘要](service-rename.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
如需服務角色的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 設定 CloudZero 外掛程式
您可以在 Amazon Q Developer 主控台中設定外掛程式。Amazon Q 會使用儲存在 AWS Secrets Manager 中的憑證來啟用與 CloudZero 的互動。
若要設定 CloudZero 外掛程式,請完成下列程序:
1. 在 [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) 開啟 Amazon Q Developer 主控台
1. 在 Amazon Q Developer 主控台首頁上,選擇**設定**。
1. 在導覽列中,選擇**外掛程式**。
1. 在外掛程式頁面上,選擇 **CloudZero** 面板上的加號。外掛程式組態頁面隨即開啟。
1. 針對**設定 AWS Secrets Manager**,選擇**建立新的秘密****或使用現有的秘密**。Secrets Manager 密碼是儲存 CloudZero 身分驗證憑證的位置。
如果您建立新密碼,請輸入下列資訊:
1. 針對 **CloudZero API 金鑰**,輸入 CloudZero 組織的 API 金鑰。
1. 此時會建立服務角色,Amazon Q 將使用此角色來存取儲存 CloudZero 憑證所在的密碼。請勿編輯為您建立的服務角色。
如果您使用現有密碼,請從 **AWS Secrets Manager 密碼**下拉式功能表選擇密碼。密碼應包含上一個步驟中指定的 CloudZero 身分驗證憑證。
如需所需憑證的詳細資訊,請參閱 [取得憑證](#acquire-cloudzero-credentials)。
1. 針對**設定 AWS IAM 服務角色**,選擇**建立新的服務角色****或使用現有的服務角色**。
**注意**
如果您在步驟 6 選擇**建立新密碼**,則無法使用現有服務角色。此時將為您建立新角色。
如果您建立新的服務角色,Amazon Q 將使用此建立的服務角色來存取儲存 CloudZero 憑證所在的密碼。請勿編輯為您建立的服務角色。
如果您使用現有服務角色,請從出現的下拉式功能表中選擇角色。請確定您的服務角色具有 [服務角色](#cloudzero-service-role) 中定義的許可和信任政策。
1. 選擇 **Save configuration** (儲存組態)。
1. CloudZero 外掛程式面板出現在「外掛程式」頁面上的**已設定的外掛程式**區段後,使用者就可以存取外掛程式。
如果您想要更新外掛程式的憑證,則必須刪除目前的外掛程式,並設定新的外掛程式。刪除外掛程式會移除所有先前的指定內容。每次設定新的外掛程式時,都會產生新的外掛程式 ARN。
## 設定使用者許可
須有下列許可才能使用外掛程式:
+ 在主控台中與 Amazon Q 聊天的許可。如需授與聊天所需許可的範例 IAM 政策,請參閱 [允許使用者與 Amazon Q 聊天允許使用者搭配 使用 Amazon Q CLI AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)。
+ `q:UsePlugin` 許可。
當您將已設定的 CloudZero 外掛程式存取權授與 IAM 身分時,此身分就能存取外掛程式可擷取之 CloudZero 帳戶中的任何資源。外掛程式不會偵測 CloudZero 使用者許可。如果您想要控制外掛程式的存取權,可以藉由在 IAM 政策中指定外掛程式 ARN 來達成此目的。
每次您建立或刪除並重新設定外掛程式時,都會為其指派新的 ARN。如果您在政策中使用外掛程式 ARN,則須在您要將存取權授與新設定的外掛程式時進行更新。
若要尋找 CloudZero 外掛程式 ARN,請前往 Amazon Q Developer 主控台中的**外掛程式**頁面,然後選擇已設定的 CloudZero 外掛程式。在外掛程式詳細資訊頁面上,複製外掛程式 ARN。您可以將此 ARN 新增至政策,以允許或拒絕對 CloudZero 外掛程式的存取。
如果您建立政策來控制 CloudZero 外掛程式的存取權,請在政策中指定 `CloudZero` 作為外掛程式提供者。
如需控制外掛程式存取的 IAM 政策範例,請參閱 [允許使用者與來自某一提供者的外掛程式聊天](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)。
## 與 CloudZero 外掛程式聊天
若要使用CloudZero外掛程式,**@cloudzero**請在有關 CloudZero或 AWS 應用程式監控和案例的問題開頭輸入 。後續問題或 Amazon Q 對問題提供的回應也必須包含 **@cloudzero**。
以下是您可以提出的一些範例使用案例和相關問題,可協助您充分利用 Amazon Q CloudZero 外掛程式:
+ **了解如何CloudZero搭配 使用 AWS** - 詢問 CloudZero功能的運作方式。Amazon Q 可能會要求您提供進一步資訊來說明您打算做什麼,以提供最佳回答。
+ **@cloudzero how do I use CloudZero?**
+ **@cloudzero how do I get started with CloudZero?**
+ **列出成本洞察** - 取得成本洞察清單,或進一步了解特定洞察。
+ **@cloudzero list my top cost insights**
+ **@cloudzero tell me more about insight **
+ **取得帳單資訊** – 請向 Amazon Q CloudZero外掛程式詢問您的 AWS 帳單資訊。
+ **@cloudzero what were my AWS costs for December 2024?**