AWS Amazon Q Developer 的 受管政策 - Amazon Q Developer
AmazonQFullAccessAmazonQDeveloperAccessAWSServiceRoleForAmazonQDeveloperPolicyAWSServiceRoleForUserSubscriptionPolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Q Developer 的 受管政策

AWS 受管政策是由 AWS AWS .managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。

對於管理員而言,授予使用者存取權的最快捷方式是透過 AWS 受管政策。下列 Amazon Q Developer 的 AWS 受管政策可以附加至IAM身分:

  • AmazonQFullAccess 提供完整存取權,以啟用與 Amazon Q Developer 的互動,包括管理員存取權。

  • AmazonQDeveloperAccess 提供完整存取權,以啟用與 Amazon Q Developer 的互動,而不需要管理員存取權。

請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 當新的 AWS 服務 啟動或新的API操作可用於現有 服務時, 很有可能會更新受 AWS 管政策。

如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策

AmazonQFullAccess

AmazonQFullAccess 受管政策提供管理員存取權,讓組織中的使用者能夠存取 Amazon Q Developer。它還提供完整存取權,以啟用與 Amazon Q Developer 的互動,包括使用 IAM Identity Center 登入,透過 Amazon Q Developer Pro 訂閱存取 Amazon Q。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

AmazonQDeveloperAccess

AmazonQDeveloperAccess 受管政策提供完整存取權,以啟用與 Amazon Q 開發人員的互動,而不需要管理員存取權。它包含透過 IAM Identity Center 登入的存取權,以透過 Amazon Q Developer Pro 訂閱存取 Amazon Q。

{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolicy

此 AWS 受管政策會授予使用 Amazon Q Developer 的常用許可。政策會新增至您加入 Amazon Q 時建立 AWSServiceRoleForAmazonQDeveloper 的服務連結角色。

您無法 AWSServiceRoleForAmazonQDeveloperPolicy 連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon Q 代表您執行動作。如需詳細資訊,請參閱針對 Amazon Q 開發人員和使用者訂閱使用服務連結角色

此政策授予 administrator 允許針對帳單/使用發佈指標的 許可。

許可詳細資訊

此政策包含以下許可。

  • cloudwatch – 允許委託人將 用量指標發佈至 CloudWatch for Billing / Usage。這是必要的,以便您可以在 中追蹤 Amazon Q 的使用量 CloudWatch。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

若要在其他 AWS 受管政策的 內容中檢視此政策,請參閱mazonQDeveloper政策

AWSServiceRoleForUserSubscriptionPolicy

此 AWS 受管政策會授予使用 Amazon Q Developer 的常用許可。政策會新增至建立 Amazon Q 訂閱時建立 AWSServiceRoleForUserSubscriptions 的服務連結角色。

您無法 AWSServiceRoleForUserSubscriptionPolicy 連接至IAM實體。此政策會連接至服務連結角色,讓 Amazon Q 代表您執行動作。如需詳細資訊,請參閱針對 Amazon Q 開發人員和使用者訂閱使用服務連結角色

此政策提供 Amazon Q 訂閱對 Identity Center 資源的存取權,以自動更新您的訂閱。

許可詳細資訊

此政策包含以下許可。

  • identitystore – 允許主體追蹤 Identity Center 目錄變更,以便自動更新訂閱。

    organizations – 允許主體追蹤 AWS Organizations 變更,以便自動更新訂閱。

    sso – 允許主體追蹤 Identity Center 執行個體變更,以便自動更新訂閱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

若要在其他 AWS 受管政策的 內容中檢視此政策,請參閱 AWSServiceRoleForUserSubscriptionPolicy

政策更新

檢視自此服務開始追蹤這些變更以來,Amazon Q Developer 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon Q 開發人員使用者指南頁面的文件歷史記錄RSS。

變更 描述 日期

AmazonQFullAccess - 更新的政策

已新增其他許可,讓 Amazon Q 能夠存取下游資源。

2024 年 10 月 3 日

AmazonQFullAccess - 更新的政策

已新增其他許可,讓 Amazon Q 能夠存取下游資源。

2024 年 7 月 9 日

AmazonQDeveloperAccess – 新政策

提供完整存取權,以啟用與 Amazon Q Developer 的互動,而不需要管理員存取權。

2024 年 7 月 9 日

AmazonQFullAccess - 更新的政策

已新增其他許可,以啟用 Amazon Q 開發人員的訂閱檢查。

2024 年 4 月 30 日

AWSServiceRoleForUserSubscriptionPolicy – 新政策

允許 Amazon Q Subscriptions AWS Organizations 代表您從 AWS IAM Identity Center AWS IAM Identity Center 目錄 和 中的變更自動更新訂閱。

2024 年 4 月 30 日

AWSServiceRoleForAmazonQDeveloperPolicy – 新政策

允許 Amazon Q CodeGuru 代表您呼叫 Amazon CloudWatch 和 Amazon。

2024 年 4 月 30 日

AmazonQFullAccess – 新政策

提供完整存取權,以啟用與 Amazon Q Developer 的互動。

2023 年 11 月 28 日

Amazon Q 開發人員開始追蹤變更

Amazon Q Developer 開始追蹤 AWS 受管政策的變更。

2023 年 11 月 28 日