本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Amazon Q Developer Wiz 外掛程式
Wiz 是一個雲端安全平台,可提供安全狀態管理、風險評估和優先順序,以及漏洞管理。如果您使用 Wiz 來評估和監控 AWS 應用程式,您可以使用 Amazon Q 聊天中的外掛程式從 存取洞見,Wiz而無需離開 AWS 管理主控台。
您可以使用外掛程式來識別和擷取 Wiz 問題、評估風險最高的資產,以及了解漏洞或暴露情形。收到回應後,您可以提出後續問題,包括如何緩解問題。
若要設定外掛程式,您可以從您的 Wiz 帳戶提供身分驗證憑證,以啟用 Amazon Q 與 Wiz 之間的連線。在您設定外掛程式之後,可以在 Amazon Q 聊天中於問題開頭加上 **@wiz**,以存取 Wiz 指標。
**警告**
Wiz Amazon Q 中的Wiz外掛程式不會偵測到使用者許可。當管理員在 AWS 帳戶中設定Wiz外掛程式時,在該帳戶中具有外掛程式許可的使用者可以存取該外掛程式可擷取之Wiz帳戶中的任何資源。
您可以設定 IAM 政策來限制使用者可以存取哪些外掛程式。如需詳細資訊,請參閱[設定使用者許可](#wiz-configure-user-permissions)。
## 先決條件
### 新增許可
若要設定外掛程式,則須有下列管理員層級許可:
+ 存取 Amazon Q Developer 主控台的許可。如需授與所需許可的範例 IAM 政策,請參閱 [允許管理員使用 Amazon Q Developer 主控台](id-based-policy-examples-admins.md#q-admin-setup-admin-users)。
+ 設定外掛程式的許可。如需授與所需許可的範例 IAM 政策,請參閱 [允許管理員設定外掛程式](id-based-policy-examples-admins.md#id-based-policy-examples-admin-plugins)。
### 取得憑證
開始之前,請記下 Wiz 帳戶中的以下資訊。當您設定外掛程式時,這些身分驗證登入資料會存放在 AWS Secrets Manager 秘密中。
+ **API 端點 URL** - 您存取 Wiz 的 URL。例如 `https://api.us1.app.Wiz.io/graphql`。如需詳細資訊,請參閱 Wiz 文件中的 [API 端點 URL](https://win.wiz.io/reference/prerequisites#api-endpoint-url)。
+ **用戶端 ID 和用戶端密碼** - 這些憑證允許 Amazon Q 呼叫 Wiz API 以存取應用程式。如需詳細資訊,請參閱 Wiz 文件中的[用戶端 ID 和用戶端密碼](https://win.wiz.io/reference/prerequisites#client-id-and-client-secret)。
## 密碼和服務角色
### AWS Secrets Manager 秘密
當您設定外掛程式時,Amazon Q 會為您建立新的 AWS Secrets Manager 秘密,以存放Wiz身分驗證登入資料。或者,您可以使用您自行建立的現有密碼。
如果您自行建立密碼,請確定密碼中包含下列憑證且使用下列 JSON 格式:
```
{
"ClientId": "",
"ClientSecret": ""
}
```
如需建立密碼的詳細資訊,請參閱《AWS Secrets Manager 使用者指南》**中的[建立密碼](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html)。
### 服務角色
若要在 Amazon Q Developer 中設定 Wiz 外掛程式,您需要建立服務角色,以將存取 Secrets Manager 密碼的許可授與 Amazon Q。Amazon Q 會擔任此角色來存取儲存 Wiz 憑證所在的密碼。
在 AWS 主控台中設定外掛程式時,您可以選擇建立新的秘密或使用現有的秘密。如果您建立新的密碼,則會為您建立相關聯的服務角色。如果您使用現有密碼和現有服務角色,請確定您的服務角色包含這些許可,並已附加下列信任政策。所需的服務角色取決於您的密碼加密方法。
如果您的密碼使用 AWS 受管 KMS 金鑰加密,則需要下列 IAM 服務角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
]
}
]
}
```
------
如果您的秘密使用客戶受管 AWS KMS 金鑰加密,則需要下列 IAM 服務角色:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secret-id"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-id",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
}
}
}
]
}
```
------
服務角色需要下列信任政策,才能讓 Amazon Q 擔任服務角色:
**注意**
`codewhisperer` 字首是與 Amazon Q Developer 合併之服務的舊名稱。如需詳細資訊,請參閱[Amazon Q Developer 重新命名 - 變更摘要](service-rename.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "arn:aws:codewhisperer:us-east-1:111122223333:profile/profile-id"
}
}
}
]
}
```
------
如需服務角色的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
## 設定 Wiz 外掛程式
您可以在 Amazon Q Developer 主控台中設定外掛程式。Amazon Q 會使用儲存在 AWS Secrets Manager 中的憑證來啟用與 Wiz 的互動。
若要設定 Wiz 外掛程式,請完成下列程序:
1. 在 [https://console.aws.amazon.com/amazonq/developer/home](https://console.aws.amazon.com/amazonq/developer/home) 開啟 Amazon Q Developer 主控台
1. 在 Amazon Q Developer 主控台首頁上,選擇**設定**。
1. 在導覽列中,選擇**外掛程式**。
1. 在外掛程式頁面上,選擇 **Wiz** 面板上的加號。外掛程式組態頁面隨即開啟。
1. 針對 **API 端點 URL**,輸入您存取 Wiz 的 API 端點 URL。
1. 針對**設定 AWS Secrets Manager**,選擇**建立新的秘密****或使用現有的秘密**。Secrets Manager 密碼是儲存 Wiz 身分驗證憑證的位置。
如果您建立新密碼,請輸入下列資訊:
1. 針對**用戶端 ID**,輸入您 Wiz 帳戶的用戶端 ID。
1. 針對**用戶端密碼**,輸入您 Wiz 帳戶的用戶端密碼。
1. 此時會建立服務角色,Amazon Q 將使用此角色來存取儲存 Wiz 憑證所在的密碼。請勿編輯為您建立的服務角色。
如果您使用現有密碼,請從 **AWS Secrets Manager 密碼**下拉式功能表選擇密碼。密碼應包含上一個步驟中指定的 Wiz 身分驗證憑證。
如需所需憑證的詳細資訊,請參閱 [取得憑證](#acquire-wiz-credentials)。
1. 針對**設定 AWS IAM 服務角色**,選擇**建立新的服務角色****或使用現有的服務角色**。
**注意**
如果您在步驟 6 選擇**建立新密碼**,則無法使用現有服務角色。此時將為您建立新角色。
如果您建立新的服務角色,Amazon Q 將使用此建立的服務角色來存取儲存 Wiz 憑證所在的密碼。請勿編輯為您建立的服務角色。
如果您使用現有服務角色,請從出現的下拉式功能表中選擇角色。請確定您的服務角色具有 [服務角色](#wiz-service-role) 中定義的許可和信任政策。
1. 選擇 **Save configuration** (儲存組態)。
1. Wiz 外掛程式面板出現在「外掛程式」頁面上的**已設定的外掛程式**區段後,使用者就可以存取外掛程式。
如果您想要更新外掛程式的憑證,則必須刪除目前的外掛程式,並設定新的外掛程式。刪除外掛程式會移除所有先前的指定內容。每次設定新的外掛程式時,都會產生新的外掛程式 ARN。
## 設定使用者許可
須有下列許可才能使用外掛程式:
+ 在主控台中與 Amazon Q 聊天的許可。如需授與聊天所需許可的範例 IAM 政策,請參閱 [允許使用者與 Amazon Q 聊天允許使用者搭配 使用 Amazon Q CLI AWS CloudShell](id-based-policy-examples-users.md#id-based-policy-examples-allow-chat)。
+ `q:UsePlugin` 許可。
當您將已設定的 Wiz 外掛程式存取權授與 IAM 身分時,此身分就能存取外掛程式可擷取之 Wiz 帳戶中的任何資源。外掛程式不會偵測 Wiz 使用者許可。如果您想要控制外掛程式的存取權,可以藉由在 IAM 政策中指定外掛程式 ARN 來達成此目的。
每次您建立或刪除並重新設定外掛程式時,都會為其指派新的 ARN。如果您在政策中使用外掛程式 ARN,則須在您要將存取權授與新設定的外掛程式時進行更新。
若要尋找 Wiz 外掛程式 ARN,請前往 Amazon Q Developer 主控台中的**外掛程式**頁面,然後選擇已設定的 Wiz 外掛程式。在外掛程式詳細資訊頁面上,複製外掛程式 ARN。您可以將此 ARN 新增至政策,以允許或拒絕對 Wiz 外掛程式的存取。
如果您建立政策來控制 Wiz 外掛程式的存取權,請在政策中指定 `Wiz` 作為外掛程式提供者。
如需控制外掛程式存取的 IAM 政策範例,請參閱 [允許使用者與來自某一提供者的外掛程式聊天](id-based-policy-examples-users.md#id-based-policy-examples-allow-plugin-type)。
## 與 Wiz 外掛程式聊天
若要使用 Amazon Q Wiz 外掛程式,請有關 Wiz 問題的問題開頭輸入 **@Wiz**。後續問題或 Amazon Q 對問題提供的回應也必須包含 **@Wiz**。
以下是您可以提出的一些範例使用案例和相關問題,可協助您充分利用 Amazon Q Wiz 外掛程式:
+ **檢視重大嚴重性的問題** - 要求 Amazon Q Wiz 外掛程式列出重大或高嚴重性的問題。外掛程式最多可傳回 10 個問題。您也可以要求列出最多前 10 個最嚴重的問題。
+ **@wiz what are my critical severity issues?**
+ **@wiz can you specify the top 5?**
+ **根據日期或狀態列出問題** - 要求根據建立日期、截止日期或解決日期列出問題。您也可以根據狀態、嚴重性和類型等屬性指定問題。
+ **@wiz which issues are due before ?**
+ **@wiz what are my issues that have been resolved since ?**
+ **透過安全漏洞評估問題** - 詢問您的問題中構成安全威脅的漏洞或暴露情況。
+ **@wiz which issues are associated with vulnerabilities or external exposures?**