Konfiguration des Amazon Q CloudZero Developer-Plug-ins

CloudZeroist eine Plattform zur Cloud-Kostenoptimierung, die Kosten bewertet, um die Cloud-Effizienz zu verbessern. Wenn Sie Ihre AWS Kosten überwachen CloudZero möchten, können Sie das CloudZero Plugin im Amazon Q Developer Chat verwenden, um auf Kosteninformationen zuzugreifen, ohne den zu verlassen AWS Management Console.

Sie können das CloudZero Plugin verwenden, um Ihre AWS Kosten zu verstehen, Einblicke in die Kostenoptimierung zu erhalten und die Abrechnung zu verfolgen. Nachdem Sie eine Antwort erhalten haben, können Sie weitere Fragen stellen, z. B. zum Status oder zu den Auswirkungen der CloudZero Erkenntnisse auf die Kosten.

Um das Plugin zu konfigurieren, geben Sie Authentifizierungsdaten von Ihrem CloudZero Konto aus an, um eine Verbindung zwischen Amazon Q und zu aktivierenCloudZero. Nachdem Sie das Plugin konfiguriert haben, können Sie auf CloudZero Daten zugreifen, indem @cloudzero Sie sie am Anfang Ihrer Frage im Amazon Q-Chat hinzufügen.

Warnung

CloudZeroBenutzerberechtigungen werden vom CloudZero Plugin in Amazon Q nicht erkannt. Wenn ein Administrator das CloudZero Plugin in einem AWS Konto konfiguriert, haben Benutzer mit Plugin-Berechtigungen in diesem Konto Zugriff auf alle Ressourcen im CloudZero Konto, die durch das Plugin abgerufen werden können.

Sie können IAM-Richtlinien konfigurieren, um einzuschränken, auf welche Plugins Benutzer Zugriff haben. Weitere Informationen finden Sie unter Benutzerberechtigungen konfigurieren.

Voraussetzungen

Berechtigungen hinzufügen

Um Plugins zu konfigurieren, sind die folgenden Administratorberechtigungen erforderlich:

• Berechtigungen für den Zugriff auf die Amazon Q Developer Console. Ein Beispiel für eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt, finden Sie unterErlauben Sie Administratoren, die Amazon Q Developer Console zu verwenden.

• Berechtigungen zum Konfigurieren von Plugins. Ein Beispiel für eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt, finden Sie unterErlauben Sie Administratoren, Plugins zu konfigurieren.

Erwerben Sie Anmeldeinformationen

Bevor Sie beginnen, notieren Sie sich die folgenden Informationen aus Ihrem CloudZero Konto. Diese Authentifizierungsdaten werden AWS Secrets Manager geheim gespeichert, wenn Sie das Plugin konfigurieren.

• API-Schlüssel — Ein Zugriffsschlüssel, mit dem Amazon Q die CloudZero API aufrufen kann, um auf die Kosteninformationen und Rechnungsinformationen Ihres Unternehmens zuzugreifen. Sie finden den API-Schlüssel in Ihren CloudZero Kontoeinstellungen. Weitere Informationen finden Sie in der CloudZero Dokumentation zur Autorisierung.

Weitere Informationen zum Abrufen von Anmeldeinformationen von Ihrem CloudZero Konto finden Sie in der CloudZeroDokumentation.

Geheimnisse und Servicerollen

AWS Secrets Manager geheim

Wenn Sie das Plug-in konfigurieren, erstellt Amazon Q ein neues AWS Secrets Manager Geheimnis, in dem Sie Ihre CloudZero Authentifizierungsdaten speichern können. Alternativ können Sie ein vorhandenes Geheimnis verwenden, das Sie selbst erstellen.

Wenn Sie selbst ein Geheimnis erstellen, geben Sie den API-Schlüssel als Klartext ein:

your-api-key

Weitere Informationen zum Erstellen von Geheimnissen finden Sie unter Create a Secret im AWS Secrets Manager Benutzerhandbuch.

Servicerollen

Um das CloudZero Plugin in Amazon Q Developer zu konfigurieren, müssen Sie eine Servicerolle erstellen, die Amazon Q die Erlaubnis erteilt, auf Ihr Secrets Manager Manager-Geheimnis zuzugreifen. Amazon Q übernimmt diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihre CloudZero Anmeldeinformationen gespeichert sind.

Wenn Sie das Plugin in der AWS Konsole konfigurieren, haben Sie die Möglichkeit, ein neues Geheimnis zu erstellen oder ein vorhandenes zu verwenden. Wenn Sie ein neues Geheimnis erstellen, wird die zugehörige Servicerolle für Sie erstellt. Wenn Sie ein vorhandenes Geheimnis und eine bestehende Servicerolle verwenden, stellen Sie sicher, dass Ihre Servicerolle die folgenden Berechtigungen enthält und dass die folgende Vertrauensrichtlinie angehängt ist. Welche Servicerolle erforderlich ist, hängt von Ihrer geheimen Verschlüsselungsmethode ab.

Wenn Ihr Geheimnis mit einem AWS verwalteten KMS-Schlüssel verschlüsselt ist, ist die folgende IAM-Dienstrolle erforderlich:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}

Mehr anzeigenWeniger anzeigen

Wenn Ihr Geheimnis mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist, ist die folgende IAM-Servicerolle erforderlich:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Mehr anzeigenWeniger anzeigen

Damit Amazon Q die Servicerolle übernehmen kann, muss für die Servicerolle die folgende Vertrauensrichtlinie gelten:

Anmerkung

Das codewhisperer Präfix ist ein älterer Name eines Dienstes, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer — Zusammenfassung der Änderungen.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}

Mehr anzeigenWeniger anzeigen

Weitere Informationen zu Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service im AWS Identity and Access Management Benutzerhandbuch.

Konfigurieren Sie das Plug-in CloudZero

Sie konfigurieren Plugins in der Amazon Q Developer Console. Amazon Q verwendet die in gespeicherten Anmeldeinformationen AWS Secrets Manager , um Interaktionen mit zu ermöglichenCloudZero.

Gehen Sie wie folgt vor, um das CloudZero Plugin zu konfigurieren:

1. Öffnen Sie die Amazon Q Developer Console unter https://console.aws.amazon.com/amazonq/developer/home

2. Wählen Sie auf der Startseite der Amazon Q Developer Console die Option Einstellungen aus.

3. Wählen Sie in der Navigationsleiste Plugins aus.

4. Wählen Sie auf der Plugins-Seite das Pluszeichen im CloudZeroPanel aus. Die Plugin-Konfigurationsseite wird geöffnet.

5. Wählen Sie unter „Konfigurieren AWS Secrets Manager“ entweder „Neues Geheimnis erstellen“ oder „Bestehendes Geheimnis verwenden“. Das Secrets Manager Manager-Geheimnis ist der Ort, an dem Ihre CloudZero Authentifizierungsdaten gespeichert werden.

   Wenn Sie ein neues Geheimnis erstellen, geben Sie die folgenden Informationen ein:

   1. Geben Sie unter CloudZero API-Schlüssel den API-Schlüssel für Ihre CloudZero Organisation ein.

   2. Es wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihre CloudZero Anmeldeinformationen gespeichert sind. Bearbeiten Sie nicht die Servicerolle, die für Sie erstellt wurde.

   Wenn Sie ein vorhandenes Geheimnis verwenden, wählen Sie ein Geheimnis aus dem Dropdownmenü „AWS Secrets Manager Geheim“ aus. Das Geheimnis sollte die im vorherigen Schritt angegebenen CloudZero Authentifizierungsdaten enthalten.

   Weitere Informationen zu den erforderlichen Anmeldeinformationen finden Sie unterErwerben Sie Anmeldeinformationen.

6. Wählen Sie unter AWS IAM-Servicerolle konfigurieren entweder Neue Servicerolle erstellen oder Bestehende Servicerolle verwenden aus.

   Anmerkung

   Wenn Sie für Schritt 6 die Option Neues Geheimnis erstellen ausgewählt haben, können Sie keine vorhandene Servicerolle verwenden. Eine neue Rolle wird für Sie erstellt.

   Wenn Sie eine neue Servicerolle erstellen, wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihre CloudZero Anmeldeinformationen gespeichert sind. Bearbeiten Sie nicht die Servicerolle, die für Sie erstellt wurde.

   Wenn Sie eine vorhandene Servicerolle verwenden, wählen Sie eine Rolle aus dem angezeigten Drop-down-Menü aus. Stellen Sie sicher, dass Ihre Servicerolle über die in Servicerollen definierten Berechtigungen und Vertrauensrichtlinien verfügt.

7. Wählen Sie Save configuration (Konfiguration speichern) aus.

8. Sobald das CloudZero Plugin-Menü im Abschnitt Konfigurierte Plugins auf der Plugins-Seite angezeigt wird, haben Benutzer Zugriff auf das Plugin.

Wenn Sie die Anmeldeinformationen für ein Plugin aktualisieren möchten, müssen Sie Ihr aktuelles Plugin löschen und ein neues konfigurieren. Durch das Löschen eines Plugins werden alle vorherigen Spezifikationen entfernt. Jedes Mal, wenn Sie ein neues Plugin konfigurieren, wird ein neuer Plugin-ARN generiert.

Benutzerberechtigungen konfigurieren

Um Plugins verwenden zu können, sind die folgenden Berechtigungen erforderlich:

• Berechtigungen zum Chatten mit Amazon Q in der Konsole. Ein Beispiel für eine IAM-Richtlinie, die die für den Chat erforderlichen Berechtigungen gewährt, finden Sie unterErlauben Sie Benutzern, mit Amazon Q zu chatten.

• Die q:UsePlugin Erlaubnis.

Wenn Sie einer IAM-Identität Zugriff auf ein konfiguriertes CloudZero Plugin gewähren, erhält die Identität Zugriff auf alle Ressourcen im CloudZero Konto, die vom Plugin abgerufen werden können. CloudZeroBenutzerberechtigungen werden vom Plugin nicht erkannt. Wenn Sie den Zugriff auf ein Plugin kontrollieren möchten, können Sie dies tun, indem Sie den Plugin-ARN in einer IAM-Richtlinie angeben.

Jedes Mal, wenn Sie ein Plugin erstellen, löschen und neu konfigurieren, wird ihm ein neuer ARN zugewiesen. Wenn Sie einen Plugin-ARN in einer Richtlinie verwenden, muss dieser aktualisiert werden, wenn Sie Zugriff auf das neu konfigurierte Plugin gewähren möchten.

Um den CloudZero Plugin-ARN zu finden, rufen Sie die Plugins-Seite in der Amazon Q Developer Console auf und wählen Sie das konfigurierte CloudZero Plugin aus. Kopieren Sie auf der Plugin-Detailseite den Plugin-ARN. Sie können diesen ARN zu einer Richtlinie hinzufügen, um den Zugriff auf das CloudZero Plugin zuzulassen oder zu verweigern.

Wenn Sie eine Richtlinie zur Steuerung des Zugriffs auf CloudZero Plugins erstellen, geben Sie dies in der Richtlinie CloudZero für den Plugin-Anbieter an.

Beispiele für IAM-Richtlinien, die den Plugin-Zugriff steuern, finden Sie unterErlauben Sie Benutzern, mit Plugins von einem Anbieter zu chatten.

Chatten Sie mit dem Plugin CloudZero

Um das CloudZero Plugin zu verwenden, geben Sie @cloudzero am Anfang eine Frage zu CloudZero Ihren AWS Anwendungsmonitoren und -fällen ein. Folgefragen oder Antworten auf Fragen von Amazon Q müssen ebenfalls enthalten@cloudzero.

Im Folgenden finden Sie einige Anwendungsbeispiele und zugehörige Fragen, die Sie stellen können, um das Amazon CloudZero Q-Plugin optimal zu nutzen:

• Erfahren Sie mehr über die Verwendung CloudZero mit AWS — Fragen Sie nach, wie CloudZero Funktionen funktionieren. Amazon Q fragt Sie möglicherweise nach weiteren Informationen darüber, was Sie tun möchten, um die beste Antwort zu finden.

  • @cloudzero how do I use CloudZero?

  • @cloudzero how do I get started with CloudZero?

• Kosteninformationen auflisten — Holen Sie sich eine Liste mit Kosteninformationen oder erfahren Sie mehr über eine bestimmte Erkenntnis.

  • @cloudzero list my top cost insights

  • @cloudzero tell me more about insight <insight ID>

• Rechnungsinformationen abrufen — Fragen Sie das Amazon CloudZero Q-Plugin nach Ihren AWS Rechnungsinformationen.

  • @cloudzero what were my AWS costs for December 2024?