Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wiz ist eine Cloud-Sicherheitsplattform, die Sicherheitsmanagement, Risikobewertung und Priorisierung sowie Schwachstellenmanagement bietet. Wenn Sie verwenden Wiz Um Ihre AWS Anwendungen zu bewerten und zu überwachen, können Sie das Plug-in im Amazon Q-Chat verwenden, um auf Erkenntnisse zuzugreifen von Wiz ohne das zu verlassen AWS Management Console.
Sie können das Plugin verwenden, um es zu identifizieren und abzurufen Wiz Probleme, bewerten Sie Ihre riskantesten Vermögenswerte und ermitteln Sie Sicherheitslücken oder Risiken. Nachdem Sie eine Antwort erhalten haben, können Sie weitere Fragen stellen, z. B. zur Behebung eines Problems.
Um das Plugin zu konfigurieren, geben Sie die Authentifizierungsdaten von Ihrem Wiz Konto, um eine Verbindung zwischen Amazon Q und Wiz. Nachdem Sie das Plugin konfiguriert haben, können Sie darauf zugreifen Wiz Metriken@wiz, indem Sie sie am Anfang Ihrer Frage im Amazon Q-Chat hinzufügen.
Warnung
Wiz Benutzerberechtigungen werden nicht erkannt von Wiz Plugin in Amazon Q: Wenn ein Administrator das konfiguriert Wiz Plugin in einem AWS Konto, Benutzer mit Plugin-Berechtigungen in diesem Konto haben Zugriff auf alle Ressourcen in Wiz Konto, das durch das Plugin abgerufen werden kann.
Sie können IAM-Richtlinien konfigurieren, um einzuschränken, auf welche Plugins Benutzer Zugriff haben. Weitere Informationen finden Sie unter Benutzerberechtigungen konfigurieren.
Voraussetzungen
Berechtigungen hinzufügen
Um Plugins zu konfigurieren, sind die folgenden Administratorberechtigungen erforderlich:
-
Berechtigungen für den Zugriff auf die Amazon Q Developer Console. Ein Beispiel für eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt, finden Sie unterErlauben Sie Administratoren, die Amazon Q Developer Console zu verwenden.
-
Berechtigungen zum Konfigurieren von Plugins. Ein Beispiel für eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt, finden Sie unterErlauben Sie Administratoren, Plugins zu konfigurieren.
Erwerben Sie Anmeldeinformationen
Bevor Sie beginnen, notieren Sie sich die folgenden Informationen von Wiz Konto. Diese Authentifizierungsdaten werden bei der Konfiguration des Plug-ins AWS Secrets Manager geheim gespeichert.
-
API-Endpunkt-URL — Die URL, auf die Sie zugreifen Wiz. Zum Beispiel
https://api.us1.app.Wiz.io/graphql. Weitere Informationen finden Sie unter API-Endpunkt-URLim Wiz -Dokumentation. -
Client-ID und Client Secret — Anmeldeinformationen, mit denen Amazon Q anrufen kann Wiz APIs um auf Ihre Anwendung zuzugreifen. Weitere Informationen finden Sie unter Client ID und Client Secret
im Wiz -Dokumentation.
Geheimnisse und Servicerollen
AWS Secrets Manager geheim
Wenn Sie das Plug-in konfigurieren, erstellt Amazon Q ein neues AWS Secrets Manager Geheimnis, das Sie speichern können Wiz Anmeldeinformationen für die Authentifizierung. Alternativ können Sie ein vorhandenes Geheimnis verwenden, das Sie selbst erstellt haben.
Wenn Sie selbst ein Geheimnis erstellen, stellen Sie sicher, dass es die folgenden Anmeldeinformationen enthält und das folgende JSON-Format verwendet:
{ "ClientId": "<your-client-id>", "ClientSecret": "<your-client-secret>" }
Weitere Informationen zum Erstellen von Geheimnissen finden Sie unter Create a Secret im AWS Secrets Manager Benutzerhandbuch.
Servicerollen
Um das zu konfigurieren Wiz Als Plug-in in Amazon Q Developer müssen Sie eine Servicerolle erstellen, die Amazon Q die Erlaubnis erteilt, auf Ihr Secrets Manager Manager-Geheimnis zuzugreifen. Amazon Q übernimmt diese Rolle, um auf das Geheimnis zuzugreifen, in dem Ihr Wiz Anmeldeinformationen werden gespeichert.
Wenn Sie das Plugin in der AWS Konsole konfigurieren, haben Sie die Möglichkeit, ein neues Geheimnis zu erstellen oder ein vorhandenes zu verwenden. Wenn Sie ein neues Geheimnis erstellen, wird die zugehörige Servicerolle für Sie erstellt. Wenn Sie ein vorhandenes Geheimnis und eine bestehende Servicerolle verwenden, stellen Sie sicher, dass Ihre Servicerolle diese Berechtigungen enthält und dass die folgende Vertrauensrichtlinie angehängt ist. Welche Servicerolle erforderlich ist, hängt von Ihrer geheimen Verschlüsselungsmethode ab.
Wenn Ihr Geheimnis mit einem AWS verwalteten KMS-Schlüssel verschlüsselt ist, ist die folgende IAM-Dienstrolle erforderlich:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:aws:secretsmanager:{{your-region}}:{{your-account-id}}:secret:[[secret-id]]"
]
}
]
}Wenn Ihr Geheimnis mit einem vom Kunden verwalteten AWS KMS Schlüssel verschlüsselt ist, ist die folgende IAM-Servicerolle erforderlich:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:{{region}}:{{accountId}}:secret:{{secretId}}"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{region}}:{{accountId}}:key/{{keyId}}",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.{{region}}.amazonaws.com"
}
}
}
]
}Damit Amazon Q die Servicerolle übernehmen kann, muss für die Servicerolle die folgende Vertrauensrichtlinie gelten:
Anmerkung
Das codewhisperer Präfix ist ein älterer Name eines Dienstes, der mit Amazon Q Developer zusammengeführt wurde. Weitere Informationen finden Sie unter Umbenennung von Amazon Q Developer — Zusammenfassung der Änderungen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "q.amazonaws.com"
},
"Action": ["sts:AssumeRole", "sts:SetContext"],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{accountId}}",
"aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
}
}
}
]
}Weitere Informationen zu Servicerollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Service im AWS Identity and Access Management Benutzerhandbuch.
Konfigurieren Sie Wiz Plugin
Sie konfigurieren Plugins in der Amazon Q Developer Console. Amazon Q verwendet die in gespeicherten Anmeldeinformationen AWS Secrets Manager , um Interaktionen mit zu ermöglichen Wiz.
Um das zu konfigurieren Wiz Führen Sie das folgende Verfahren durch, um das Plugin zu verwenden:
-
Öffnen Sie die Amazon Q Developer Console unter https://console.aws.amazon.com/amazonq/developer/home
-
Wählen Sie auf der Startseite der Amazon Q Developer Console die Option Einstellungen aus.
-
Wählen Sie in der Navigationsleiste Plugins aus.
-
Wählen Sie auf der Plugins-Seite das Pluszeichen auf WizPanel. Die Plugin-Konfigurationsseite wird geöffnet.
-
Geben Sie als API-Endpunkt-URL die URL des API-Endpunkts ein, auf den Sie zugreifen Wiz.
-
Wählen Sie AWS Secrets Manager unter Konfigurieren entweder Neues Geheimnis erstellen oder Bestehendes Geheimnis verwenden aus. Das Secrets Manager Manager-Geheimnis ist, wo dein Wiz Authentifizierungsdaten werden gespeichert.
Wenn Sie ein neues Geheimnis erstellen, geben Sie die folgenden Informationen ein:
-
Geben Sie als Client-ID die Client-ID für Ihr Wiz Konto.
-
Geben Sie unter Client Secret den Client Secret für Ihr Wiz Konto.
-
Es wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihr Wiz Anmeldeinformationen werden gespeichert. Bearbeiten Sie nicht die Servicerolle, die für Sie erstellt wurde.
Wenn Sie ein vorhandenes Geheimnis verwenden, wählen Sie ein Geheimnis aus dem Dropdownmenü „AWS Secrets Manager Geheim“ aus. Das Geheimnis sollte Folgendes enthalten Wiz Authentifizierungsdaten, die im vorherigen Schritt angegeben wurden.
Weitere Informationen zu den erforderlichen Anmeldeinformationen finden Sie unterErwerben Sie Anmeldeinformationen .
-
-
Wählen Sie unter AWS IAM-Servicerolle konfigurieren entweder Neue Servicerolle erstellen oder Bestehende Servicerolle verwenden aus.
Anmerkung
Wenn Sie für Schritt 6 die Option Neues Geheimnis erstellen ausgewählt haben, können Sie keine vorhandene Servicerolle verwenden. Eine neue Rolle wird für Sie erstellt.
Wenn Sie eine neue Servicerolle erstellen, wird eine Servicerolle erstellt, die Amazon Q verwendet, um auf das Geheimnis zuzugreifen, in dem Ihr Wiz Anmeldeinformationen werden gespeichert. Bearbeiten Sie nicht die Servicerolle, die für Sie erstellt wurde.
Wenn Sie eine vorhandene Servicerolle verwenden, wählen Sie eine Rolle aus dem angezeigten Drop-down-Menü aus. Vergewissern Sie sich, dass Ihre Servicerolle über die in Servicerollen definierten Berechtigungen und Vertrauensrichtlinien verfügt.
-
Wählen Sie Save configuration (Konfiguration speichern) aus.
-
Nach dem Wiz Das Plugin-Bedienfeld wird im Abschnitt Konfigurierte Plugins auf der Plugins-Seite angezeigt. Benutzer haben Zugriff auf das Plugin.
Wenn Sie die Anmeldeinformationen für ein Plugin aktualisieren möchten, müssen Sie Ihr aktuelles Plugin löschen und ein neues konfigurieren. Durch das Löschen eines Plugins werden alle vorherigen Spezifikationen entfernt. Jedes Mal, wenn Sie ein neues Plugin konfigurieren, wird ein neuer Plugin-ARN generiert.
Benutzerberechtigungen konfigurieren
Um Plugins verwenden zu können, sind die folgenden Berechtigungen erforderlich:
-
Berechtigungen zum Chatten mit Amazon Q in der Konsole. Ein Beispiel für eine IAM-Richtlinie, die die für den Chat erforderlichen Berechtigungen gewährt, finden Sie unterBenutzern erlauben, mit Amazon Q zu chatten.
-
Die
q:UsePluginErlaubnis.
Wenn Sie einer IAM-Identität Zugriff auf eine konfigurierte Wiz Durch das Plug-in erhält die Identität Zugriff auf alle Ressourcen in Wiz Konto durch das Plugin abrufbar. Wiz Benutzerberechtigungen werden vom Plugin nicht erkannt. Wenn Sie den Zugriff auf ein Plugin kontrollieren möchten, können Sie dies tun, indem Sie den Plugin-ARN in einer IAM-Richtlinie angeben.
Jedes Mal, wenn Sie ein Plugin erstellen, löschen und neu konfigurieren, wird ihm ein neuer ARN zugewiesen. Wenn Sie einen Plugin-ARN in einer Richtlinie verwenden, muss dieser aktualisiert werden, wenn Sie Zugriff auf das neu konfigurierte Plugin gewähren möchten.
Um das zu finden Wiz Plugin ARN, gehen Sie zur Plugins-Seite in der Amazon Q Developer Console und wählen Sie das konfigurierte Wiz Plugin. Kopieren Sie auf der Plugin-Detailseite den Plugin-ARN. Sie können diesen ARN zu einer Richtlinie hinzufügen, um den Zugriff auf die Wiz Plugin.
Wenn Sie eine Richtlinie zur Steuerung des Zugriffs auf erstellen Wiz Plugins, geben Sie Wiz den Namen des Plugins in der Richtlinie an.
Beispiele für IAM-Richtlinien, die den Plugin-Zugriff steuern, finden Sie unterErlauben Sie Benutzern, mit Plugins von einem Anbieter zu chatten.
Chatten Sie mit dem Wiz Plugin
Um Amazon Q zu verwenden Wiz Plugin, geben Sie @Wiz am Anfang eine Frage zu Ihrem Wiz Probleme. Folgefragen oder Antworten auf Fragen von Amazon Q müssen ebenfalls enthalten@Wiz.
Im Folgenden finden Sie einige Anwendungsbeispiele und zugehörige Fragen, die Sie stellen können, um Amazon Q optimal zu nutzen Wiz -Plugin verwenden können:
-
Probleme mit kritischem Schweregrad anzeigen — Fragen Sie Amazon Q Wiz Plugin, um Ihre Probleme mit kritischem oder hohem Schweregrad aufzulisten. Das Plugin kann bis zu 10 Probleme zurückgeben. Sie können auch darum bitten, die 10 schwerwiegendsten Probleme aufzulisten.
-
@wiz what are my critical severity issues? -
@wiz can you specify the top 5?
-
-
Probleme nach Datum oder Status auflisten — Bitten Sie darum, Probleme anhand des Erstellungs-, Fälligkeits- oder Lösungsdatums aufzulisten. Sie können Probleme auch anhand von Eigenschaften wie Status, Schweregrad und Typ angeben.
-
@wiz which issues are due before <date>? -
@wiz what are my issues that have been resolved since <date>?
-
-
Beurteilen Sie Probleme mit Sicherheitslücken — Erkundigen Sie sich nach den Sicherheitslücken oder Sicherheitslücken, die Ihre Probleme als Sicherheitsbedrohungen darstellen.
-
@wiz which issues are associated with vulnerabilities or external exposures?
-
