Gestione el acceso a Amazon Q Developer con políticas

nota

La información de esta página se refiere al acceso a Amazon Q Developer. Para obtener información sobre la gestión del acceso a Amazon Q Business, consulte los ejemplos de políticas basadas en la identidad de Amazon Q Business en la Guía del usuario de Amazon Q Business.

Las políticas y los ejemplos de este tema son específicos de Amazon Q en el AWS sitio web AWS Management Console AWS Console Mobile Application AWS Documentation, AWS Chatbot, y enIDEs. Es posible que otros servicios integrados con Amazon Q requieran políticas o configuraciones diferentes. Para obtener más información, consulta la documentación del servicio que contiene una función o integración de Amazon Q.

De forma predeterminada, los usuarios y los roles no tienen permiso para usar Amazon Q. IAM Los administradores pueden gestionar el acceso a Amazon Q Developer y sus funciones concediendo permisos a IAM las identidades.

La forma más rápida de que un administrador conceda acceso a los usuarios es mediante una política AWS gestionada. La AmazonQFullAccess política se puede adjuntar a IAM las identidades para garantizar el acceso total a Amazon Q Developer y sus funciones. Para obtener más información sobre esta política, consulte AWS políticas gestionadas para Amazon Q Developer.

Para gestionar las acciones específicas que IAM las identidades pueden realizar con Amazon Q Developer, los administradores pueden crear políticas personalizadas que definan los permisos que tiene un usuario, grupo o rol. También puedes usar las políticas de control de servicios (SCPs) para controlar qué funciones de Amazon Q están disponibles en tu organización.

Para ver una lista de todos los permisos de Amazon Q que puedes controlar con políticas, consulta laReferencia de permisos para desarrolladores de Amazon Q.

Temas

Prácticas recomendadas sobre las políticas
Asignar permisos
Gestione el acceso con políticas de control de servicios (SCPs)
Perímetros de datos para los recursos de Amazon Q
Ejemplos de políticas basadas en la identidad para desarrolladores de Amazon Q

Prácticas recomendadas sobre las políticas

Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de Amazon Q Developer de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:

Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Para obtener más información, consulte las políticas AWS gestionadas o las políticas AWS gestionadas para las funciones laborales en la Guía del IAM usuario.
Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.
Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, como AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.
Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte la validación de políticas de IAM Access Analyzer en la Guía del IAM usuario.
Requerir autenticación multifactorial (MFA): si se encuentra en una situación en la que se requieren IAM usuarios o un usuario raíz Cuenta de AWS, actívela MFA para aumentar la seguridad. Para solicitarlo MFA cuando se convoque a API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.

Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

Asignar permisos

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

Gestione el acceso con políticas de control de servicios (SCPs)

Las políticas de control de servicios (SCPs) son un tipo de política organizacional que puede usar para administrar los permisos en su organización. Puede controlar qué funciones de Amazon Q Developer están disponibles en su organización creando una SCP que especifique los permisos para algunas o todas las acciones de Amazon Q.

Para obtener más información sobre cómo SCPs controlar el acceso en su organización, consulte Crear, actualizar y eliminar políticas de control de servicios y Adjuntar y separar políticas de control de servicios en la Guía del AWS Organizations usuario.

El siguiente es un ejemplo de una política SCP que deniega el acceso a Amazon Q. Esta política restringe el acceso al chat de Amazon Q, la solución de problemas de consola y la solución de problemas de red.

nota

Al denegar el acceso a Amazon Q no se inhabilitará el icono o el panel de chat de Amazon Q en la AWS consola, el AWS sitio web, las páginas de AWS documentación o AWS Console Mobile Application.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Perímetros de datos para los recursos de Amazon Q

En el caso de algunas funciones, Amazon Q carga los artefactos en los buckets de Amazon AWS S3 propiedad del servicio. Si utiliza perímetros de datos para controlar el acceso a Amazon S3 en su entorno, es posible que necesite permitir explícitamente el acceso a estos depósitos para utilizar las funciones de Amazon Q correspondientes.

En la siguiente tabla se enumeran ARN URL los depósitos de Amazon S3 a los que Amazon Q necesita acceder y las funciones que utilizan cada uno de ellos. Puede usar el bucket ARN o el bucket URL para incluir estos buckets en una lista de permitidos, en función de cómo controle el acceso a Amazon S3.

Cubeta Amazon S3 ARN Cubeta Amazon S3 URL Descripción

Cubeta Amazon S3 ARN	Cubeta Amazon S3 URL	Descripción
`arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b`	`https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/`	Un bucket de Amazon S3 que se utiliza para cargar artefactos para escanear el código de Amazon Q
`arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0`	`https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/`	Un bucket de Amazon S3 que se utiliza para cargar artefactos para el Amazon Q Developer Agent for code transformation
`arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6`	`https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/`	Un bucket de Amazon S3 que se utiliza para cargar artefactos para el Amazon Q Developer Agent for software development


arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b


https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/

Un bucket de Amazon S3 que se utiliza para cargar artefactos para escanear el código de Amazon Q


arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0


https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/

Un bucket de Amazon S3 que se utiliza para cargar artefactos para el Amazon Q Developer Agent for code transformation


arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6


https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/

Un bucket de Amazon S3 que se utiliza para cargar artefactos para el Amazon Q Developer Agent for software development

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo funciona Amazon Q con IAM

Ejemplos de políticas basadas en identidad para Amazon Q