Referencia de permisos para desarrolladores de Amazon Q

El desarrollador de Amazon Q utiliza dos tipos de APIs para proporcionar el servicio:

• Permisos de usuario y administrador, que se pueden utilizar en las políticas para controlar el uso de Amazon Q

• Otros APIs utilizados para proporcionar el servicio, que no se pueden usar en las políticas para controlar el uso de Amazon Q

En esta sección se proporciona información sobre lo que APIs utilizan los desarrolladores de Amazon Q y lo que hacen.

Permisos de desarrollador de Amazon Q

Puede utilizar los siguientes permisos como referencia al configurar la autenticación con identidades en Amazon Q y al redactar políticas de permisos que pueda adjuntar a una IAM identidad (políticas basadas en la identidad).

La siguiente tabla muestra los permisos de desarrollador de Amazon Q a los que puedes permitir o denegar el acceso en las políticas.

importante

Para chatear con Amazon Q, una IAM identidad necesita permisos para realizar las siguientes acciones:

• StartConversation

• SendMessage

• GetConversation (solo consola)

• ListConversations (solo consola)

Si una de estas acciones no está permitida explícitamente en una política adjunta, se IAM mostrará un error de permisos al intentar chatear con Amazon Q.

nota

El codewhisperer prefijo es un nombre heredado de un servicio que se fusionó con Amazon Q Developer. Para obtener más información, consulte Cambio de nombre de Amazon Q Developer: resumen de los cambios.

Permisos de desarrollador de Amazon Q
Nombre	Descripción del permiso concedido	¿Necesitas chatear con Amazon Q?
Permisos de usuario
codewhisperer:GenerateRecommendations	Obtenga sugerencias de código en Amazon Q para entornos AWS de codificación	No
q:GetConversation	Concesión de mensajes individuales asociados a una conversación específica con Amazon Q	Sí (solo en la consola)
q:GetIdentityMetaData	Permitir que Amazon Q obtenga metadatos relacionados con la identidad de la aplicación	No
q:GetTroubleshootingResults	Obtención de resultados de solución de problemas con Amazon Q	No
q:ListConversations	Listar las conversaciones individuales asociadas a un usuario específico de Amazon Q	Sí (solo en la consola)
q:PassRequest	Permitir que Amazon Q lleve a cabo acciones para las que una IAM identidad tiene permiso	No
q:SendMessage	Envío de un mensaje a Amazon Q	Sí
q:StartConversation	Inicio de una conversación con Amazon Q	Sí
q:StartTroubleshootingAnalysis	Comienzo de un análisis de solución de problemas con Amazon Q	No
q:StartTroubleshootingResolutionExplanation	Comienzo de una explicación de resolución de problemas con Amazon Q	No
q:UpdateTroubleshootingCommandResult	Permita que Amazon Q analice los recursos para solucionar un error en la consola	No
Permisos de administrador
q:CreateAssignment	Crear una asignación de usuario o grupo para un perfil de desarrollador de Amazon Q	No
codewhisperer:CreateCustomization	Cree una personalización de Amazon Q a partir de su fuente de datos	No
q:DeleteAssignment	Eliminar una asignación de usuario o grupo para un perfil de desarrollador de Amazon Q	No
codewhisperer:DeleteCustomization	Eliminar una personalización de Amazon Q	No
codewhisperer:GetCustomization	Obtén detalles sobre una personalización de Amazon Q	No
codewhisperer:ListCustomizations	Enumere las personalizaciones de Amazon Q según su estado	No
codewhisperer:ListProfiles	Listar perfiles de Amazon Q	No
codewhisperer:ListTagsForResource	Listar las etiquetas de un recurso de Amazon Q en una carga de página de consola	No
codewhisperer:TagResource	Añadir o crear una etiqueta para un recurso de Amazon Q	No
codewhisperer:UnTagResource	Eliminar una etiqueta de un recurso de Amazon Q	No
codewhisperer:UpdateCustomization	Activar o desactivar una personalización de Amazon Q	No
codewhisperer:ListCustomizationVersions	Listar las versiones de una personalización de Amazon Q	No
codewhisperer:UpdateProfile	Actualizar un perfil de Amazon Q	No

Usando un: PassRequest

q:PassRequestes un permiso de Amazon Q que permite a Amazon Q llamar AWS APIs en tu nombre. Al añadir el q:PassRequest permiso a una IAM identidad, Amazon Q obtiene permiso para llamar a cualquier persona a la API que la IAM identidad tenga permiso para llamar. Por ejemplo, si un IAM rol tiene el s3:ListAllMyBuckets permiso y el q:PassRequest permiso, Amazon Q puede llamar al ListAllMyBuckets API cuando un usuario que asume ese IAM rol le pida a Amazon Q que publique sus buckets de Amazon S3.

Puede crear IAM políticas que restrinjan el alcance del q:PassRequest permiso. Por ejemplo, puedes impedir que Amazon Q lleve a cabo una acción específica o permitir que Amazon Q solo realice un subconjunto de acciones para un servicio. También puedes especificar las regiones a las que Amazon Q puede realizar llamadas cuando realice acciones en tu nombre.

Para ver ejemplos de IAM políticas que controlan su usoq:PassRequest, consulta los siguientes ejemplos de políticas basadas en la identidad:

• Permita que Amazon Q lleve a cabo acciones en su nombre

• Denegar a Amazon Q el permiso para realizar acciones específicas en tu nombre

• Concédele permiso a Amazon Q para realizar acciones específicas en tu nombre

• Conceda permiso a Amazon Q para realizar acciones en su nombre en regiones específicas

• Denegar a Amazon Q el permiso para realizar acciones en tu nombre

Permisos de suscripciones de usuarios de Amazon Q

Los administradores de Amazon Q Developer deben tener los siguientes permisos para crear y gestionar suscripciones para los usuarios y grupos de su organización.

La siguiente terminología es útil para entender lo que hacen los permisos de suscripción:

Servicio

Un usuario individual, representado AWS IAM Identity Center por un seudónimo único.

Group (Grupo)

Un conjunto de usuarios, representados AWS IAM Identity Center por un ID de grupo único.

Suscripción

La suscripción está vinculada a un único usuario de Identity Center y le da derecho a utilizar las funciones de Amazon Q. Una suscripción no autoriza a un usuario a utilizar las funciones de Amazon Q. Por ejemplo, si Adam está suscrito a Amazon Q Developer Pro, tiene derecho a utilizar las funciones de Amazon Q Developer, pero no tendrá acceso a esas funciones hasta que su administrador le conceda los permisos necesarios.

Permisos de suscripciones de usuarios de Amazon Q
Nombre	Descripción de la acción
user-subscriptions:CreateClaim	Crea una suscripción de usuario
user-subscriptions:DeleteClaim	Eliminar una suscripción de usuario
user-subscriptions:ListApplicationClaims	Listar todas las suscripciones de usuario de una aplicación determinada
user-subscriptions:ListClaims	Enumere todas las suscripciones de usuario
user-subscriptions:ListUserSubscriptions	Enumere todas las suscripciones de usuario de un usuario determinado
user-subscriptions:UpdateClaim	Actualizar la suscripción de un usuario

Otros desarrolladores de Amazon Q APIs

La siguiente tabla muestra las APIs que utilizan las funciones de Amazon Q enIDE. APIsNo se utilizan para controlar el acceso a las funciones de Amazon Q, pero aparecerán en AWS CloudTrail los registros de las cuentas de gestión cuando los usuarios accedan a la función asociada.

nota

El codewhisperer prefijo es un nombre heredado de un servicio que se fusionó con Amazon Q Developer. Para obtener más información, consulte Cambio de nombre de Amazon Q Developer: resumen de los cambios.

Desarrollador de Amazon Q APIs para proporcionar el servicio
Nombre	Descripción de la acción
codewhisperer:AllowVendedLogDeliveryForResource	Permite a Amazon Q Developer publicar registros en Amazon de forma CloudWatch asíncrona
codewhisperer:CreateTaskAssistConversation	Inicia una conversación con el Amazon Q Developer Agent for software development
codewhisperer:CreateUploadUrl	Crea el URL para cargar los archivos de código que se utilizarán para el desarrollo con Amazon Q en el IDE
codewhisperer:DeleteTaskAssistConversation	Elimina una conversación con el Amazon Q Developer Agent for software development
codewhisperer:ExportResultArchive	Exporta un archivo de resultados de Amazon Q Developer para su descarga
codewhisperer:GenerateAssistantResponse	Devuelve una respuesta en Amazon Q en el chat del IDE
codewhisperer:GenerateCompletions	Obtiene sugerencias de código en línea
codewhisperer:GenerateTaskAssistPlan	Genera un plan de implementación a partir del Amazon Q Developer Agent for software development
codewhisperer:GetCodeAnalysis	Obtiene el estado de un análisis de seguridad en curso
codewhisperer:GetTaskAssistCodeGeneration	Obtiene el código generado por Amazon Q Developer Agent for software development
codewhisperer:GetTransformation	Devuelve una transformación de código del Amazon Q Developer Agent for code transformation
codewhisperer:GetTransformationPlan	Devuelve el plan de transformación del Amazon Q Developer Agent for software development
codewhisperer:ListAvailableCustomizations	Devuelve la lista de personalizaciones que se han creado y están disponibles para su uso
codewhisperer:ListCodeAnalysisFindings	Devuelve la lista de todos los problemas de seguridad de los archivos escaneados
codewhisperer:ListFeatureEvaluations	Enumera las configuraciones relevantes para las funciones del lado del cliente de Amazon Q Developer
codewhisperer:SendTelemetryEvent	Envía información de telemetría a AWS sobre el uso de Amazon Q en IDE
codewhisperer:StartTaskAssistCodeGeneration	Inicia la generación de código con el Amazon Q Developer Agent for software development
codewhisperer:StartCodeAnalysis	Inicia un análisis de seguridad
codewhisperer:StartTransformation	Inicia una transformación con Amazon Q Developer Agent for code transformation
codewhisperer:StopTransformation	Detiene una transformación con el Amazon Q Developer Agent for code transformation