Configuration du CloudZero plugin Amazon Q Developer

CloudZeroest une plateforme d'optimisation des coûts du cloud qui évalue les coûts afin d'améliorer l'efficacité du cloud. Si vous avez l'CloudZerohabitude de surveiller vos AWS coûts, vous pouvez utiliser le CloudZero plugin dans le chat Amazon Q Developer pour accéder aux informations sur les coûts sans quitter le AWS Management Console.

Vous pouvez utiliser le CloudZero plugin pour comprendre vos AWS coûts, obtenir des informations sur l'optimisation des coûts et suivre la facturation. Après avoir reçu une réponse, vous pouvez poser des questions complémentaires, telles que le statut ou l'impact financier des CloudZero informations.

Pour configurer le plugin, vous devez fournir les informations d'authentification de votre CloudZero compte pour permettre une connexion entre Amazon Q etCloudZero. Après avoir configuré le plugin, vous pouvez accéder aux CloudZero données en les ajoutant @cloudzero au début de votre question dans le chat Amazon Q.

Avertissement

CloudZeroles autorisations utilisateur ne sont pas détectées par le CloudZero plugin sur Amazon Q. Lorsqu'un administrateur configure le CloudZero plugin dans un AWS compte, les utilisateurs disposant d'autorisations sur ce compte ont accès à toutes les ressources du CloudZero compte consultables par le plugin.

Vous pouvez configurer des politiques IAM pour limiter les plug-ins auxquels les utilisateurs ont accès. Pour de plus amples informations, veuillez consulter Configuration des autorisations utilisateur.

Prérequis

Ajout des autorisations

Pour configurer les plug-ins, les autorisations de niveau administrateur suivantes sont requises :

• Autorisations d'accès à la console Amazon Q Developer. Pour un exemple de politique IAM qui accorde les autorisations nécessaires, consultezAutoriser les administrateurs à utiliser la console Amazon Q Developer.

• Autorisations pour configurer les plugins. Pour un exemple de politique IAM qui accorde les autorisations nécessaires, consultezAutoriser les administrateurs à configurer les plugins.

Acquérir des identifiants

Avant de commencer, notez les informations suivantes relatives à votre CloudZero compte. Ces informations d'authentification seront stockées dans un AWS Secrets Manager secret lorsque vous configurerez le plugin.

• Clé d'API : clé d'accès qui permet à Amazon Q d'appeler l'CloudZeroAPI pour accéder aux informations sur les coûts et aux informations de facturation de votre organisation. Vous trouverez la clé API dans les paramètres de votre CloudZero compte. Pour plus d'informations, consultez l'autorisation dans la CloudZero documentation.

Pour plus d'informations sur l'acquisition d'informations d'identification à partir de votre CloudZero compte, consultez la CloudZerodocumentation.

Secrets et rôles de service

AWS Secrets Manager secret

Lorsque vous configurez le plugin, Amazon Q crée un nouveau AWS Secrets Manager secret pour que vous puissiez stocker les informations CloudZero d'authentification. Vous pouvez également utiliser un secret existant que vous avez créé vous-même.

Si vous créez vous-même un secret, entrez la clé d'API en texte brut :

your-api-key

Pour plus d'informations sur la création de secrets, voir Création d'un secret dans le Guide de AWS Secrets Manager l'utilisateur.

Rôles de service

Pour configurer le CloudZero plugin dans Amazon Q Developer, vous devez créer un rôle de service qui autorise Amazon Q à accéder à votre secret Secrets Manager. Amazon Q assume ce rôle pour accéder au secret dans lequel sont stockées vos CloudZero informations d'identification.

Lorsque vous configurez le plugin dans la AWS console, vous avez la possibilité de créer un nouveau secret ou d'utiliser un secret existant. Si vous créez un nouveau secret, le rôle de service associé est créé pour vous. Si vous utilisez un secret existant et un rôle de service existant, assurez-vous que votre rôle de service contient les autorisations suivantes et qu'il est associé à la politique de confiance suivante. Le rôle de service requis dépend de votre méthode de chiffrement secrète.

Si votre secret est chiffré à l'aide d'une clé KMS AWS gérée, le rôle de service IAM suivant est requis :

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}

Afficher plusAfficher moins

Si votre secret est chiffré à l'aide d'une AWS KMS clé gérée par le client, le rôle de service IAM suivant est requis :

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Afficher plusAfficher moins

Pour permettre à Amazon Q d'assumer le rôle de service, celui-ci doit respecter la politique de confiance suivante :

Note

Le codewhisperer préfixe est un ancien nom issu d'un service fusionné avec Amazon Q Developer. Pour de plus amples informations, veuillez consulter Changement du nom du développeur Amazon Q - Résumé des modifications.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}

Afficher plusAfficher moins

Pour plus d'informations sur les rôles de service, voir Créer un rôle pour déléguer des autorisations à un AWS service dans le Guide de AWS Identity and Access Management l'utilisateur.

Configurer le CloudZero plugin

Vous configurez les plug-ins dans la console Amazon Q Developer. Amazon Q utilise les informations d'identification stockées dans le AWS Secrets Manager répertoire pour permettre les interactions avecCloudZero.

Pour configurer le CloudZero plugin, procédez comme suit :

1. Ouvrez la console Amazon Q Developer sur le site du https://console.aws.amazon.com/amazonq/développeur/à la maison

2. Sur la page d'accueil de la console Amazon Q Developer, sélectionnez Paramètres.

3. Dans la barre de navigation, choisissez Plugins.

4. Sur la page des plugins, choisissez le signe plus sur le CloudZeropanneau. La page de configuration du plugin s'ouvre.

5. Pour Configurer AWS Secrets Manager, choisissez Créer un nouveau secret ou Utiliser un secret existant. Le secret du Secrets Manager est l'endroit où vos informations d'CloudZeroauthentification seront stockées.

   Si vous créez un nouveau secret, entrez les informations suivantes :

   1. Pour la clé d'CloudZeroAPI, entrez la clé d'API de votre CloudZero organisation.

   2. Un rôle de service sera créé qu'Amazon Q utilisera pour accéder au secret dans lequel vos CloudZero informations d'identification sont stockées. Ne modifiez pas le rôle de service créé pour vous.

   Si vous utilisez un secret existant, choisissez-en un dans le menu déroulant des AWS Secrets Manager secrets. Le secret doit inclure les informations CloudZero d'authentification spécifiées à l'étape précédente.

   Pour plus d'informations sur les informations d'identification requises, consultezAcquérir des identifiants.

6. Pour Configurer le rôle de service AWS IAM, choisissez Créer un nouveau rôle de service ou Utiliser un rôle de service existant.

   Note

   Si vous avez choisi Créer un nouveau secret pour l'étape 6, vous ne pouvez pas utiliser un rôle de service existant. Un nouveau rôle sera créé pour vous.

   Si vous créez un nouveau rôle de service, un rôle de service sera créé qu'Amazon Q utilisera pour accéder au secret dans lequel vos CloudZero informations d'identification sont stockées. Ne modifiez pas le rôle de service créé pour vous.

   Si vous utilisez un rôle de service existant, choisissez-en un dans le menu déroulant qui apparaît. Assurez-vous que votre rôle de service dispose des autorisations et de la politique de confiance définies dansRôles de service.

7. Choisissez Save configuration.

8. Une fois que le panneau du CloudZero plugin apparaît dans la section Extensions configurées de la page Plugins, les utilisateurs auront accès au plugin.

Si vous souhaitez mettre à jour les informations d'identification d'un plugin, vous devez supprimer le plugin actuel et en configurer un nouveau. La suppression d'un plugin entraîne la suppression de toutes les spécifications précédentes. Chaque fois que vous configurez un nouveau plugin, un nouvel ARN de plugin est généré.

Configuration des autorisations utilisateur

Pour utiliser les plugins, les autorisations suivantes sont requises :

• Autorisations pour discuter avec Amazon Q dans la console. Pour un exemple de politique IAM qui accorde les autorisations nécessaires pour discuter, voirAutoriser les utilisateurs à discuter avec Amazon Q.

• L'q:UsePluginautorisation.

Lorsque vous accordez à une identité IAM l'accès à un CloudZero plug-in configuré, l'identité accède à toutes les ressources du CloudZero compte pouvant être récupérées par le plug-in. CloudZeroles autorisations utilisateur ne sont pas détectées par le plugin. Si vous souhaitez contrôler l'accès à un plugin, vous pouvez le faire en spécifiant son ARN dans une politique IAM.

Chaque fois que vous créez ou supprimez et reconfigurez un plugin, un nouvel ARN lui est attribué. Si vous utilisez un ARN de plugin dans une politique, celui-ci devra être mis à jour si vous souhaitez autoriser l'accès au plugin nouvellement configuré.

Pour localiser l'ARN du CloudZero plugin, rendez-vous sur la page Plugins de la console Amazon Q Developer et choisissez le CloudZero plugin configuré. Sur la page de détails du plugin, copiez l'ARN du plugin. Vous pouvez ajouter cet ARN à une politique pour autoriser ou refuser l'accès au CloudZero plugin.

Si vous créez une politique pour contrôler l'accès aux CloudZero plug-ins, spécifiez CloudZero le fournisseur de plugins dans la politique.

Pour des exemples de politiques IAM qui contrôlent l'accès aux plug-ins, consultezPermettre aux utilisateurs de discuter avec les plugins d'un seul fournisseur.

Discutez avec le CloudZero plugin

Pour utiliser le CloudZero plugin, saisissez @cloudzero au début d'une question concernant CloudZero ou concernant les moniteurs et les cas de votre AWS application. Les questions de suivi ou les réponses aux questions d'Amazon Q doivent également inclure@cloudzero.

Voici quelques exemples de cas d'utilisation et de questions connexes que vous pouvez poser pour tirer le meilleur parti du CloudZero plugin Amazon Q :

• En savoir plus sur l'utilisation CloudZero avec AWS — Renseignez-vous sur le fonctionnement CloudZero des fonctionnalités. Amazon Q peut vous demander des informations supplémentaires sur ce que vous essayez de faire pour fournir la meilleure réponse.

  • @cloudzero how do I use CloudZero?

  • @cloudzero how do I get started with CloudZero?

• Répertoriez les informations sur les coûts : obtenez une liste des informations sur les coûts ou découvrez-en plus sur une information spécifique.

  • @cloudzero list my top cost insights

  • @cloudzero tell me more about insight <insight ID>

• Obtenir des informations de facturation : demandez au CloudZero plugin Amazon Q vos informations AWS de facturation.

  • @cloudzero what were my AWS costs for December 2024?