Configuration du Wiz plugin Amazon Q Developer

Wizest une plateforme de sécurité dans le cloud qui assure la gestion du niveau de sécurité, l'évaluation et la priorisation des risques, ainsi que la gestion des vulnérabilités. Si vous l'utilisez Wiz pour évaluer et surveiller vos AWS applications, vous pouvez utiliser le plugin dans le chat Amazon Q pour accéder aux informations Wiz sans quitter le AWS Management Console.

Vous pouvez utiliser le plugin pour identifier et résoudre les Wiz problèmes, évaluer vos actifs les plus risqués et comprendre les vulnérabilités ou les expositions. Après avoir reçu une réponse, vous pouvez poser des questions complémentaires, notamment sur la manière de résoudre un problème.

Pour configurer le plugin, vous devez fournir les informations d'authentification de votre Wiz compte pour permettre une connexion entre Amazon Q etWiz. Après avoir configuré le plugin, vous pouvez accéder aux Wiz statistiques en les ajoutant @wiz au début de votre question dans le chat Amazon Q.

Avertissement

Wizles autorisations utilisateur ne sont pas détectées par le Wiz plugin sur Amazon Q. Lorsqu'un administrateur configure le Wiz plugin dans un AWS compte, les utilisateurs disposant d'autorisations sur ce compte ont accès à toutes les ressources du Wiz compte consultables par le plugin.

Vous pouvez configurer des politiques IAM pour limiter les plug-ins auxquels les utilisateurs ont accès. Pour de plus amples informations, veuillez consulter Configuration des autorisations utilisateur.

Prérequis

Ajout des autorisations

Pour configurer les plug-ins, les autorisations de niveau administrateur suivantes sont requises :

• Autorisations d'accès à la console Amazon Q Developer. Pour un exemple de politique IAM qui accorde les autorisations nécessaires, consultezAutoriser les administrateurs à utiliser la console Amazon Q Developer.

• Autorisations pour configurer les plugins. Pour un exemple de politique IAM qui accorde les autorisations nécessaires, consultezAutoriser les administrateurs à configurer les plugins.

Acquérir des identifiants

Avant de commencer, notez les informations suivantes relatives à votre Wiz compte. Ces informations d'authentification seront stockées dans un AWS Secrets Manager secret lorsque vous configurerez le plugin.

• URL du point de terminaison de l'API : URL à laquelle vous accédezWiz. Par exemple, https://api.us1.app.Wiz.io/graphql. Pour plus d'informations, consultez la section URL du point de terminaison de l'API dans la Wiz documentation.

• ID client et secret client : informations d'identification permettant à Amazon Q d'appeler Wiz APIs pour accéder à votre application. Pour plus d'informations, consultez les sections ID client et secret client dans la Wiz documentation.

Secrets et rôles de service

AWS Secrets Manager secret

Lorsque vous configurez le plugin, Amazon Q crée un nouveau AWS Secrets Manager secret pour que vous puissiez stocker les informations Wiz d'authentification. Vous pouvez également utiliser un secret existant que vous avez créé vous-même.

Si vous créez vous-même un secret, assurez-vous qu'il inclut les informations d'identification suivantes et qu'il utilise le format JSON suivant :

{ 
   "ClientId": "<your-client-id>", 
   "ClientSecret": "<your-client-secret>"  
}

Pour plus d'informations sur la création de secrets, voir Création d'un secret dans le Guide de AWS Secrets Manager l'utilisateur.

Rôles de service

Pour configurer le Wiz plugin dans Amazon Q Developer, vous devez créer un rôle de service qui autorise Amazon Q à accéder à votre secret Secrets Manager. Amazon Q assume ce rôle pour accéder au secret dans lequel sont stockées vos Wiz informations d'identification.

Lorsque vous configurez le plugin dans la AWS console, vous avez la possibilité de créer un nouveau secret ou d'utiliser un secret existant. Si vous créez un nouveau secret, le rôle de service associé est créé pour vous. Si vous utilisez un secret existant et un rôle de service existant, assurez-vous que votre rôle de service contient ces autorisations et qu'il est assorti de la politique de confiance suivante. Le rôle de service requis dépend de votre méthode de chiffrement secrète.

Si votre secret est chiffré à l'aide d'une clé KMS AWS gérée, le rôle de service IAM suivant est requis :

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}

Afficher plusAfficher moins

Si votre secret est chiffré à l'aide d'une AWS KMS clé gérée par le client, le rôle de service IAM suivant est requis :

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Afficher plusAfficher moins

Pour permettre à Amazon Q d'assumer le rôle de service, celui-ci doit respecter la politique de confiance suivante :

Note

Le codewhisperer préfixe est un ancien nom issu d'un service fusionné avec Amazon Q Developer. Pour de plus amples informations, veuillez consulter Changement du nom du développeur Amazon Q - Résumé des modifications.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}

Afficher plusAfficher moins

Pour plus d'informations sur les rôles de service, voir Créer un rôle pour déléguer des autorisations à un AWS service dans le Guide de AWS Identity and Access Management l'utilisateur.

Configurer le Wiz plugin

Vous configurez les plug-ins dans la console Amazon Q Developer. Amazon Q utilise les informations d'identification stockées dans le AWS Secrets Manager répertoire pour permettre les interactions avecWiz.

Pour configurer le Wiz plugin, procédez comme suit :

1. Ouvrez la console Amazon Q Developer sur le site du https://console.aws.amazon.com/amazonq/développeur/à la maison

2. Sur la page d'accueil de la console Amazon Q Developer, sélectionnez Paramètres.

3. Dans la barre de navigation, choisissez Plugins.

4. Sur la page des plugins, choisissez le signe plus sur le Wizpanneau. La page de configuration du plugin s'ouvre.

5. Pour l'URL du point de terminaison de l'API, entrez l'URL du point de terminaison de l'API auquel vous accédezWiz.

6. Pour Configurer AWS Secrets Manager, choisissez Créer un nouveau secret ou Utiliser un secret existant. Le secret du Secrets Manager est l'endroit où vos informations d'Wizauthentification seront stockées.

   Si vous créez un nouveau secret, entrez les informations suivantes :

   1. Dans le champ ID client, saisissez l'identifiant client de votre Wiz compte.

   2. Dans le champ Client Secret, saisissez le Secret client de votre Wiz compte.

   3. Un rôle de service sera créé qu'Amazon Q utilisera pour accéder au secret dans lequel vos Wiz informations d'identification sont stockées. Ne modifiez pas le rôle de service créé pour vous.

   Si vous utilisez un secret existant, choisissez-en un dans le menu déroulant des AWS Secrets Manager secrets. Le secret doit inclure les informations Wiz d'authentification spécifiées à l'étape précédente.

   Pour plus d'informations sur les informations d'identification requises, consultezAcquérir des identifiants .

7. Pour Configurer le rôle de service AWS IAM, choisissez Créer un nouveau rôle de service ou Utiliser un rôle de service existant.

   Note

   Si vous avez choisi Créer un nouveau secret pour l'étape 6, vous ne pouvez pas utiliser un rôle de service existant. Un nouveau rôle sera créé pour vous.

   Si vous créez un nouveau rôle de service, un rôle de service sera créé qu'Amazon Q utilisera pour accéder au secret dans lequel vos Wiz informations d'identification sont stockées. Ne modifiez pas le rôle de service créé pour vous.

   Si vous utilisez un rôle de service existant, choisissez-en un dans le menu déroulant qui apparaît. Assurez-vous que votre rôle de service dispose des autorisations et de la politique de confiance définies dansRôles de service.

8. Choisissez Save configuration.

9. Une fois que le panneau du Wiz plugin apparaît dans la section Extensions configurées de la page Plugins, les utilisateurs auront accès au plugin.

Si vous souhaitez mettre à jour les informations d'identification d'un plugin, vous devez supprimer le plugin actuel et en configurer un nouveau. La suppression d'un plugin entraîne la suppression de toutes les spécifications précédentes. Chaque fois que vous configurez un nouveau plugin, un nouvel ARN de plugin est généré.

Configuration des autorisations utilisateur

Pour utiliser les plugins, les autorisations suivantes sont requises :

• Autorisations pour discuter avec Amazon Q dans la console. Pour un exemple de politique IAM qui accorde les autorisations nécessaires pour discuter, voirAutoriser les utilisateurs à discuter avec Amazon Q.

• L'q:UsePluginautorisation.

Lorsque vous accordez à une identité IAM l'accès à un Wiz plug-in configuré, l'identité accède à toutes les ressources du Wiz compte pouvant être récupérées par le plug-in. Wizles autorisations utilisateur ne sont pas détectées par le plugin. Si vous souhaitez contrôler l'accès à un plugin, vous pouvez le faire en spécifiant son ARN dans une politique IAM.

Chaque fois que vous créez ou supprimez et reconfigurez un plugin, un nouvel ARN lui est attribué. Si vous utilisez un ARN de plugin dans une politique, celui-ci devra être mis à jour si vous souhaitez autoriser l'accès au plugin nouvellement configuré.

Pour localiser l'ARN du Wiz plugin, rendez-vous sur la page Plugins de la console Amazon Q Developer et choisissez le Wiz plugin configuré. Sur la page de détails du plugin, copiez l'ARN du plugin. Vous pouvez ajouter cet ARN à une politique pour autoriser ou refuser l'accès au Wiz plugin.

Si vous créez une politique pour contrôler l'accès aux Wiz plug-ins, spécifiez Wiz le fournisseur de plugins dans la politique.

Pour des exemples de politiques IAM qui contrôlent l'accès aux plug-ins, consultezPermettre aux utilisateurs de discuter avec les plugins d'un seul fournisseur.

Discutez avec le Wiz plugin

Pour utiliser le Wiz plugin Amazon Q, saisissez @Wiz au début d'une question concernant vos Wiz problèmes. Les questions de suivi ou les réponses aux questions d'Amazon Q doivent également inclure@Wiz.

Voici quelques exemples de cas d'utilisation et de questions connexes que vous pouvez poser pour tirer le meilleur parti du Wiz plugin Amazon Q :

• Afficher les problèmes présentant une gravité critique — Demandez au Wiz plugin Amazon Q de répertorier vos problèmes critiques ou très graves. Le plugin peut renvoyer jusqu'à 10 problèmes. Vous pouvez également demander à répertorier les 10 problèmes les plus graves.

  • @wiz what are my critical severity issues?

  • @wiz can you specify the top 5?

• Répertoriez les problèmes en fonction de leur date ou de leur statut : demandez à répertorier les problèmes en fonction de leur date de création, de leur date d'échéance ou de leur date de résolution. Vous pouvez également spécifier les problèmes en fonction de propriétés telles que le statut, la gravité et le type.

  • @wiz which issues are due before <date>?

  • @wiz what are my issues that have been resolved since <date>?

• Évaluez les problèmes liés aux failles de sécurité : renseignez-vous sur les vulnérabilités ou les risques qui constituent une menace pour la sécurité de vos problèmes.

  • @wiz which issues are associated with vulnerabilities or external exposures?