Configurazione del plug-in Amazon Q Developer CloudZero

CloudZeroè una piattaforma di ottimizzazione dei costi del cloud che valuta i costi per migliorare l'efficienza del cloud. Se utilizzi CloudZero il monitoraggio AWS dei costi, puoi utilizzare il CloudZero plug-in nella chat di Amazon Q Developer per accedere alle informazioni sui costi senza uscire dal AWS Management Console.

Puoi utilizzare il CloudZero plug-in per comprendere i AWS costi, ottenere informazioni sull'ottimizzazione dei costi e tenere traccia della fatturazione. Dopo aver ricevuto una risposta, puoi porre domande di follow-up, come lo stato o l'impatto sui costi degli CloudZero approfondimenti.

Per configurare il plug-in, fornisci le credenziali di autenticazione dal tuo CloudZero account per abilitare una connessione tra Amazon Q eCloudZero. Dopo aver configurato il plug-in, puoi accedere ai CloudZero dati @cloudzero aggiungendoli all'inizio della tua domanda nella chat di Amazon Q.

avvertimento

CloudZerole autorizzazioni utente non vengono rilevate dal CloudZero plug-in in Amazon Q. Quando un amministratore configura il CloudZero plug-in in un AWS account, gli utenti con le autorizzazioni del plug-in in quell'account hanno accesso a tutte le risorse dell'CloudZeroaccount recuperabili dal plug-in.

Puoi configurare le policy IAM per limitare i plugin a cui gli utenti hanno accesso. Per ulteriori informazioni, consulta Configura le autorizzazioni utente.

Prerequisiti

Aggiungere autorizzazioni

Per configurare i plugin, sono necessarie le seguenti autorizzazioni a livello di amministratore:

• Autorizzazioni per accedere alla console Amazon Q Developer. Per un esempio di politica IAM che concede le autorizzazioni necessarie, consulta. Consenti agli amministratori di utilizzare la console Amazon Q Developer

• Autorizzazioni per configurare i plugin. Per un esempio di politica IAM che concede le autorizzazioni necessarie, vedi. Consenti agli amministratori di configurare i plugin

Acquisire credenziali

Prima di iniziare, prendi nota delle seguenti informazioni dal tuo CloudZero account. Queste credenziali di autenticazione verranno archiviate in modo AWS Secrets Manager segreto quando configurerai il plug-in.

• Chiave API: una chiave di accesso che consente ad Amazon Q di chiamare l'CloudZeroAPI per accedere alle informazioni sui costi e alle informazioni di fatturazione della tua organizzazione. Puoi trovare la chiave API nelle impostazioni del tuo CloudZero account. Per ulteriori informazioni, consulta l'autorizzazione nella CloudZero documentazione.

Per ulteriori informazioni sull'acquisizione di credenziali dal tuo CloudZero account, consulta la CloudZero documentazione.

Segreti e ruoli di servizio

AWS Secrets Manager segreto

Quando configuri il plug-in, Amazon Q crea un nuovo AWS Secrets Manager segreto per archiviare le credenziali di CloudZero autenticazione. In alternativa, puoi utilizzare un segreto esistente che crei tu stesso.

Se crei tu stesso un segreto, inserisci la chiave API come testo semplice:

your-api-key

Per ulteriori informazioni sulla creazione di segreti, consulta Creare un segreto nella Guida per l'AWS Secrets Manager utente.

Ruoli di servizio

Per configurare il CloudZero plug-in in Amazon Q Developer, devi creare un ruolo di servizio che autorizzi Amazon Q ad accedere al tuo segreto di Secrets Manager. Amazon Q assume questo ruolo per accedere al segreto in cui sono archiviate CloudZero le tue credenziali.

Quando configuri il plug-in nella AWS console, hai la possibilità di creare un nuovo segreto o utilizzarne uno esistente. Se crei un nuovo segreto, il ruolo di servizio associato viene creato automaticamente. Se utilizzi un segreto esistente e un ruolo di servizio esistente, assicurati che il ruolo di servizio contenga le seguenti autorizzazioni e abbia la seguente politica di fiducia allegata. Il ruolo di servizio richiesto dipende dal metodo di crittografia segreto utilizzato.

Se il tuo segreto è crittografato con una chiave KMS AWS gestita, è richiesto il seguente ruolo del servizio IAM:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}

Mostra piùMostra meno

Se il tuo segreto è crittografato con una AWS KMS chiave gestita dal cliente, è richiesto il seguente ruolo di servizio IAM:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Mostra piùMostra meno

Per consentire ad Amazon Q di assumere il ruolo di servizio, il ruolo di servizio necessita della seguente politica di fiducia:

Nota

Il codewhisperer prefisso è un nome legacy di un servizio che si è unito ad Amazon Q Developer. Per ulteriori informazioni, consulta Amazon Q Developer rename - Riepilogo delle modifiche.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}

Mostra piùMostra meno

Per ulteriori informazioni sui ruoli di servizio, consulta Creare un ruolo per delegare le autorizzazioni a un AWS servizio nella Guida per l'utente.AWS Identity and Access Management

Configura il plugin CloudZero

Puoi configurare i plugin nella console Amazon Q Developer. Amazon Q utilizza le credenziali archiviate AWS Secrets Manager per abilitare le interazioni conCloudZero.

Per configurare il CloudZero plug-in, completa la seguente procedura:

1. Apri la console Amazon Q Developer su https://console.aws.amazon.com/amazonq/developer/home

2. Nella home page della console Amazon Q Developer, scegli Impostazioni.

3. Nella barra di navigazione, scegli Plugin.

4. Nella pagina dei plugin, scegli il segno più sul CloudZeropannello. Si apre la pagina di configurazione del plugin.

5. Per Configura AWS Secrets Manager, scegli Crea un nuovo segreto o Usa un segreto esistente. Il segreto di Secrets Manager è dove verranno archiviate le credenziali di CloudZero autenticazione.

   Se crei un nuovo segreto, inserisci le seguenti informazioni:

   1. Per la chiave CloudZero API, inserisci la chiave API per la tua CloudZero organizzazione.

   2. Verrà creato un ruolo di servizio che Amazon Q utilizzerà per accedere al segreto in cui sono archiviate le CloudZero credenziali. Non modificare il ruolo di servizio creato per te.

   Se utilizzi un segreto esistente, scegli un segreto dal menu a discesa AWS Secrets Manager segreto. Il segreto deve includere le credenziali di CloudZero autenticazione specificate nel passaggio precedente.

   Per ulteriori informazioni sulle credenziali richieste, vedere. Acquisire credenziali

6. Per Configura il ruolo di servizio AWS IAM, scegli Crea nuovo ruolo di servizio o Usa il ruolo di servizio esistente.

   Nota

   Se hai scelto Crea un nuovo segreto per il passaggio 6, non puoi utilizzare un ruolo di servizio esistente. Verrà creato un nuovo ruolo per te.

   Se crei un nuovo ruolo di servizio, verrà creato un ruolo di servizio che Amazon Q utilizzerà per accedere al segreto in cui sono archiviate CloudZero le tue credenziali. Non modificare il ruolo di servizio creato per te.

   Se utilizzi un ruolo di servizio esistente, scegli un ruolo dal menu a discesa visualizzato. Assicurati che il tuo ruolo di servizio disponga delle autorizzazioni e della politica di fiducia definite in. Ruoli di servizio

7. Seleziona Save configuration (Salva configurazione).

8. Dopo la visualizzazione del pannello del CloudZero plug-in nella sezione Plugin configurati della pagina Plugin, gli utenti avranno accesso al plug-in.

Se desideri aggiornare le credenziali di un plug-in, devi eliminare il plug-in corrente e configurarne uno nuovo. L'eliminazione di un plug-in rimuove tutte le specifiche precedenti. Ogni volta che configuri un nuovo plugin, viene generato un nuovo plugin ARN.

Configura le autorizzazioni utente

Per utilizzare i plugin, sono necessarie le seguenti autorizzazioni:

• Autorizzazioni per chattare con Amazon Q nella console. Per un esempio di politica IAM che concede le autorizzazioni necessarie per chattare, consulta. Consenti agli utenti di chattare con Amazon Q

• L'q:UsePluginautorizzazione.

Quando concedi a un'identità IAM l'accesso a un CloudZero plug-in configurato, l'identità ottiene l'accesso a tutte le risorse dell'CloudZeroaccount recuperabili dal plug-in. CloudZerole autorizzazioni utente non vengono rilevate dal plug-in. Se desideri controllare l'accesso a un plug-in, puoi farlo specificando l'ARN del plug-in in una policy IAM.

Ogni volta che si crea o si elimina e si riconfigura un plug-in, a quest'ultimo viene assegnato un nuovo ARN. Se si utilizza un plug-in ARN in una politica, sarà necessario aggiornarlo se si desidera concedere l'accesso al plug-in appena configurato.

Per individuare l'ARN del CloudZero plug-in, vai alla pagina Plugin nella console Amazon Q Developer e scegli il plug-in configurato. CloudZero Nella pagina dei dettagli del plug-in, copia l'ARN del plug-in. Puoi aggiungere questo ARN a una policy per consentire o negare l'accesso al plugin. CloudZero

Se crei una policy per controllare l'accesso ai CloudZero plugin, specifica CloudZero il provider del plugin nella policy.

Per esempi di policy IAM che controllano l'accesso ai plugin, consultaConsenti agli utenti di chattare con i plug-in di un provider.

Chatta con il CloudZero plugin

Per utilizzare il CloudZero plugin, inserisci @cloudzero all'inizio di una domanda sui CloudZero monitor e i casi AWS dell'applicazione. È necessario includere anche le domande di follow-up o le risposte alle domande di Amazon Q@cloudzero.

Di seguito sono riportati alcuni esempi di casi d'uso e domande associate che puoi porre per ottenere il massimo dal CloudZero plug-in Amazon Q:

• Scopri come usare CloudZero con AWS: chiedi come funzionano CloudZero le funzionalità. Amazon Q potrebbe chiederti ulteriori informazioni su ciò che stai cercando di fare per fornire la risposta migliore.

  • @cloudzero how do I use CloudZero?

  • @cloudzero how do I get started with CloudZero?

• Elenca informazioni sui costi: richiedi un elenco di approfondimenti sui costi o scopri di più su uno specifico approfondimento.

  • @cloudzero list my top cost insights

  • @cloudzero tell me more about insight <insight ID>

• Ottieni informazioni di fatturazione: chiedi al CloudZero plug-in Amazon Q i tuoi dati di AWS fatturazione.

  • @cloudzero what were my AWS costs for December 2024?