ポリシーを使用して Amazon Q Developer へのアクセスを管理する

注記

このページの情報は、Amazon Q Developer へのアクセスに関連しています。Amazon Q Business へのアクセスの管理の詳細については、「Amazon Q Business ユーザーガイド」の「Amazon Q Business のアイデンティティベースのポリシーの例」を参照してください。

このトピックのポリシーと例は、、、 AWS Console Mobile Application AWS ウェブサイト AWS Management Console、 AWS Documentation AWS Chatbotおよび の Amazon Q に固有のものですIDEs。Amazon Q と統合された他のサービスは、異なるポリシーや設定が必要になる場合があります。詳細については、Amazon Q の機能または統合を含むサービスのドキュメントを参照してください。

デフォルトでは、ユーザーとロールには Amazon Q を使用するアクセス許可がありません。IAM管理者は、ID にアクセス許可を付与することで Amazon Q Developer IAM とその機能へのアクセスを管理できます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、 AWS マネージドポリシーを使用することです。AmazonQFullAccess ポリシーを ID にアタッチして、Amazon Q Developer IAM とその機能へのフルアクセスを許可できます。このポリシーの詳細については、「AWS Amazon Q Developer の マネージドポリシー」を参照してください。

ID が Amazon Q Developer IAM で実行できる特定のアクションを管理するために、管理者はユーザー、グループ、またはロールが持つアクセス許可を定義するカスタムポリシーを作成できます。サービスコントロールポリシー (SCPs) を使用して、組織で使用できる Amazon Q の機能を制御することもできます。

ポリシーで制御できるすべての Amazon Q アクセス許可のリストについては、「」を参照してくださいAmazon Q デベロッパーのアクセス許可リファレンス。

トピック

• ポリシーのベストプラクティス
• アクセス許可の割り当て
• サービスコントロールポリシーによるアクセスの管理 (SCPs）
• Amazon Q リソースのデータ境界
• Amazon Q Developer のアイデンティティベースのポリシーの例

ポリシーのベストプラクティス

ID ベースのポリシーは、ユーザーのアカウントで誰かが Amazon Q Developer リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

• AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与する AWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可をさらに減らすことをお勧めします。詳細については、「 ユーザーガイド」の「 AWS 管理ポリシーAWS 」または「 ジョブ機能の 管理ポリシーIAM」を参照してください。

• 最小特権のアクセス許可を適用する – IAMポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、「 ユーザーガイド」の「 のポリシーとアクセス許可IAMIAM」を参照してください。

• IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。条件を使用して、 などの特定の を介してサービスアクションが使用される場合に AWS サービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。

• IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、「 ユーザーガイド」のIAM「Access Analyzer ポリシーの検証IAM」を参照してください。

• 多要素認証を要求する (MFA） – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化MFAするために をオンにします。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 IAMユーザーガイド」のMFA「 で保護されたAPIアクセスの設定」を参照してください。

のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAMIAM」を参照してください。

アクセス許可の割り当て

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• のユーザーとグループ AWS IAM Identity Center：

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• ID プロバイダーIAMを通じて で管理されるユーザー：

  ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダーのロールの作成 (フェデレーション）」の手順に従います。

• IAM ユーザー：

  • ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」のIAM「 ユーザーのロールを作成する」の手順に従います。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 ユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール）IAM」の指示に従います。

サービスコントロールポリシーによるアクセスの管理 (SCPs）

サービスコントロールポリシー (SCPs) は、組織内のアクセス許可を管理するために使用できる組織ポリシーの一種です。Amazon Q デベロッパーの機能の一部またはすべてに対するアクセス許可SCPを指定する を作成することで、組織で使用できる Amazon Q デベロッパー機能を制御できます。

SCPs を使用して組織内のアクセスを制御する方法の詳細については、「 AWS Organizations ユーザーガイド」の「サービスコントロールポリシーの作成、更新、削除」および「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。 https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html

以下は、Amazon Q へのアクセスを拒否SCPする の例です。このポリシーは、Amazon Q チャット、コンソールエラーのトラブルシューティング、およびネットワークのトラブルシューティングへのアクセスを制限します。

注記

Amazon Q へのアクセスを拒否しても、 AWS コンソール、 AWS ウェブサイト、 AWS ドキュメントページ、または の Amazon Q アイコンまたはチャットパネルは無効になりません AWS Console Mobile Application。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}

Amazon Q リソースのデータ境界

一部の機能では、Amazon Q はアーティファクトを AWS サービス所有の Amazon S3 バケットにアップロードします。環境内の Amazon S3 へのアクセスを制御するためにデータ境界を使用している場合は、対応する Amazon Q 機能を使用するには、これらのバケットへのアクセスを明示的に許可する必要がある場合があります。

次の表に、Amazon Q がアクセスする必要がある各 Amazon S3 バケットURLの ARNと 、および各バケットを使用する機能を示します。Amazon S3 へのアクセスを制御する方法に応じて、バケットを使用してこれらのバケットを許可ARNURLリストに登録できます。

Amazon S3 バケット ARN	Amazon S3 バケット URL	説明
arn:aws:s3:::amazonq-code-scan-us-east-1-29121b44f7b	https://amazonq-code-scan-us-east-1-29121b44f7b.s3.amazonaws.com/	Amazon Q コードスキャンのアーティファクトをアップロードするために使用される Amazon S3 バケット Amazon Q によるコードのスキャン
arn:aws:s3:::amazonq-code-transformation-us-east-1-c6160f047e0	https://amazonq-code-transformation-us-east-1-c6160f047e0.s3.amazonaws.com/	のアーティファクトをアップロードするために使用される Amazon S3 バケット Amazon Q Developer Agent for code transformation
arn:aws:s3:::amazonq-feature-development-us-east-1-a5b980054c6	https://amazonq-feature-development-us-east-1-a5b980054c6.s3.amazonaws.com/	のアーティファクトのアップロードに使用される Amazon S3 バケット Amazon Q Developer Agent for software development