Amazon Q Developer のコスト分析機能のセキュリティ

フォーカスモード

Amazon Q Developer のコスト分析機能のセキュリティ - AWS コスト管理

以下は、Amazon Q Developer のコスト分析機能のアクセス許可とデータ保護の概要です。

アクセス許可

Amazon Q Developer が提供するすべてのコストデータは Cost Explorer から取得されます。Amazon Q Developer のコスト分析機能にアクセスする IAM ユーザーには、Amazon Q Developer を使用するアクセス許可と、Cost Explorer からコストと使用状況データを取得するアクセス許可が必要です。管理者がユーザーに Amazon Q Developer へのアクセスを許可する最も簡単な方法は、 AmazonQFullAccessマネージドポリシーを使用することです。ユーザーは ce:GetCostAndUsage アクセス許可にもアクセスする必要があります。

次の IAM ポリシーステートメントは、Amazon Q Developer のコスト分析機能へのアクセス権をユーザーに付与します。


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "EnablesCostAnalysisInAmazonQ",
			"Effect": "Allow",
			"Action": [
				"q:StartConversation",
				"q:SendMessage",
				"q:GetConversation",
				"q:ListConversations",
				"q:PassRequest",
				"ce:GetCostAndUsage",
				"ce:GetCostForecast",
				"ce:GetDimensionValues",
				"ce:GetTags",
				"ce:GetCostCategories"
			],
			"Resource": "*"
		}
	]
}

q:PassRequest は、Amazon Q Developer がユーザーに代わって AWS APIs を呼び出すことを許可する Amazon Q Developer アクセス許可です。IAM ID にアクセスq:PassRequest許可を追加すると、Amazon Q Developer は IAM ID が呼び出すアクセス許可を持つ API を呼び出すアクセス許可を取得します。例えば、IAM ロールにアクセスce:GetCostAndUsage許可とアクセスq:PassRequest許可がある場合、Amazon Q Developer は、その IAM ロールを引き受けるユーザーが Cost Explorer からコストと使用状況データを取得するように Amazon Q Developer に依頼すると、GetCostAndUsage API を呼び出すことができます。

また、IAM プリンシパルが Cost Explorer にアクセスして Amazon Q Developer を使用することを許可できますが、aws:CalledViaグローバル条件キーを使用して Amazon Q Developer のコスト分析機能を使用することを制限することもできます。次の IAM ポリシーは、この条件キーを使用する例を示しています。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "ce:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "ce:*"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "q.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS Organizations のユーザーの場合、管理アカウント管理者は、 AWS 請求情報とコスト管理コンソールのコスト管理設定を使用して、メンバーアカウントユーザーの Cost Explorer データへのアクセス (割引、クレジット、返金へのアクセスを含む) を制限できます。これらの設定は、マネジメントコンソール、SDK、および CLI に適用されるのと同じ方法で Amazon Q Developer に適用されます。Amazon Q Developer は、顧客の既存の好みを尊重します。

データ保護

Amazon Q Developer 無料利用枠の特定のコンテンツをサービスの改善に使用する場合があります。Amazon Q は、よくある質問への回答の改善、Amazon Q の運用上の問題の修正、デバッグ、モデルトレーニングなどのために、このコンテンツを使用する場合があります。がサービスの改善に使用する AWS 可能性のあるコンテンツには、Amazon Q への質問や、Amazon Q が生成するレスポンスとコードが含まれます。Amazon Q Developer Pro または Amazon Q Business のコンテンツは、サービスの改善には使用されません。

サービス改善のためにコンテンツを使用して Amazon Q Developer 無料利用枠をオプトアウトする方法は、Amazon Q を使用する環境によって異なります。マネジメントコンソール、 AWS コンソールモバイルアプリケーション、 AWS ウェブサイト、および AWS Chatbot については AWS 、 AWS Organizations で AI サービスのオプトアウトポリシーを設定します。詳細については、「AWS Organizations ユーザーガイド」の「AI サービスオプトアウトポリシー」を参照してください。IDE で Amazon Q Developer 無料利用枠を使用している場合は、IDE の設定を調整します。詳細については、「Amazon Q Developer ユーザーガイド」の「IDE のデータ共有のオプトアウト」を参照してください。