IAM 許可の設定

このトピックでは、Amazon Q チャット体験向けに構成した IAM 許可および AWS Glue Studio ノートブック体験について説明します。

Amazon Q チャットの IAM 許可の構成

AWS Glue の Amazon Q データ統合が使用する API に許可を付与するには、適切な AWS Identity and Access Management (IAM) 許可が必要です。次のカスタム AWS ポリシーを IAM アイデンティティ (ユーザー、ロール、グループなど) にアタッチすることにより、許可を取得できます。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:StartCompletion",
        "glue:GetCompletion"
      ],
      "Resource": [
        "arn:aws:glue:*:*:completion/*"
      ]
    }
  ]
}

AWS Glue Studio ノートブックの IAM 許可の構成

AWS Glue Studio ノートブックで Amazon Q データ統合を有効にするには、次の許可がノートブック IAM ロールにアタッチされていることを確認します。

注記

codewhisperer プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「Amazon Q Developer の名前変更 - 変更の概要」を参照してください。

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "glue:StartCompletion",
        "glue:GetCompletion"
      ],
      "Resource": [
        "arn:aws:glue:*:*:completion/*"
      ]
    },
    {
      "Sid": "AmazonQDeveloperPermissions",
      "Effect": "Allow",
      "Action": [
        "codewhisperer:GenerateRecommendations"
      ],
      "Resource": "*"
    }
  ]
}

注記

AWS Glue の Amazon Q データ統合には、プログラムで使用できる AWS SDK 経由で利用できる API がありません。Amazon Q チャットパネルまたは AWS Glue Studio ノートブックを介してこの体験を実現するため、IAM ポリシーで StartCompletion および GetCompletion の 2 つの API が使用されます。

権限の割り当て

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• AWS IAM Identity Center のユーザーおよびグループ: 許可セットを作成します。「AWS IAM Identity Center のユーザーガイド」の「許可セットの作成」の手順に従ってください。

• アイデンティティプロバイダーを介して IAM で管理されているユーザー: ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• IAM ユーザー:

  • ユーザーが担当できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。