Configurando o plug-in Amazon Q Developer CloudZero

CloudZeroé uma plataforma de otimização de custos da nuvem que avalia os custos para melhorar a eficiência da nuvem. Se você costuma CloudZero monitorar seus AWS custos, você pode usar o CloudZero plug-in no chat do Amazon Q Developer para acessar informações de custos sem sair do AWS Management Console.

Você pode usar o CloudZero plug-in para entender seus AWS custos, obter informações sobre otimização de custos e monitorar o faturamento. Depois de receber uma resposta, você pode fazer perguntas complementares, como o status ou o impacto nos custos dos CloudZero insights.

Para configurar o plug-in, você fornece credenciais de autenticação da sua CloudZero conta para permitir uma conexão entre o Amazon Q e. CloudZero Depois de configurar o plug-in, você pode acessar CloudZero os dados adicionando @cloudzero ao início da sua pergunta no Amazon Q chat.

Atenção

CloudZeroas permissões do usuário não são detectadas pelo CloudZero plug-in no Amazon Q. Quando um administrador configura o CloudZero plug-in em uma AWS conta, os usuários com permissões de plug-in nessa conta têm acesso a todos os recursos da CloudZero conta recuperáveis pelo plug-in.

Você pode configurar as políticas do IAM para restringir a quais plug-ins os usuários têm acesso. Para obter mais informações, consulte Configurar permissões de usuário.

Pré-requisitos

Adicionar permissões

Para configurar plug-ins, as seguintes permissões em nível de administrador são necessárias:

• Permissões para acessar o console do Amazon Q Developer. Para ver um exemplo de política do IAM que concede as permissões necessárias, consultePermita que os administradores usem o console Amazon Q Developer.

• Permissões para configurar plug-ins. Para ver um exemplo de política do IAM que concede as permissões necessárias, consultePermitir que os administradores configurem plug-ins.

Adquira credenciais

Antes de começar, anote as seguintes informações da sua CloudZero conta. Essas credenciais de autenticação serão armazenadas em AWS Secrets Manager segredo quando você configurar o plug-in.

• Chave de API — Uma chave de acesso que permite que a Amazon Q chame a CloudZero API para acessar os insights de custos e informações de cobrança da sua organização. Você pode encontrar a chave da API nas configurações CloudZero da sua conta. Para obter mais informações, consulte a Autorização na CloudZero documentação.

Para obter mais informações sobre como adquirir credenciais da sua CloudZero conta, consulte a CloudZero documentação.

Segredos e funções de serviço

AWS Secrets Manager segredo

Quando você configura o plug-in, o Amazon Q cria um novo AWS Secrets Manager segredo para você armazenar as credenciais de CloudZero autenticação. Como alternativa, você pode usar um segredo existente criado por você mesmo.

Se você mesmo criar um segredo, insira a chave da API como texto simples:

your-api-key

Para obter mais informações sobre a criação de segredos, consulte Criar um segredo no Guia AWS Secrets Manager do usuário.

Perfis de serviço

Para configurar o CloudZero plug-in no Amazon Q Developer, você precisa criar uma função de serviço que dê permissão ao Amazon Q para acessar seu segredo do Secrets Manager. O Amazon Q assume essa função para acessar o segredo em que suas CloudZero credenciais estão armazenadas.

Ao configurar o plug-in no AWS console, você tem a opção de criar um novo segredo ou usar um existente. Se você criar um novo segredo, a função de serviço associada será criada para você. Se você usa um segredo existente e uma função de serviço existente, certifique-se de que sua função de serviço contenha as seguintes permissões e tenha a seguinte política de confiança anexada. A função de serviço necessária depende do seu método secreto de criptografia.

Se seu segredo estiver criptografado com uma chave KMS AWS gerenciada, a seguinte função de serviço do IAM é necessária:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:{{your-account-id}}:secret:[[secret-id]]"
            ]
        }
    ]
}

Mostrar maisMostrar menos

Se seu segredo estiver criptografado com uma AWS KMS chave gerenciada pelo cliente, a seguinte função de serviço do IAM é necessária:

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:{{accountId}}:secret:{{secretId}}"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:{{accountId}}:key/{{keyId}}",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-1.amazonaws.com"
                }
            }
        }
    ]
}

Mostrar maisMostrar menos

Para permitir que a Amazon Q assuma a função de serviço, a função de serviço precisa da seguinte política de confiança:

nota

O prefixo codewhisperer é um nome antigo de um serviço que foi fundido com o Amazon Q Developer. Para obter mais informações, consulte Renomeação Amazon Q Developer: Resumo das alterações.

JSON

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": ["sts:AssumeRole", "sts:SetContext"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "{{accountId}}",
          "aws:SourceArn": "arn:aws:codewhisperer:{{region}}:{{accountId}}:profile/{{profileId}}"
        }
      }
    }
  ]
}

Mostrar maisMostrar menos

Para obter mais informações sobre funções de serviço, consulte Criar uma função para delegar permissões a um AWS serviço no Guia do AWS Identity and Access Management usuário.

Configurar o CloudZero plug-in

Você configura plug-ins no console do Amazon Q Developer. O Amazon Q usa credenciais armazenadas AWS Secrets Manager para permitir interações comCloudZero.

Para configurar o CloudZero plug-in, conclua o procedimento a seguir:

1. Abra o console do Amazon Q Developer em https://console.aws.amazon.com/amazonq/developer/home

2. Na página inicial do console Amazon Q Developer, escolha Configurações.

3. Na barra de navegação, escolha Plugins.

4. Na página de plug-ins, escolha o sinal de adição no CloudZeropainel. A página de configuração do plug-in é aberta.

5. AWS Secrets Manager Em Configurar, escolha Criar um novo segredo ou Usar um segredo existente. O segredo do Secrets Manager é onde suas credenciais de CloudZero autenticação serão armazenadas.

   Se você criar um novo segredo, insira as seguintes informações:

   1. Em Chave de CloudZero API, insira a chave de API CloudZero da sua organização.

   2. Será criada uma função de serviço que a Amazon Q usará para acessar o segredo em que suas CloudZero credenciais estão armazenadas. Não edite a função de serviço criada para você.

   Se você usar um segredo existente, escolha um segredo no menu suspenso AWS Secrets Manager secreto. O segredo deve incluir as credenciais de CloudZero autenticação especificadas na etapa anterior.

   Para obter mais informações sobre as credenciais necessárias, consulte Adquira credenciais.

6. Em Configurar função de serviço AWS do IAM, escolha Criar nova função de serviço ou Usar função de serviço existente.

   nota

   Se você escolher Criar um novo segredo para a etapa 6, não poderá usar uma função de serviço existente. Uma nova função será criada para você.

   Se você criar uma nova função de serviço, será criada uma função de serviço que a Amazon Q usará para acessar o segredo em que suas CloudZero credenciais estão armazenadas. Não edite a função de serviço criada para você.

   Se você usa uma função de serviço existente, escolha uma função no menu suspenso exibido. Certifique-se de que sua função de serviço tenha as permissões e a política de confiança definidas emPerfis de serviço.

7. Escolha Save configuration.

8. Depois que o painel do CloudZero plug-in aparecer na seção Plug-ins configurados na página Plug-ins, os usuários terão acesso ao plug-in.

Se quiser atualizar as credenciais de um plug-in, você deve excluir o plug-in atual e configurar um novo. A exclusão de um plug-in remove todas as especificações anteriores. Sempre que você configura um novo plug-in, um novo ARN do plug-in é gerado.

Configurar permissões de usuário

Para usar plug-ins, as seguintes permissões são necessárias:

• Permissões para conversar com o Amazon Q no console. Para ver um exemplo de política do IAM que concede as permissões necessárias para conversar, consultePermitir que os usuários tenham conversas com o Amazon Q.

• A permissão q:UsePlugin.

Quando você concede a uma identidade do IAM acesso a um CloudZero plug-in configurado, a identidade ganha acesso a todos os recursos na CloudZero conta recuperáveis pelo plug-in. CloudZeroas permissões do usuário não são detectadas pelo plug-in. Se quiser controlar o acesso a um plug-in, você pode fazer isso especificando o ARN do plug-in em uma política do IAM.

Sempre que você cria ou exclui e reconfigura um plug-in, ele recebe um novo ARN. Se você usar um ARN de plug-in em uma política, ele precisará ser atualizado se você quiser conceder acesso ao plug-in recém-configurado.

Para localizar o ARN do CloudZero plug-in, acesse a página Plugins no console do Amazon Q Developer e escolha o plug-in configuradoCloudZero. Na página de detalhes do plug-in, copie o ARN do plug-in. Você pode adicionar esse ARN a uma política para permitir ou negar acesso ao CloudZero plug-in.

Se você criar uma política para controlar o acesso aos CloudZero plug-ins, especifique CloudZero o provedor do plug-in na política.

Para ver exemplos de políticas do IAM que controlam o acesso ao plug-in, consultePermita que os usuários conversem com plug-ins de um provedor.

Converse com o CloudZero plugin

Para usar o CloudZero plug-in, insira @cloudzero no início uma pergunta sobre CloudZero ou seus monitores e casos de AWS aplicativos. Perguntas de acompanhamento ou respostas a perguntas da Amazon Q também devem incluir@cloudzero.

A seguir estão alguns exemplos de casos de uso e perguntas associadas que você pode fazer para aproveitar ao máximo o CloudZero plug-in Amazon Q:

• Saiba mais sobre como usar CloudZero com AWS — Pergunte sobre como os CloudZero recursos funcionam. O Amazon Q pode solicitar mais informações sobre o que você está tentando fazer para fornecer a melhor resposta.

  • @cloudzero how do I use CloudZero?

  • @cloudzero how do I get started with CloudZero?

• Listar informações de custo — Obtenha uma lista de informações de custo ou saiba mais sobre uma visão específica.

  • @cloudzero list my top cost insights

  • @cloudzero tell me more about insight <insight ID>

• Obtenha informações de cobrança — Pergunte ao CloudZero plug-in Amazon Q sobre suas informações de AWS cobrança.

  • @cloudzero what were my AWS costs for December 2024?