本主题介绍您为 Amazon Q 聊天体验和 AWS Glue Studio 笔记本体验配置的 IAM 权限。
配置 Amazon Q 聊天的 IAM 权限
要在 AWS Glue 授予对 Amazon Q 数据集成所用 API 的权限,需要相应的 AWS Identity and Access Management(IAM)权限。您可以通过将以下自定义 AWS 策略附加到您的 IAM 身份(例如用户、角色或组)来获取权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:StartCompletion",
"glue:GetCompletion"
],
"Resource": [
"arn:aws:glue:*:*:completion/*"
]
}
]
} 配置 AWS Glue Studio 笔记本电脑实例的 IAM 权限
要在 AWS Glue Studio 笔记本电脑实例中启用 Amazon Q 数据集成,请确保将以下权限附加到笔记本 IAM 角色:
注意
codewhisperer 前缀是与 Amazon Q Developer 合并前的服务的旧名称。有关更多信息,请参阅 Amazon Q Developer rename - Summary of changes。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:StartCompletion",
"glue:GetCompletion"
],
"Resource": [
"arn:aws:glue:*:*:completion/*"
]
},
{
"Sid": "AmazonQDeveloperPermissions",
"Effect": "Allow",
"Action": [
"codewhisperer:GenerateRecommendations"
],
"Resource": "*"
}
]
}注意
AWS Glue 中的 Amazon Q 数据集成中没有通过可供您以编程方式使用的 AWS 软件开发工具包提供的 API。IAM 策略中使用了以下两个 API,用于通过 AWS Glue Studio 笔记本电脑实例实现这种体验:StartCompletion 和 GetCompletion。
分配权限
要提供访问权限,请为您的用户、组或角色添加权限:
AWS IAM Identity Center 中的用户和组:创建权限集。按照《AWS IAM Identity Center 用户指南》中 Create a permission set 部分的说明进行操作。
通过身份提供商在 IAM 中管理的用户:创建身份联合验证角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
IAM 用户:
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
