使用 IAM 政策管理 Amazon Q 的存取權 - Amazon Q

Amazon Q 目前為預覽版本,並可能有所變更。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IAM 政策管理 Amazon Q 的存取權

注意

此頁面上的資訊與存取 Amazon Q (供 AWS 建構家使用) 有關。如需管理 Amazon Q (商用) 存取權的相關資訊,請參閱《Amazon Q(商用) 開發人員指南》中的適用於 Amazon Q 的身分識別型政策範例

本主題中的政策和範例特定於AWS Management Console、AWS Console Mobile Application、AWS網站和中的 Amazon Q AWS Documentation。與 Amazon Q 整合的其他服務可能需要不同的政策或設定。如需詳細資訊,請參閱包含 Amazon Q 功能或整合的服務文件。

IAM 管理員可以AWS Console Mobile Application透過授與 IAM 身分的許可來AWS管理 Amazon Q 及其功能的存取權限。AWS Management Console AWS Documentation

對於管理員而言,授予使用者存取權的最快捷方式是透過 AWS 受管政策。下列適用於 Amazon Q 的 AWS 受管政策可附加到 IAM 身分:

  • AmazonQFullAccess提供與 Amazon Q 互動的完整存取權。

如需此政策的詳細資訊,請參閱 Amazon Q 的 AWS 受管政策

Amazon Q 許可

當您設定使用 Amazon Q 中的身分來驗證並編寫可附加到 IAM 身分 (身分型政策) 的許可政策時,可以使用下表做為參考。

重要

若要提出 Amazon Q 問題,IAM 身分需要執行下列動作的許可:

  • StartConversation

  • SendMessage

若要使用 Amazon Q 疑難排解主控台錯誤,IAM 身分需要下列動作的許可:

  • StartTroubleshootingAnalysis

  • GetTroubleshootingResults

  • StartTroubleshootingResolutionExplanation

如果附加政策未明確允許其中一個動作,則當您嘗試使用 Amazon Q 時會傳回 IAM 許可錯誤。

下表顯示您可以在 IAM 政策中允許或拒絕存取的 Amazon Q 許可。

Amazon Q 許可
名稱 所授予之許可的描述 它需要什麼功能?
q:StartConversation

與 Amazon Q 展開對話

必須與 Amazon Q 對話

q:SendMessage

將訊息傳送至 Amazon Q

必須與 Amazon Q 對話

q:GetConversation

取得與 Amazon Q 的特定對話關聯的個別訊息

必須使用 Amazon Q 網路疑難排解

q:StartTroubleshootingAnalysis

啟動 Amazon Q 進行疑難排解分析

必須搭配 Amazon Q 使用疑難排解主控台錯誤

q:GetTroubleshootingResults

取得 Amazon Q 的疑難排解結果

必須搭配 Amazon Q 使用疑難排解主控台錯誤

q:StartTroubleshootingResolutionExplanation

啟動 Amazon Q 進行疑難排解解決方案說明

必須搭配 Amazon Q 使用疑難排解主控台錯誤

政策最佳實務

身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Q 資源。這些動作可能會讓您的 AWS 帳戶 產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:

  • 開始使用 AWS 受管政策並朝向最低權限許可的目標邁進:如需開始授予許可給使用者和工作負載,請使用 AWS 受管政策,這些政策會授予許可給許多常用案例。它們可在您的 AWS 帳戶 中使用。我們建議您定義特定於使用案例的 AWS 客戶管理政策,以便進一步減少許可。如需更多資訊,請參閱 IAM 使用者指南中的 AWS 受管政策任務職能的 AWS 受管政策

  • 套用最低許可許可 – 設定 IAM 政策的許可時,請僅授予執行任務所需的權限。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的更多相關資訊,請參閱 IAM 使用者指南中的 IAM 中的政策和許可

  • 使用 IAM 政策中的條件進一步限制存取權 – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。您也可以使用條件來授予對服務動作的存取權,前提是透過特定AWS 服務 (例如 AWS CloudFormation)使用條件。如需更多資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:條件

  • 使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作 – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您編寫安全且實用的政策。如需更多資訊,請參閱 IAM 使用者指南中的 IAM Access Analyzer 政策驗證

  • 需要多重要素驗證 (MFA):如果存在需要 AWS 帳戶中 IAM 使用者或根使用者的情況,請開啟 MFA 提供額外的安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需更多資訊,請參閱 IAM 使用者指南中的設定 MFA 保護的 API 存取

有關 IAM 中最佳實務的更多相關資訊,請參閱 IAM 使用者指南中的 IAM 最佳安全實務

使用 Amazon Q 許可建立自訂政策

若要管理 IAM 身分可以透過 Amazon Q 執行的特定動作,管理員可以建立自訂 IAM 政策來定義使用者、群組或角色擁有的許可。您也可以編輯附加至相關 IAM 身分的現有政策。

例如,您可以建立允許存取與 Amazon Q 交談的政策,但不能疑難排解主控台錯誤。您也可以明確拒絕存取 Amazon Q。

下列AmazonQFullAccess政策使用萬用字元 (*) 字元,為 IAM 身分 (使用者、角色或群組) 提供 Amazon Q 及其功能的完整存取權。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQFullAccess", "Effect": "Allow", "Action": [ "q:*" ], "Resource": "*" } ] }

對於允許的使用者動作而言,您可以將此 AmazonQFullAccess 政策當作自訂政策的範本使用。在下Action,以您要新增至原則的權限名稱取代萬用字元。如需範例,請參閱 Amazon Q 的身分型政策範例

使用服務控制政策 (SCP) 管理存取權

服務控制政策 (SCP) 是一種組織政策類型,可用來管理您的組織中的許可。您可以透過建立指定部分或所有 Amazon Q 動作許可的 SCP 來控制組織中可用的 Amazon Q 功能。

如需有關使用 SCP 來控制組織中存取的詳細資訊,請參閱使用AWS Organizations者指南中的建立、更新和刪除服務控制原則和附加與卸離服務控制原則

以下是拒絕存取 Amazon 問的 SCP 範例。此政策限制存取 Amazon Q 對話、主控台錯誤疑難排解和網路疑難排解。

注意

拒絕存取 Amazon Q 並不會停用AWS主控台、AWS網站、AWS文件頁面或中的 Amazon Q 圖示或AWS Console Mobile Application聊天面板。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQFullAccess", "Effect": "Deny", "Action": [ "q:*" ], "Resource": "*" } ] }

Amazon Q 的身分型政策範例

以下 IAM 政策範例可控制各種 Amazon Q 動作的許可。使用它們來允許或拒絕您的使用者、角色或群組存取 Amazon Q。

允許使用者與 Amazon Q 進行對話

下列範例政策授與與 Amazon Q 交談的許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQConversationAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage" ], "Resource": "*" } ] }

允許使用者使用 Amazon Q 疑難排解主控台錯誤

下列政策範例授予使用 Amazon Q 疑難排解主控台錯誤的許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQTroubleshooting", "Effect": "Allow", "Action": [ "q:StartTroubleshootingAnalysis", "q:GetTroubleshootingResults", "q:StartTroubleshootingResolutionExplanation" ], "Resource": "*" } ] }

拒絕存取 Amazon Q

下列範例政策拒絕所有使用 Amazon Q 的許可。此政策限制存取 Amazon Q 對話、主控台錯誤疑難排解和網路疑難排解。

注意

拒絕存取 Amazon Q 並不會停用AWS主控台、AWS網站、AWS文件頁面或中的 Amazon Q 圖示或AWS Console Mobile Application聊天面板。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAmazonQFullAccess", "Effect": "Deny", "Action": [ "q:*" ], "Resource": "*" } ] }

允許使用者檢視其權限

此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台上,或是使用 AWS CLI 或 AWS API 透過編寫程式的方式完成此動作的許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }