AWS Amazon Q 開發人員的受管政策 - Amazon Q 開發
AmazonQFullAccessAmazonQDeveloperAccessAWSServiceRoleForAmazonQDeveloperPolicyAWSServiceRoleForUserSubscriptionPolicy政策更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Q 開發人員的受管政策

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

對於管理員而言,授予使用者存取權的最快捷方式是透過 AWS 受管政策。Amazon Q 開發人員的下列 AWS 受管政策可附加至 IAM 身分:

  • AmazonQFullAccess提供完整存取權,以啟用與 Amazon Q 開發人員互動,包括管理員存取權。

  • AmazonQDeveloperAccess提供完整存取權,以啟用與 Amazon Q 開發人員互動,無需管理員存取權。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AmazonQFullAccess

AmazonQFullAccess管政策提供管理員存取權,讓組織中的使用者能夠存取 Amazon Q 開發人員。它還提供完整存取權以啟用與 Amazon Q 開發人員的互動,包括使用 IAM 身分中心登入,以透過 Amazon Q 開發人員專業版訂閱存取 Amazon Q。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAmazonQFullAccess",
            "Effect": "Allow",
            "Action": [
                "q:StartConversation",
                "q:SendMessage",
                "q:GetConversation",
                "q:ListConversations",
                "q:PassRequest",
                "q:StartTroubleshootingAnalysis",
                "q:GetTroubleshootingResults",
                "q:StartTroubleshootingResolutionExplanation",
                "q:UpdateTroubleshootingCommandResult",
                "q:GetIdentityMetadata",
                "q:CreateAssignment",
                "q:DeleteAssignment"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCloudControlReadAccess",
            "Effect": "Allow",
            "Action": [
                "cloudformation:GetResource",
                "cloudformation:ListResources"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowSetTrustedIdentity",
            "Effect": "Allow",
            "Action": [
                "sts:SetContext"
            ],
            "Resource": "arn:aws:sts::*:self"
        }
    ]
}

AmazonQDeveloperAccess

AmazonQDeveloperAccess管政策提供完整存取權,無需管理員存取權,即可與 Amazon Q 開發人員進行互動。其中包括使用 IAM 身分中心登入的存取權,以透過 Amazon Q 開發人員專業訂閱存取 Amazon Q。

{
 "Version": "2012-10-17",
 "Statement": [
  {
      "Sid": "AllowAmazonQDeveloperAccess",
      "Effect": "Allow",
      "Action": [
          "q:StartConversation",
          "q:SendMessage",
          "q:GetConversation",
          "q:ListConversations",
          "q:PassRequest",
          "q:StartTroubleshootingAnalysis",
          "q:StartTroubleshootingResolutionExplanation",
          "q:GetTroubleshootingResults",
          "q:UpdateTroubleshootingCommandResult",
          "q:GetIdentityMetaData"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowCloudControlReadAccess",
      "Effect": "Allow",
      "Action": [
          "cloudformation:GetResource",
          "cloudformation:ListResources"
      ],
      "Resource": "*"
  },
  {
      "Sid": "AllowSetTrustedIdentity",
      "Effect": "Allow",
      "Action": [
          "sts:SetContext"
      ],
      "Resource": "arn:aws:sts::*:self"
  }
 ]
}

AWSServiceRoleForAmazonQDeveloperPolicy

此 AWS 受管政策授予使用 Amazon Q 開發人員通常所需的許可。政策會新增至您上線至 Amazon Q 時建立的 AWSServiceRoleForAmazonQDeveloper 服務連結角色。

您無法附加 AWSServiceRoleForAmazonQDeveloperPolicy 到 IAM 實體。此政策附加至服務連結角色,可讓 Amazon Q 代表您執行動作。如需詳細資訊,請參閱 針對 Amazon Q 開發人員和使用者訂閱使用服務連結角色

此原則會授與管理員權限,允許針對「帳單/使用量」發佈指標。

許可詳細資訊

此政策包含以下許可。

  • cloudwatch— 允許主參與者 CloudWatch 針對「帳單/使用量」發佈使用量度。這是必需的,以便您可以跟踪您的 Amazon Q 的使用情況 CloudWatch。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/Q"
                    ]
                }
            }
        }
    ]
}

若要在其他 AWS 受管政策的內容中檢視此政策,請參閱 Amazon DeveloperPolicy Q。

AWSServiceRoleForUserSubscriptionPolicy

此 AWS 受管政策授予使用 Amazon Q 開發人員通常所需的許可。政策會新增至您建立 Amazon Q 訂閱時建立的 AWSServiceRoleForUserSubscriptions 服務連結角色。

您無法附加 AWSServiceRoleForUserSubscriptionPolicy 到 IAM 實體。此政策附加至服務連結角色,可讓 Amazon Q 代表您執行動作。如需詳細資訊,請參閱 針對 Amazon Q 開發人員和使用者訂閱使用服務連結角色

此政策可讓您存取身分中心資源的 Amazon Q 訂閱,以自動更新您的訂閱。

許可詳細資訊

此政策包含以下許可。

  • identitystore— 允許主參與者追蹤 Identity Center 目錄變更,以便自動更新訂閱。

    organizations— 允許主體追蹤 AWS Organizations 變更,以便自動更新訂閱。

    sso— 允許主參與者追蹤 Identity Center 執行個體變更,以便自動更新訂閱。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "identitystore:DescribeGroup",
                "identitystore:DescribeUser",
                "identitystore:IsMemberInGroups",
                "identitystore:ListGroupMemberships",
                "organizations:DescribeOrganization",
                "sso:DescribeApplication",
                "sso:DescribeInstance",
                "sso:ListInstances"
            ],
            "Resource": "*"
        }
    ]
}

若要在其他 AWS 受管理的原則內容中檢視此原則,請參閱AWSServiceRoleForUserSubscriptionPolicy

政策更新

檢視 Amazon Q 開發人員 AWS 受管政策更新的詳細資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請在 Amazon Q 開發人員的文件歷史記錄使用者指南頁面訂閱 RSS 摘要。

變更 描述 日期

AmazonQFullAccess - 更新的政策

已新增其他許可,讓 Amazon Q 能夠存取下游資源。

2024 年 7 月 9 日

AmazonQDeveloperAccess – 新政策

提供完整存取權,以啟用與 Amazon Q 開發人員互動,無需管理員存取權。

2024 年 7 月 9 日

AmazonQFullAccess - 更新的政策

已新增其他許可,以啟用 Amazon Q 開發人員的訂閱檢查。

2024 年 4 月 30 日

AWSServiceRoleForUserSubscriptionPolicy – 新政策

允許 Amazon Q 訂閱自動 AWS Organizations 根據變更或代表您更新訂閱。 AWS IAM Identity Center AWS IAM Identity Center 目錄

2024 年 4 月 30 日

AWSServiceRoleForAmazonQDeveloperPolicy – 新政策

允許 Amazon Q 代表您致 CodeGuru 電 Amazon CloudWatch 和 Amazon。

2024 年 4 月 30 日

AmazonQFullAccess – 新政策

提供完整存取權以啟用與 Amazon Q 開發人員互動。

2023 年 11 月 28 日

Amazon Q 開發人員開始追蹤變

Amazon Q 開發人員開始追蹤 AWS 受管政策的變更。

2023 年 11 月 28 日