翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ポリシーを使用して Amazon Q Developer へのアクセスを管理する
<a name="security_iam_manage-access-with-policies"></a>

**注記**  
このページの情報は、Amazon Q Developer へのアクセスに関するものです。Amazon Q Business へのアクセス管理の詳細については、「*Amazon Q Business デベロッパーガイド*」の「[Identity-based policy examples for Amazon Q Business](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/security_iam_id-based-policy-examples.html)」を参照してください。  
このトピックのポリシーと例は AWS マネジメントコンソール、、、 AWS Console Mobile Application AWS ウェブサイト AWS Documentation、チャットアプリケーションの Amazon Q に固有のものです。Amazon Q と統合された他のサービスは、異なるポリシーや設定が必要になる場合があります。サードパーティー IDE の Amazon Q のエンドユーザーは、IAM ポリシーを使用する必要はありません。詳細については、Amazon Q の機能または統合を含むサービスのドキュメントを参照してください。

デフォルトでは、ユーザーとロールには Amazon Q を使用するアクセス許可がありません。IAM 管理者は、IAM ID にアクセス許可を付与することで、Amazon Q Developer とその機能へのアクセスを管理できます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、 AWS 管理ポリシーを使用することです。`AmazonQFullAccess` ポリシーを IAM ID にアタッチして、Amazon Q Developer とその機能へのフルアクセスを許可できます。このポリシーの詳細については、「[AWS Amazon Q Developer の マネージドポリシー](managed-policy.md)」を参照してください。

IAM ID が Amazon Q Developer で実行できる特定のアクションを管理するには、ユーザー、グループ、ロールが持つ許可を定義するカスタムポリシーを作成できます。また、サービスコントロールポリシー (SCP) を使用して、組織で使用できる Amazon Q の機能を管理することもできます。

ポリシーで管理できる Amazon Q のアクセス許可の全一覧については、「[Amazon Q Developer のアクセス許可リファレンス](security_iam_permissions.md)」を参照してください。

**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_policy-best-practices)
+ [アクセス許可の割り当て](#setting-up-assign-permissions)
+ [サービスコントロールポリシー (SCP) を使用してのアクセス管理](#service-control-policies)
+ [Amazon Q Developer のアイデンティティベースのポリシー例](security_iam_id-based-policy-examples.md)

## ポリシーに関するベストプラクティス
<a name="security_iam_policy-best-practices"></a>

アイデンティティベースのポリシーは、誰がユーザーのアカウントの Amazon Q Developer リソースを作成、アクセス、削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、*最小特権*アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。

IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。

## アクセス許可の割り当て
<a name="setting-up-assign-permissions"></a>

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ のユーザーとグループ AWS IAM アイデンティティセンター:

  アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
  + ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
  + (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。詳細については、「*IAM ユーザーガイド*」の「[ユーザー (コンソール) へのアクセス権限の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。

## サービスコントロールポリシー (SCP) を使用してのアクセス管理
<a name="service-control-policies"></a>

サービスコントロールポリシー (SCP) は、組織のアクセス許可の管理に使用できる組織ポリシーの一種です。Amazon Q Developer アクションの一部またはすべてに対して許可を指定する SCP を作成することにより、組織で利用できる Amazon Q Developer の機能を管理できます。

SCP を使用して組織内のアクセスを管理する方法の詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシーの作成、更新、削除](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)」および「[サービスコントロールポリシーのアタッチとデタッチ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)」を参照してください。

### SCP の例: EU リージョン外の Amazon Q へのアクセスを拒否する
<a name="example-scp-deny-q-outside-eu"></a>

次の SCP は、欧州 (フランクフルト) リージョン (eu-central-1) 以外の Amazon Q Developer の使用を拒否します。

**注記**  
`codewhisperer` プレフィックスは、Amazon Q Developer とマージされたサービスのレガシー名です。詳細については、「[Amazon Q Developer の名称変更 - 変更の概要](service-rename.md)」を参照してください。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQDeveloperOutsideEU",
      "Effect": "Deny",
      "Action": [
         "codewhisperer:GenerateRecommendations",
         "q:SendMessage",
         "q:GenerateCodeFromCommands",
         "sqlworkbench:GetQSqlRecommendations"
         ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": 
        {"aws:RequestedRegion": [ "eu-central-1"] }
      }
    }
  ]
}
```

------

### SCP の例: Amazon Q へのアクセスを拒否する
<a name="example-scp-deny-q-access"></a>

次の SCP は、Amazon Q Developer へのアクセスを拒否します。

**注記**  
Amazon Q へのアクセスを拒否しても、コンソール、 AWS ウェブサイト、 AWS ドキュメントページ、または の Amazon Q アイコンまたはチャットパネルは AWS 無効になりません AWS Console Mobile Application。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}
```

------