本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用政策管理 Amazon Q Developer 的存取權
<a name="security_iam_manage-access-with-policies"></a>

**注意**  
此頁面上的資訊與存取 Amazon Q Developer 有關。如需管理 Amazon Q Business 存取權的相關資訊，請參閱《Amazon Q Business 使用者指南》**中的[適用於 Amazon Q Business 的身分型政策範例](https://docs.aws.amazon.com/amazonq/latest/business-use-dg/security_iam_id-based-policy-examples.html)。  
本主題中的政策和範例專屬於 AWS 管理主控台、 AWS Documentation AWS Console Mobile Application AWS 網站和聊天應用程式中的 Amazon Q。與 Amazon Q 整合的其他服務可能需要不同的政策或設定。第三方 IDE 中的 Amazon Q 最終使用者不需要使用 IAM 政策。如需詳細資訊，請參閱包含 Amazon Q 功能或整合的服務文件。

根據預設，使用者和角色未具備使用 Amazon Q 的許可。IAM 管理員可以藉由將許可授與 IAM 身分來管理對 Amazon Q Developer 及其功能的存取權。

管理員授予使用者存取權的最快速方法是透過 AWS 受管政策。您可以將 `AmazonQFullAccess` 政策附加至 IAM 身分，以授與 Amazon Q Developer 及其功能的完整存取權。如需此政策的詳細資訊，請參閱 [AWS Amazon Q Developer 的 受管政策](managed-policy.md)。

若要管理 IAM 身分可以透過 Amazon Q Developer 執行的特定動作，管理員可以建立自訂政策來定義使用者、群組或角色擁有的許可。您也可以使用服務控制政策 (SCP) 來控制組織中可使用的 Amazon Q 功能。

如需可使用政策控制的所有 Amazon Q 許可清單，請參閱 [Amazon Q Developer 許可參考](security_iam_permissions.md)。

**Topics**
+ [政策最佳實務](#security_iam_policy-best-practices)
+ [指派許可](#setting-up-assign-permissions)
+ [使用服務控制政策 (SCP) 管理存取權](#service-control-policies)
+ [Amazon Q Developer 的身分型政策範例](security_iam_id-based-policy-examples.md)

## 政策最佳實務
<a name="security_iam_policy-best-practices"></a>

身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Amazon Q Developer 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時，請遵循下列準則及建議事項：
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載，請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策，以進一步減少許可。如需更多資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時，請僅授予執行任務所需的許可。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊，請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策，以限制動作和資源的存取。例如，您可以撰寫政策條件，指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務，您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素：條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策，確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策，確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議，可協助您撰寫安全且實用的政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶，請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA，請將 MFA 條件新增至您的政策。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。

如需 IAM 中最佳實務的相關資訊，請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

## 指派許可
<a name="setting-up-assign-permissions"></a>

若要提供存取權，請新增權限至您的使用者、群組或角色：
+ 中的使用者和群組 AWS IAM Identity Center：

  建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者：
  + 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
  + (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。

## 使用服務控制政策 (SCP) 管理存取權
<a name="service-control-policies"></a>

服務控制政策 (SCP) 是一種組織政策類型，可用來管理您的組織中的許可。您可以建立 SCP 來指定部分或所有 Amazon Q 動作的許可，以藉此方式控制組織中可使用哪些 Amazon Q Developer 功能。

如需使用 SCP 在組織中控制存取權的詳細資訊，請參閱《AWS Organizations 使用者指南》**中的[建立、更新和刪除服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html)和[附加與分離服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。

### 範例 SCP：拒絕存取歐盟區域以外的 Amazon Q
<a name="example-scp-deny-q-outside-eu"></a>

下列 SCP 會拒絕對歐洲 (法蘭克福) 區域 (eu-central-1) 以外任何使用 Amazon Q Developer 的存取。

**注意**  
`codewhisperer` 字首是與 Amazon Q Developer 合併之服務的舊名稱。如需詳細資訊，請參閱[Amazon Q Developer 重新命名 - 變更摘要](service-rename.md)。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQDeveloperOutsideEU",
      "Effect": "Deny",
      "Action": [
         "codewhisperer:GenerateRecommendations",
         "q:SendMessage",
         "q:GenerateCodeFromCommands",
         "sqlworkbench:GetQSqlRecommendations"
         ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": 
        {"aws:RequestedRegion": [ "eu-central-1"] }
      }
    }
  ]
}
```

------

### 範例 SCP：拒絕存取 Amazon Q
<a name="example-scp-deny-q-access"></a>

以下 SCP 會拒絕對 Amazon Q Developer 的存取。

**注意**  
拒絕存取 Amazon Q 不會停用主控台、 AWS 網站、 AWS 文件頁面或 AWS 中的 Amazon Q 圖示或聊天面板 AWS Console Mobile Application。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAmazonQFullAccess",
      "Effect": "Deny",
      "Action": [
        "q:*"
      ],
      "Resource": "*"
    }
  ]
}
```

------