本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Q Developer 中成本管理功能的安全性
以下概述 Amazon Q Developer 中成本管理功能的許可和資料保護。
## 權限概觀
若要在 Amazon Q Developer 中使用成本管理功能,您需要三組 Identity and Access Management (IAM) 許可:
1. **Amazon Q 許可**:在主控台中與 Amazon Q 聊天的許可 (例如 `q:StartConversation`和 q:SendMessage)
1. **服務許可**:存取提供成本資料之基礎 Billing and Cost Management 服務的許可
1. **PassRequest 許可**:允許 Amazon Q 代表您呼叫 AWS APIs`q:PassRequest`許可
管理員授予使用者 Amazon Q Developer 存取權的最快速方法是使用 `AmazonQFullAccess`受管政策。
## 成本管理功能的許可
下列 IAM 政策陳述式授予使用者對 Amazon Q Developer 中所有成本管理功能的存取權:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAmazonQChatAndPassRequest",
"Effect": "Allow",
"Action": [
"q:StartConversation",
"q:SendMessage",
"q:GetConversation",
"q:ListConversations",
"q:UpdateConversation",
"q:DeleteConversation",
"q:PassRequest"
],
"Resource": "*"
},
{
"Sid": "AllowCostExplorerAccess",
"Effect": "Allow",
"Action": [
"ce:GetCostAndUsage",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast",
"ce:GetTags",
"ce:GetCostCategories",
"ce:GetDimensionValues",
"ce:GetSavingsPlansUtilization",
"ce:GetSavingsPlansCoverage",
"ce:GetSavingsPlansUtilizationDetails",
"ce:GetReservationUtilization",
"ce:GetReservationCoverage",
"ce:GetSavingsPlansPurchaseRecommendation",
"ce:GetReservationPurchaseRecommendation",
"ce:GetRightsizingRecommendation",
"ce:GetAnomalies",
"ce:GetCostAndUsageComparisons",
"ce:GetCostComparisonDrivers"
],
"Resource": "*"
},
{
"Sid": "AllowCostOptimizationHubAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries"
],
"Resource": "*"
},
{
"Sid": "AllowComputeOptimizerAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetIdleRecommendations",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences"
],
"Resource": "*"
},
{
"Sid": "AllowBudgetsAccess",
"Effect": "Allow",
"Action": [
"budgets:ViewBudget"
],
"Resource": "*"
},
{
"Sid": "AllowFreeTierAccess",
"Effect": "Allow",
"Action": [
"freetier:GetFreeTierUsage",
"freetier:GetAccountPlanState",
"freetier:ListAccountActivities",
"freetier:GetAccountActivity"
],
"Resource": "*"
},
{
"Sid": "AllowPricingAccess",
"Effect": "Allow",
"Action": [
"pricing:GetProducts",
"pricing:GetAttributeValues",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
您可以縮小此政策的範圍,僅授予特定成本管理功能的存取權。例如,如果您不希望使用者存取資源層級的成本資料,您可以移除 `ce:GetCostAndUsageWithResources`動作,或新增明確拒絕陳述式。
## q:PassRequest 許可
`q:PassRequest` 是一種 Amazon Q Developer 許可,可讓 Amazon Q Developer 代表您呼叫 AWS APIs。當您將 `q:PassRequest` 許可新增至 IAM 身分時,Amazon Q Developer 會取得呼叫 IAM 身分具有呼叫許可之任何 API 的許可。例如,如果 IAM 角色具有 `ce:GetCostAndUsage`許可和 `q:PassRequest`許可,則當擔任該 IAM 角色的使用者要求 Amazon Q Developer 從 Cost Explorer 擷取成本和用量資料時,Amazon Q Developer 可以呼叫 GetCostAndUsage API。
您也可以允許 IAM 主體存取 Cost Explorer 和使用 Amazon Q Developer,但使用`aws:CalledVia`[全域條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)來限制他們使用 Amazon Q Developer 中的成本分析或成本最佳化功能。下列 IAM 政策提供使用此條件金鑰的範例:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:StartConversation",
"q:SendMessage",
"q:GetConversation",
"q:ListConversations",
"q:PassRequest"
],
"Resource": "*"
},
{
"Sid": "AllowCostExplorerAccess",
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": "*"
},
{
"Sid": "DenyCostExplorerAccessViaAmazonQ",
"Effect": "Deny",
"Action": [
"ce:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"q.amazonaws.com"
]
}
}
}
]
}
```
## 多帳戶存取
對於 AWS Organizations 的使用者,管理帳戶管理員可以使用 AWS Billing and Cost Management 主控台中的 Cost Management 偏好設定,限制成員帳戶使用者存取 Cost Explorer 和 Cost Optimization Hub 資料 (包括存取折扣、點數和退款)。這些偏好設定套用到 Amazon Q Developer 的方式與套用到管理主控台、軟體開發套件和 CLI 的方式相同。Amazon Q Developer 遵守客戶的現有偏好設定。
## 跨區域呼叫
Cost Optimization Hub 和 Cost Explorer 服務的資料託管在美國東部 (維吉尼亞北部) 區域。來自 的資料 AWS Compute Optimizer 託管在基礎資源所在的 AWS 區域中,例如 EC2 執行個體。從 AWS Price List APIs提供的資料託管於 us-east-1、eu-central-1 和 ap-south-1 (請注意, AWS Price List APIs 不提供任何客戶特定資料)。Amazon Q Developer 中的成本管理請求可能需要跨區域呼叫。如需詳細資訊,請參閱《[Amazon Q 開發人員使用者指南》中的 Amazon Q 開發人員中的跨區域處理](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/cross-region-processing.html)。 **
## 資料保護
我們可能會使用 Amazon Q Developer 免費方案的特定內容來改善服務。例如,Amazon Q Developer 可能會使用此內容來提供更好的常見問題回應、修正 Amazon Q Developer 操作問題、偵錯或模型訓練。例如, AWS 可能用於改善服務的內容包括您向 Amazon Q Developer 提出的問題,以及 Amazon Q Developer 產生的回應和程式碼。我們不會使用 Amazon Q Developer 專業方案或 Amazon Q Business 的內容來改善服務。
您使用改善服務內容選擇退出 Amazon Q Developer 免費方案的方式,取決於您使用 Amazon Q 的環境。對於 AWS 管理主控台、 AWS 主控台行動應用程式、 AWS 網站和 AWS Chatbot,請在 AWS Organizations 中設定 AI 服務選擇退出政策。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的 [AI 服務選擇退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。