本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Q 开发者版成本管理功能的安全性
下面概述了 Amazon Q 开发者版中成本管理功能的权限和数据保护。
权限概述
要使用 Amazon Q Developer 中的成本管理功能,您需要三组身份和访问管理 (IAM) 权限:
-
Amazon Q 权限:在控制台中与 Amazon Q 聊天的权限(例如
q:StartConversation和 q:SendMessage) -
服务权限:访问提供成本数据的底层 Billing and Billing and Cost Management 服务的权限
-
PassRequest 权限:
q:PassRequest允许 Amazon Q 代表您致电 Amazon APIs 的权限
管理员向用户授予 Amazon Q 开发者版访问权限的最快方法是使用 AmazonQFullAccess 托管式策略。
成本管理功能的权限
以下 IAM 政策声明允许用户使用 Amazon Q Developer 中的所有成本管理功能:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAmazonQChatAndPassRequest", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:UpdateConversation", "q:DeleteConversation", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:GetCostAndUsage", "ce:GetCostAndUsageWithResources", "ce:GetCostForecast", "ce:GetUsageForecast", "ce:GetTags", "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetSavingsPlansUtilization", "ce:GetSavingsPlansCoverage", "ce:GetSavingsPlansUtilizationDetails", "ce:GetReservationUtilization", "ce:GetReservationCoverage", "ce:GetSavingsPlansPurchaseRecommendation", "ce:GetReservationPurchaseRecommendation", "ce:GetRightsizingRecommendation", "ce:GetAnomalies", "ce:GetCostAndUsageComparisons", "ce:GetCostComparisonDrivers" ], "Resource": "*" }, { "Sid": "AllowCostOptimizationHubAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" }, { "Sid": "AllowComputeOptimizerAccess", "Effect": "Allow", "Action": [ "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetIdleRecommendations", "compute-optimizer:GetLicenseRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences" ], "Resource": "*" }, { "Sid": "AllowBudgetsAccess", "Effect": "Allow", "Action": [ "budgets:ViewBudget" ], "Resource": "*" }, { "Sid": "AllowFreeTierAccess", "Effect": "Allow", "Action": [ "freetier:GetFreeTierUsage", "freetier:GetAccountPlanState", "freetier:ListAccountActivities", "freetier:GetAccountActivity" ], "Resource": "*" }, { "Sid": "AllowPricingAccess", "Effect": "Allow", "Action": [ "pricing:GetProducts", "pricing:GetAttributeValues", "pricing:DescribeServices" ], "Resource": "*" } ] }
您可以缩小此政策的范围,仅授予对特定成本管理功能的访问权限。例如,如果您不希望用户访问资源级成本数据,则可以删除该ce:GetCostAndUsageWithResources操作,或者添加明确的拒绝声明。
q: PassRequest 权限
q:PassRequest是一项 Amazon Q 开发者许可,允许 Amazon Q 开发者代表您致电 Amazon APIs 。当您向 IAM 身份添加 q:PassRequest 权限时,Amazon Q 开发者版将获得调用 IAM 身份有权调用的任何 API 的权限。例如,如果某个 IAM 角色具有ce:GetCostAndUsage权限和权限,则当扮演 IAM 角色的用户要求 Amazon Q 开发人员从 Cost Explorer 检索成本和使用量数据时,Amazon Q 开发人员可以调用 GetCostAndUsage API。q:PassRequest
您还可以允许 IAM 主体访问 Cost Explorer 和使用 Amazon Q 开发者版,但使用 aws:CalledVia 全局条件键限制他们使用 Amazon Q 开发者版中的成本分析或成本优化功能。以下 IAM 策略提供了使用此条件密钥的示例:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowQDeveloperAccess", "Effect": "Allow", "Action": [ "q:StartConversation", "q:SendMessage", "q:GetConversation", "q:ListConversations", "q:PassRequest" ], "Resource": "*" }, { "Sid": "AllowCostExplorerAccess", "Effect": "Allow", "Action": [ "ce:*" ], "Resource": "*" }, { "Sid": "DenyCostExplorerAccessViaAmazonQ", "Effect": "Deny", "Action": [ "ce:*" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "q.amazonaws.com" ] } } } ] }
多账户访问权限
对于 Amazon 组织用户,管理账户管理员可以使用 B Amazon illing and Cost Management 控制台中的 “成本管理” 偏好设置来限制成员账户用户对Cost Explorer和成本优化中心数据的访问权限(包括折扣、积分和退款)。这些首选项适用于 Amazon Q 开发者版,其方式与适用于管理控制台、SDK 和 CLI 的方式相同。Amazon Q 开发者版尊重客户的现有偏好。
跨区域调用
来自成本优化中心和 Cost Explorer 服务的数据托管在美国东部(弗吉尼亚州北部)区域。来自的数据托管 Amazon Compute Optimizer 在底层资源(例如实 EC2 例)所在的 Amazon 区域。 Amazon 价目表 APIs 中提供的数据托管在 us-east-1、eu-central-1 和 ap-south-1 中(请注意,价目表不提供任何客户特定的数据)。 Amazon APIs Amazon Q 开发者版中的成本管理请求可能需要跨区域调用。有关更多信息,请参阅《Amazon Q 开发者版用户指南》中的 Amazon Q 开发者版中的跨区域处理。
数据保护
我们可能会将 Amazon Q 开发者版免费套餐中的特定内容用于服务改进。例如,Amazon Q 开发者版可能会使用此内容来更好地回答常见问题、修复 Amazon Q 开发者版运营问题、调试错误或进行模型训练。例如, Amazon 可用于改进服务的内容包括您向 Amazon Q 开发者提出的问题以及 Amazon Q 开发者生成的回复和代码。我们不会使用 Amazon Q 开发者版专业套餐或 Amazon Q Business 中的内容进行服务改进。
使用内容改进服务选择退出 Amazon Q 开发者免费套餐的方式取决于您使用 Amazon Q 的环境。对于 Amazon 管理控制台、控制 Amazon 台移动应用程序、 Amazon 网站和聊天 Amazon 机器人,请在 Organizations 中配置 AI 服务选择退出政策。 Amazon 有关更多信息,请参阅《Amazon Organizations 用户指南》中的人工智能服务退出政策。