本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Q 开发者版成本管理功能的安全性
下面概述了 Amazon Q 开发者版中成本管理功能的权限和数据保护。
## 权限概述
要使用 Amazon Q Developer 中的成本管理功能,您需要三组身份和访问管理 (IAM) 权限:
1. **Amazon Q 权限**:在控制台中与 Amazon Q 聊天的权限(例如`q:StartConversation`和 q:SendMessage)
1. **服务权限**:访问提供成本数据的底层 Billing and Billing and Cost Management 服务的权限
1. **PassRequest 权限**:`q:PassRequest`允许 Amazon Q 代表您致电 Amazon APIs 的权限
管理员向用户授予 Amazon Q 开发者版访问权限的最快方法是使用 `AmazonQFullAccess` 托管式策略。
## 成本管理功能的权限
以下 IAM 政策声明允许用户使用 Amazon Q Developer 中的所有成本管理功能:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAmazonQChatAndPassRequest",
"Effect": "Allow",
"Action": [
"q:StartConversation",
"q:SendMessage",
"q:GetConversation",
"q:ListConversations",
"q:UpdateConversation",
"q:DeleteConversation",
"q:PassRequest"
],
"Resource": "*"
},
{
"Sid": "AllowCostExplorerAccess",
"Effect": "Allow",
"Action": [
"ce:GetCostAndUsage",
"ce:GetCostAndUsageWithResources",
"ce:GetCostForecast",
"ce:GetUsageForecast",
"ce:GetTags",
"ce:GetCostCategories",
"ce:GetDimensionValues",
"ce:GetSavingsPlansUtilization",
"ce:GetSavingsPlansCoverage",
"ce:GetSavingsPlansUtilizationDetails",
"ce:GetReservationUtilization",
"ce:GetReservationCoverage",
"ce:GetSavingsPlansPurchaseRecommendation",
"ce:GetReservationPurchaseRecommendation",
"ce:GetRightsizingRecommendation",
"ce:GetAnomalies",
"ce:GetCostAndUsageComparisons",
"ce:GetCostComparisonDrivers"
],
"Resource": "*"
},
{
"Sid": "AllowCostOptimizationHubAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries"
],
"Resource": "*"
},
{
"Sid": "AllowComputeOptimizerAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetIdleRecommendations",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences"
],
"Resource": "*"
},
{
"Sid": "AllowBudgetsAccess",
"Effect": "Allow",
"Action": [
"budgets:ViewBudget"
],
"Resource": "*"
},
{
"Sid": "AllowFreeTierAccess",
"Effect": "Allow",
"Action": [
"freetier:GetFreeTierUsage",
"freetier:GetAccountPlanState",
"freetier:ListAccountActivities",
"freetier:GetAccountActivity"
],
"Resource": "*"
},
{
"Sid": "AllowPricingAccess",
"Effect": "Allow",
"Action": [
"pricing:GetProducts",
"pricing:GetAttributeValues",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
您可以缩小此政策的范围,仅授予对特定成本管理功能的访问权限。例如,如果您不希望用户访问资源级成本数据,则可以删除该`ce:GetCostAndUsageWithResources`操作,或者添加明确的拒绝声明。
## q: PassRequest 权限
`q:PassRequest`是一项 Amazon Q 开发者许可,允许 Amazon Q 开发者代表您致电 Amazon APIs 。当您向 IAM 身份添加 `q:PassRequest` 权限时,Amazon Q 开发者版将获得调用 IAM 身份有权调用的任何 API 的权限。例如,如果某个 IAM 角色具有`ce:GetCostAndUsage`权限和权限,则当扮演 IAM 角色的用户要求 Amazon Q 开发人员从 Cost Explorer 检索成本和使用量数据时,Amazon Q 开发人员可以调用 GetCostAndUsage API。`q:PassRequest`
您还可以允许 IAM 主体访问 Cost Explorer 和使用 Amazon Q 开发者版,但使用 `aws:CalledVia` [全局条件键](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia)限制他们使用 Amazon Q 开发者版中的成本分析或成本优化功能。以下 IAM 策略提供了使用此条件密钥的示例:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:StartConversation",
"q:SendMessage",
"q:GetConversation",
"q:ListConversations",
"q:PassRequest"
],
"Resource": "*"
},
{
"Sid": "AllowCostExplorerAccess",
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": "*"
},
{
"Sid": "DenyCostExplorerAccessViaAmazonQ",
"Effect": "Deny",
"Action": [
"ce:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"q.amazonaws.com"
]
}
}
}
]
}
```
## 多账户访问权限
对于 Amazon 组织用户,管理账户管理员可以使用 B Amazon illing and Cost Management 控制台中的 “成本管理” 偏好设置来限制成员账户用户对Cost Explorer和成本优化中心数据的访问权限(包括折扣、积分和退款)。这些首选项适用于 Amazon Q 开发者版,其方式与适用于管理控制台、SDK 和 CLI 的方式相同。Amazon Q 开发者版尊重客户的现有偏好。
## 跨区域调用
来自成本优化中心和 Cost Explorer 服务的数据托管在美国东部(弗吉尼亚州北部)区域。来自的数据托管 Amazon Compute Optimizer 在底层资源(例如 EC2 实例)所在的 Amazon 区域。 Amazon 价目表 APIs 中提供的数据托管在 us-east-1、eu-central-1 和 ap-south-1 中(请注意,价目表不提供任何客户特定的数据)。 Amazon APIs Amazon Q 开发者版中的成本管理请求可能需要跨区域调用。有关更多信息,请参阅《Amazon Q 开发者版用户指南》**中的 [Amazon Q 开发者版中的跨区域处理](https://docs.amazonaws.cn/amazonq/latest/qdeveloper-ug/cross-region-processing.html)。
## 数据保护
我们可能会将 Amazon Q 开发者版免费套餐中的特定内容用于服务改进。例如,Amazon Q 开发者版可能会使用此内容来更好地回答常见问题、修复 Amazon Q 开发者版运营问题、调试错误或进行模型训练。例如, Amazon 可用于改进服务的内容包括您向 Amazon Q 开发者提出的问题以及 Amazon Q 开发者生成的回复和代码。我们不会使用 Amazon Q 开发者版专业套餐或 Amazon Q Business 中的内容进行服务改进。
使用内容改进服务选择退出 Amazon Q 开发者免费套餐的方式取决于您使用 Amazon Q 的环境。对于 Amazon 管理控制台、控制 Amazon 台移动应用程序、 Amazon 网站和聊天 Amazon 机器人,请在 Organizations 中配置 AI 服务选择退出政策。 Amazon 有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[人工智能服务退出政策](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。