配置 IAM 权限
本主题介绍您为 Amazon Q 聊天体验和 Amazon Glue Studio 笔记本体验配置的 IAM 权限。
配置 Amazon Q 聊天的 IAM 权限
要在 Amazon Glue 授予对 Amazon Q 数据集成所用 API 的权限,需要相应的 Amazon Identity and Access Management(IAM)权限。您可以通过将以下自定义 Amazon 策略附加到您的 IAM 身份(例如用户、角色或组)来获取权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:StartCompletion", "glue:GetCompletion" ], "Resource": [ "arn:aws:glue:*:*:completion/*" ] } ] }
配置 Amazon Glue Studio 笔记本电脑实例的 IAM 权限
要在 Amazon Glue Studio 笔记本电脑实例中启用 Amazon Q 数据集成,请确保将以下权限附加到笔记本 IAM 角色:
注意
codewhisperer 前缀是与 Amazon Q Developer 合并前的服务的旧名称。有关更多信息,请参阅 Amazon Q Developer rename - Summary of changes。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "glue:StartCompletion", "glue:GetCompletion" ], "Resource": [ "arn:aws:glue:*:*:completion/*" ] }, { "Sid": "AmazonQDeveloperPermissions", "Effect": "Allow", "Action": [ "codewhisperer:GenerateRecommendations" ], "Resource": "*" } ] }
注意
Amazon Glue 中的 Amazon Q 数据集成中没有通过可供您以编程方式使用的 Amazon 软件开发工具包提供的 API。IAM 策略中使用了以下两个 API,用于通过 Amazon Glue Studio 笔记本电脑实例实现这种体验:StartCompletion 和 GetCompletion。
分配权限
要提供访问权限,请为您的用户、组或角色添加权限:
Amazon IAM Identity Center 中的用户和组:创建权限集。按照《Amazon IAM Identity Center 用户指南》中 Create a permission set 部分的说明进行操作。
通过身份提供商在 IAM 中管理的用户:创建身份联合验证角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
IAM 用户:
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。