Amazon Q Business - 设置

Amazon Q Business 是一款智能生成式 AI 助手，可通过设置其帐户来有效使用。首次使用 Amazon Q Business 时，请按照以下步骤操作。

注册 AWS 账户

如果您没有 AWS 账户，请按照以下步骤创建一个。

• 打开 portal.aws.amazon.com/billing/signup
• 按照在线说明操作。
• 注册过程包括接听电话并在电话键盘上输入验证码。
• 在注册过程中，会自动创建具有 AWS 账户完全访问权限的根用户。
• 注册后，AWS 会向您发送一封电子邮件以确认您的注册，您可以通过以下方式管理您的账户: https://aws.amazon.com/ 并选择 我的账户

创建具有管理权限的用户

注册后保护您的主 AWS 账户，添加额外的安全性，并为日常任务创建新用户。

保护 AWS 账户根用户

您可以按照以下步骤保护您的 AWS 账户根用户:

• 使用您的电子邮件和密码以账户所有者的身份通过 AWS 管理控制台 登录 AWS。
• 为您的根用户启用多重身份验证 (MFA) 来增加额外的安全性。

配置管理访问

您可以按照以下步骤创建具有管理权限的用户:

• 首先，启用 IAM Identity Center，并按照以下步骤操作:
• 首先，登录 AWS 管理控制台。您可以执行以下任一操作。
• AWS 新手(根用户):选择根用户并输入您的 AWS 账户电子邮件地址，以账户所有者身份登录。在下一页上，输入您的密码。
• 已使用 AWS(IAM 凭证):使用具有管理权限的 IAM 凭证登录。
• 打开 IAM 身份中心控制台。
• 在启用 IAM 身份中心下，选择使用 AWS Organizations 启用
。
• 在 IAM 身份中心中，向用户授予管理访问权限，有关教程，请参阅使用默认 IAM 身份中心目录配置用户访问权限。

以管理员权限登录

按照以下步骤轻松以具有管理员权限的用户身份登录:

• 使用发送到您电子邮件的链接，通过您的 IAM Identity Center 账户登录。
• 要以 IAM Identity Center 用户身份登录，请按照以下步骤操作:
• 将发送到您电子邮件的登录 URL 粘贴到您的浏览器中，然后按 Enter。
• 使用您的公司凭证(如用户名和密码)登录。

注意:如果您的管理员向您发送了电子邮件一次性密码 (OTP)，并且这是您首次登录，请输入该密码。登录后，您必须创建一个新密码以便将来登录。

• 检查电子邮件中的验证码，并将其粘贴到登录页面中。

注意:如果您没有通过电子邮件收到验证码，请咨询您的管理员以获取有关验证码的详细信息。

• 如果在 IAM 身份中心为您的用户启用了 MFA，则您可以使用它进行身份验证。
• 身份验证后，您可以访问门户中显示的任何 AWS 账户和应用程序。
• 要登录 AWS 管理控制台，请转到"账户"选项卡并选择账户，然后选择您的角色以打开控制台，对于命令行或编程访问，请选择"访问密钥"。
• 要访问应用程序，请转到"应用程序"选项卡，然后选择要使用的应用程序。

注意:登录后，您的 AWS 访问门户会话有效期为8 小时。8 小时后您需要再次登录。

将访问权限分配给其他用户

您可以按照以下步骤将访问权限分配给其他用户:

• 在 IAM Identity Center 中创建仅授予必要访问权限的权限集。
• 将用户添加到组，然后授予该组单点登录访问权限。要将用户添加到组，请按照以下步骤操作:
• 打开 IAM Identity Center 控制台。
• 选择"组"。
• 选择"创建组"。
• 输入组名称和说明(可选)。
• 选择"创建组"。

注意:将此组添加到 Identity Center 目录后，您可以为该组分配单点登录访问权限。

考虑 AWS 区域和终端节点

终端节点是启动 Web 服务并与特定 AWS 区域绑定的 URL。使用 Amazon Q Business 时，请确保所有应用程序组件(例如检索器、索引和聊天体验)都在同一区域中创建。

有关 Amazon Q Business 支持的区域和终端节点，请参阅 Amazon Q Business 的服务配额。

设置所需权限

当您通过 AWS 管理控制台使用 Amazon Q Business 时，它会自动为您添加必要的权限。

要以 IAM 用户身份将 Amazon Q Business 与 AWS CLI 或 SDK 一起使用，您需要授予它必要的权限，以便它可以为您创建和管理资源。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": "qbusiness:*",
        "Effect": "Allow",
        "Resource": "*"
    }]
}

如果您使用的是客户管理密钥，请添加以下权限:

"kms:DescribeKey"
"kms:CreateGrant"

如果您使用的是 IAM Identity Center，请添加以下权限:

"sso:CreateApplication"
"sso:PutApplicationAuthenticationMethod"
"sso:PutApplicationAccessScope"
"sso:PutApplicationGrant"
"sso:DeleteApplication"

要允许 Amazon Q 分配用户订阅，请使用以下角色策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "QBusinessSubscriptionPermissions",
            "Effect": "Allow",
            "Action": [
                "qbusiness:UpdateSubscription",
                "qbusiness:CreateSubscription",
                "qbusiness:CancelSubscription",
                "qbusiness:ListSubscriptions"
            ],
            "Resource": [
                "arn:aws:qbusiness:{{region}}:{{source_account}}:application/{{application_id}}",
                "arn:aws:qbusiness:{{region}}:{{source_account}}:application/{{application_id}}/subscription/{{subscription_id}}"
            ]
        },
        {
            "Sid": "QBusinessServicePermissions",
            "Effect": "Allow",
            "Action": [
                "user-subscriptions:UpdateClaim",
                "user-subscriptions:CreateClaim",
                "organizations:DescribeOrganizations",
                "iam:CreateServiceLinkedRole",
                "sso-directory:DescribeGroup",
                "sso-directory:DescribeUser",
                "sso:DescribeApplication",
                "sso:DescribeInstance"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}