AWS Thai Blog

เสริมความแข็งแกร่งด้าน Security บน AWS ด้วย Amazon Q Developer (Part 1)

ในยุคที่การรักษาความปลอดภัยบนระบบคลาวด์มีความสำคัญสูงสุด องค์กรต่างๆ มักเผชิญความท้าทายในการประเมินและปรับปรุงระบบรักษาความปลอดภัยอย่างมีประสิทธิภาพ วันนี้เราจะมาแนะนำวิธีการใช้ Amazon Q Developer มาช่วยเพิ่มประสิทธิภาพในการรักษาความปลอดภัยให้กับระบบงานของคุณบน AWS ในด้าน Cyber Security กันด้วยโปรแกรมที่มีชื่อว่า Security Posture Improvement Program (SPIP) เพื่อยกระดับความปลอดภัยของระบบงานต่างๆ ของคุณบน AWS กันครับ

ทำความรู้จักกับ SPIP
Security Posture Improvement Program (SPIP) คือโปรแกรมที่ออกแบบมาเพื่อช่วยลูกค้า AWS ในการประเมินและปรับปรุงความปลอดภัยของระบบ โดยแบ่งการประเมินเป็น 6 โดเมนหลัก ได้แก่

  1. Identity Protection – การปกป้องตัวตนและการเข้าถึง
  2. Data Protection – การปกป้องข้อมูล
  3. Infrastructure Protection and Visibility – การปกป้องโครงสร้างพื้นฐาน
  4. Detection & Incident Response – การตรวจจับและตอบสนองต่อเหตุการณ์
  5. AppSec & DevSecOps – ความปลอดภัยของแอปพลิเคชันและการพัฒนา
  6. Centralization – การรวมศูนย์การจัดการทั้งการจัดเก็บ log ทั้งหมด


โดยผลลัพธ์ที่ได้ จะเป็น Security Posture Improvement Program (SPIP) ที่เป็นรายงานในรูปแบบ HTML ที่ประกอบด้วยส่วนสำคัญ 4 ส่วน

  • ส่วนแรกคือ Executive Summary แสดงคะแนนความปลอดภัยโดยรวมและจำนวนความเสี่ยงในแต่ละระดับ
  • ส่วนที่สองคือ Security Posture Overview นำเสนอภาพรวมคะแนนความปลอดภัยในแต่ละระดับ
  • ส่วนที่สามคือ Detailed Security Assessment แสดงรายละเอียดการตรวจสอบแยกตาม 6 โดเมนหลัก
  • และส่วนสุดท้ายคือ Implementation Roadmap นำเสนอแผนการดำเนินการให้เป็นไอเดียในการนำไป implement นั่นเอง

ตัวอย่างรายงานด้านความปลอดภัยที่ให้ทาง Amazon Q Developer CLI เข้าไปดู resource ต่างๆ ที่มีการใช้งานบน AWS

 

โดยขั้นตอนต่อไปนี้ เราจะใช้ Amazon Q Developer CLI ผ่านเครื่องคอมพิวเตอร์ของเราเอง โดยหลังจากติดตั้ง Amazon Q Developer CLI บนเครื่องคอมพิวเตอร์ของเราแล้ว เราสามารถใช้มันตรวจสอบความปลอดภัยของระบบบน AWS ได้ทันที โดยตัว Amazon Q Developer จะเชื่อมต่อกับ AWS Account ผ่าน AWS CLI ที่เราตั้งค่าไว้ จากนั้นจะทำการสแกนและวิเคราะห์ทั้งทรัพยากรและบริการต่างๆ ที่เราใช้งานอยู่ ข้อดีคือไม่จำเป็นต้องติดตั้ง Agent เพิ่มเติมใน AWS Account และใช้เวลาเพียงไม่เกิน 1 ชั่วโมงในการวิเคราะห์ จนได้รายงานการตรวจสอบความปลอดภัยที่พร้อมนำไปใช้งานต่อได้ทันที

โดยสิ่งที่จำเป็นในการทำงาน เราต้องมีการสมัครเปิดใช้งาน Amazon Q Developer พร้อมติดตั้งรวมถึง configuration ต่างๆ ให้เรียบร้อยก่อนโดยมีรายละเอียดดังนี้ครับ

1. สมัครใช้งาน Amazon Q Developer : แน่นอนครับ การที่เราจะใช้ Amazon Q Developer CLI เข้าไปดูรายละเอียด resource ต่างๆ ที่ใช้งานใน AWS ก็จะต้องมีการสมัครใช้งาน Amazon Q Developer ก่อน โดยปัจจุบันจะแบ่งออกเป็น 2 tiers ได้แก่ แบบ Individual Developer (Personal Account/Builder ID) เหมาะสำหรับผู้ใช้งานทั่วไป ที่ลองใช้ free tier ด้วย AWS Builder ID และ แบบ Organization Setup (IAM Identity Center) เหมาะสำหรับผู้ใช้งานที่ต้องการใช้ Amazon Q Developer อย่างเต็มประสิทธิภาพ เช่น เช่น การใช้งาน Amazon Q Developer Pro ในหน้า AWS Console ได้ เป็นต้น สำหรับวิธีการสมัครเริ่มใช้งาน สามารถทำตามขั้นตอนตาม Link Onboarding Paths สำหรับ Amazon Q Developer Pro  ได้เลยครับ

หากท่านไหนได้สมัครแล้วติดตั้ง Amazon Q Developer เสร็จเรียบร้อยแล้ว ข้ามขั้นตอนนี้ แล้วไปที่ขั้นตอนต่อไปได้เลยครับ

2. ติดตั้ง AWS CLI : โดยในการใช้งาน Amazon Q Developer CLI นั้น เราจำเป็นจะต้องติดตั้ง AWS CLI ก่อนเพื่อให้ Amazon Q Developer สามารถสั่งงานผ่าน AWS CLI ได้ โดยจะต้องไป download ตัว install มาติดตั้งที่เครื่องคอมพิวเตอร์เราก่อน โดยวิธีการติดตั้ง สามารถดูรายละเอียดตามวิธีในหน้านี้ได้เลยครับ Getting started with the AWS CLI

หลังจากติดตั้ง AWS CLI เสร็จเรียบร้อยแล้ว ให้ลองทดสอบใช้งานดูครับ (ในตัวอย่าง ผมใช้ AWS CLI ผ่าน Terminal บน MacOS)

aws --version

ผลลัพท์ที่ได้ จะแสดงเวอร์ชั่นของ AWS CLI ที่ได้ติดตั้งลงไปในเครื่องของเรานั่นเองครับ 

ถ้าได้แบบนี้แล้วถือว่าการติดตั้ง AWS CLI เสร็จสมบูรณ์ ไปขั้นตอนต่อไปได้เลย

3. การตั้งค่า IAM Role สำหรับให้ Amazon Q Developer CLI ใช้งาน : การตั้งค่า IAM สำหรับ Amazon Q Developer CLI (แบบ ReadOnlyAccess) โดยใช้ AWS managed policy ที่มีอยู่แล้ว นั่นคือ “ReadOnlyAccess” ดังนี้:
3.1 สร้าง IAM Role
ให้ login เข้าสู่ AWS Management Console > ไปที่ IAM > เลือก “Roles” จากเมนูด้านซ้าย > คลิก “Create role”

เลือก “AWS service” เป็น trusted entity โดยในส่วน Use case เลือก “EC2” (เราจะแก้ไข trust relationship ภายหลัง) แล้วคลิก “Next”


ในช่องค้นหา พิมพ์ “ReadOnlyAccess” แล้ว Filter by Type เลือกเป็น “AWS managed – job function” จะเจอ Policy name ที่ชื่อ ว่า “ReadOnlyAccess” ซึ่งเป็น AWS managed policy ที่มีสิทธิ์เฉพาะ Read Only อย่างเดียวที่ AWS สร้างไว้ให้แล้ว ให้คลิกเลือกที่ check box หน้าชื่อ policy “ReadOnlyAccess” แล้ว คลิก “Next”

ตั้งชื่อ role เช่น AmazonQDeveloperReadOnlyRole ในส่วนของ description (options) เขียนรายละเอียดคำอธิบายเช่น “Role for Amazon Q Developer CLI with ReadOnlyAccess” เพิ่ม tags ตามต้องการ (options) แล้วคลิก “Create role” เพื่อสร้าง Role


3.2 แก้ไข Trust Relationship หลังจากสร้าง role แล้ว คลิกที่ชื่อ role AmazonQDeveloperReadOnlyRole ที่เพิ่งสร้าง แล้วไปที่แท็บ “Trust relationships”
คลิก “Edit trust relationship”

แทนที่ policy document ด้วย 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "q.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

ตรวจสอบ Trust relationships เพื่อตรวจสอบ config อีกทีว่าถูกเปลี่ยนเป็น q.amazon.com เรียบร้อย

เมื่อได้ IAM Role ที่เพิ่ม Permission ให้ Amazon Q Developer ที่สร้างเมื่อสักครู่แล้ว เราจะเอา IAM Role นี้ไปใช้งานกับ IAM User/User Group หรือ Permission Set ใน IAM Identity Center ครับ

สำหรับ IAM User / User Group 

AWS Management Console:

ไปที่ AWS Console เลือก IAM

  • เลือก User หรือ Group ที่ต้องการ
  • คลิก “Add permissions” เลือก “Attach existing policies directly” แล้วค้นหาและเลือก “AmazonQDeveloperReadOnlyRole”
  • คลิก “Next” และ “Add permissions”

สำหรับ Permission Set ใน IAM Identity Center

  • ไปที่ IAM Identity Center console เลือก “Permission sets” จากเมนูด้านซ้าย
  • คลิก “Create permission set”
  • เลือก “Custom permission set” แล้วกรอกรายละเอียด:
    • Name: ตั้งชื่อ Permission Set
    • Description: อธิบายการใช้งาน
  • ในส่วน “AWS managed policies” ให้เพิ่ม “AmazonQDeveloperReadOnlyRole” จากนั้น Review และ “Create”


4. กำหนดค่า AWS CLI Profile :

5. ติดตั้ง Amazon Q Developer CLI : การติดตั้งทำได้ง่ายๆ ได้ทั้งวิธีดาวน์โหลดแพ็กเกจมาติดตั้ง หรือ ใช้คำสั่งผ่าน Command Line โดยรองรับระบบปฏิบัติการหลักๆ ดังนี้:

หลังจากติดตั้งเสร็จเรียบร้อยแล้ว เรามาทดสอบใช้คำสั่ง Amazon Q Developer CLI กันครับ

ตรวจสอบ Amazon Q Developer version

q version

จากนั้นให้ทำการ Login Amazon Q CLI ก่อนเริ่มใช้งาน ด้วยคำสั่ง

q login

แล้วทำการ authentication ให้เรียบร้อย ตามวิธีการใน Onboarding Paths สำหรับ Amazon Q Developer Pro เมื่อทำการ Authentication เสร็จเรียบร้อยแล้ว ให้เริ่มการใช้งานด้วยคำสั่ง q chat

q chat

เท่านี้ Amazon Q Developer CLI ก็สามารถใช้งานได้แล้วครับ

สำหรับขั้นตอนการติดตั้ง Amazon Q Developer CLI อ่านรายละเอียดเพิ่มเติมได้ที่บทความ แนะนำการใช้งาน Amazon Q Developer CLI ผู้ช่วย Agentic AI ที่จะช่วยเพิ่มประสิทธิภาพในการพัฒนาซอฟต์แวร์ของคุณ

 

ในขั้นตอนถัดไปจะเป็นการเริ่มใช้งาน Amazon Q Developer CLI เข้าไปดูรายละเอียดด้าน Security ใน AWS Account ของเรากัน ที่ Link นี้ได้เลยครับ เสริมความแข็งแกร่งด้าน Security บน AWS ด้วย Amazon Q Developer (Part 2)