Permisos de roles vinculados a servicios de AWS Cloud9 Creación de un rol vinculado a un servicio de AWS Cloud9 Modificación de un rol vinculado a servicios de AWS Cloud9 Eliminación de un rol vinculado a un servicio de AWS Cloud9 Regiones admitidas para los roles vinculados a un servicio de AWS Cloud9

Uso de roles vinculados a servicios de AWS Cloud9

AWS Cloud9 utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS Cloud9. Los roles vinculados a servicios están predefinidos por AWS Cloud9 e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Con un rol vinculado a un servicio, resulta más sencillo configurar AWS Cloud9, porque no es preciso agregar los permisos necesarios. AWS Cloud9 define los permisos de sus roles vinculados a servicios y solo AWS Cloud9 puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de AWS Cloud9, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service Linked Role (Rol vinculado a servicios). Seleccione una opción Sí con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de AWS Cloud9
Creación de un rol vinculado a un servicio de AWS Cloud9
Modificación de un rol vinculado a un servicio de AWS Cloud9
Eliminación de un rol vinculado a un servicio de AWS Cloud9
Regiones admitidas para los roles vinculados a servicios de AWS Cloud9

Permisos de roles vinculados a servicios de AWS Cloud9

AWS Cloud9 usa el rol vinculado a un servicio denominado AWSServiceRoleForawsCloud9. Este rol vinculado al servicio confía en el servicio cloud9.amazonaws.com para asumir el rol.

La política de permisos de este rol vinculado a un servicio se denomina AWSCloud9ServiceRolePolicy y permite a AWS Cloud9 completar las acciones indicadas en la política en los recursos especificados.

importante

Si utiliza License Manager y recibe el error unable to access your environment, tiene que reemplazar el rol vinculado a un servicio anterior por la versión compatible con License Manager. Para reemplazar el rol antiguo, elimínelo. A continuación, se crea el rol actualizado de forma automática.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateSecurityGroup",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceStatus",
				"cloudformation:CreateStack",
				"cloudformation:DescribeStacks",
				"cloudformation:DescribeStackEvents",
				"cloudformation:DescribeStackResources"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:TerminateInstances",
				"ec2:DeleteSecurityGroup",
				"ec2:AuthorizeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStack"
			],
			"Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringLike": {
					"aws:RequestTag/Name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": [
				"arn:aws:license-manager:*:*:license-configuration:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListInstanceProfiles",
				"iam:GetInstanceProfile"
			],
			"Resource": [
				"arn:aws:iam::*:instance-profile/cloud9/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"
			],
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com"
				}
			}
		}
	]
}

Debe configurar permisos para permitir que AWS Cloud9 cree un rol vinculado a un servicio en nombre de una entidad de IAM (como un usuario, grupo o rol).

Para permitir que AWS Cloud9 cree el rol vinculado a un servicio AWSServiceRoleForAWSCloud9, agregue la siguiente instrucción a la política de permisos de la entidad de IAM en cuyo nombre AWS Cloud9 necesita crear el rol vinculado a un servicio.


{
  "Effect": "Allow",
  "Action": [
    "iam:CreateServiceLinkedRole"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

También puede agregar las políticas administradas por AWS AWSCloud9User o AWSCloud9Administrator a la entidad de IAM.

Para permitir que una entidad de IAM elimine el rol vinculado al servicio AWSServiceRoleForAWSCloud9, agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesita eliminar un rol vinculado a un servicio.


{
  "Effect": "Allow",
  "Action": [
    "iam:DeleteServiceLinkedRole",
    "iam:GetServiceLinkedRoleDeletionStatus"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Creación de un rol vinculado a un servicio de AWS Cloud9

No necesita crear un rol vinculado a un servicio. Al crear un entorno de desarrollo de AWS Cloud9, AWS Cloud9 crea el rol vinculado a un servicio por usted.

Modificación de un rol vinculado a servicios de AWS Cloud9

Puede editar el rol vinculado a un servicio AWSServiceRoleForAWSCloud9 en AWS Cloud9. Por ejemplo, después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM..

Eliminación de un rol vinculado a un servicio de AWS Cloud9

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa.

Eliminación de un rol vinculado a un servicio en IAM

Para poder utilizar IAM para eliminar un rol vinculado a un servicio, debe eliminar los recursos de AWS Cloud9 que utiliza el rol. Para eliminar recursos de AWS Cloud9, consulte la sección sobre eliminación de entornos.

Puede utilizar la consola de IAM para eliminar el rol vinculado a un servicio AWSServiceRoleForAWSCloud9. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de AWS Cloud9

AWS Cloud9 admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte AWS Cloud9 en la Referencia general de Amazon Web Services.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Contenido de AMI

Registro de llamadas a la API con CloudTrail