Autorisations des rôles liés à un service pour AWS Cloud9 Création d'un rôle lié à un service pour AWS Cloud9 Modification d'un rôle lié à un service pour AWS Cloud9 Suppression d'un rôle lié à un service pour AWS Cloud9 Régions prises en charge pour les rôles liés à un service AWS Cloud9

Utilisation des rôles liés aux services pour AWS Cloud9

AWS Cloud9 utilise des rôles AWS Identity and Access Management (IAM) liés à des services. Un rôle lié à un service est un type unique de rôle IAM lié directement à AWS Cloud9. Les rôles liés à un service sont prédéfinis par AWS Cloud9 et comprennent toutes les autorisations nécessaires au service pour appeler d'autres services AWS en votre nom.

Un rôle lié à un service permet d'utiliser AWS Cloud9 plus facilement, car vous n'avez pas besoin d'ajouter les autorisations requises. AWS Cloud9 définit les autorisations de ses rôles liés à un service et seul AWS Cloud9 peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Vos ressources AWS Cloud9 sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM et recherchez les services où Oui figure dans la colonne Rôle lié à un service. Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations de rôle lié à un service pourAWS Cloud9
Création d'un rôle lié à un service pourAWS Cloud9
Modification d'un rôle lié à un service pourAWS Cloud9
Suppression d'un rôle lié à un service pourAWS Cloud9
Régions prises en charge pour les rôles liés à un service AWS Cloud9

Autorisations des rôles liés à un service pour AWS Cloud9

AWS Cloud9utilise le rôle lié au service nomméAWSServiceRoleForAWSCloud 9. Ce rôle lié à un service approuve que le service cloud9.amazonaws.com endosse ce rôle.

La stratégie d'autorisations pour ce rôle lié à un service se nomme AWSCloud9ServiceRolePolicy, et elle autoriseAWS Cloud9 à effectuer les actions listées dans la politique sur les ressources spécifiées.

Important

Si vous utilisez License Manager et que vous recevez une erreur unable to access your environment, vous devez remplacer l'ancien rôle lié à un service par la version qui prend en charge License Manager. Vous pouvez remplacer l'ancien rôle simplement en le supprimant. Le rôle mis à jour est ensuite créé automatiquement.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateSecurityGroup",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceStatus",
				"cloudformation:CreateStack",
				"cloudformation:DescribeStacks",
				"cloudformation:DescribeStackEvents",
				"cloudformation:DescribeStackResources"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:TerminateInstances",
				"ec2:DeleteSecurityGroup",
				"ec2:AuthorizeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStack"
			],
			"Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringLike": {
					"aws:RequestTag/Name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": [
				"arn:aws:license-manager:*:*:license-configuration:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListInstanceProfiles",
				"iam:GetInstanceProfile"
			],
			"Resource": [
				"arn:aws:iam::*:instance-profile/cloud9/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"
			],
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com"
				}
			}
		}
	]
}

Vous devez configurer les autorisations de manière à autoriser AWS Cloud9 à créer un rôle lié à un service pour le compte d'une entité IAM (telle qu'un utilisateur, un groupe ou un rôle).

Pour autoriserAWS Cloud9 à créer le rôle lié à un serviceAWSServiceRoleForAWSCloud 9, ajoutez l'instruction suivante à la politique d'autorisations de l'entité IAM pour le compte de laquelleAWS Cloud9 doit créer le rôle lié à un service.


{
  "Effect": "Allow",
  "Action": [
    "iam:CreateServiceLinkedRole"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Sinon, vous pouvez ajouter les politiques gérées par AWS AWSCloud9User ou AWSCloud9Administrator à l'entité IAM.

Pour autoriser une entité IAM à supprimer lesAWSServiceRoleForAWSCloud 9 rôles liés à un service.


{
  "Effect": "Allow",
  "Action": [
    "iam:DeleteServiceLinkedRole",
    "iam:GetServiceLinkedRoleDeletionStatus"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Création d'un rôle lié à un service pour AWS Cloud9

Vous n'avez pas besoin de créer un rôle lié à un service. Lorsque vous créez un environnement de développement AWS Cloud9, AWS Cloud9 crée le rôle lié à un service.

Modification d'un rôle lié à un service pour AWS Cloud9

Vous ne pouvez pas modifier lesAWSServiceRoleForAWSCloud 9 rôles liés à un service dansAWS Cloud9. Par exemple, une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour plus d'informations, consultez Editing a Service-Linked Role (Modification d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.

Suppression d'un rôle lié à un service pour AWS Cloud9

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement.

Suppression d'un rôle lié à un service dans IAM

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources AWS Cloud9 utilisées par le rôle. Pour supprimer les ressources AWS Cloud9, consultez Suppression d'un environnement.

Vous pouvez utiliser la console IAM pour supprimer lesAWSServiceRoleForAWSCloud 9 rôles liés à un service. Pour plus d'informations, veuillez consulter Deleting a Service-Linked Role (Suppression d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles liés à un service AWS Cloud9

AWS Cloud9 prend en charge l'utilisation des rôles liés à un service dans toutes les Régions où le service est disponible. Pour de plus amples informations, veuillez consulter AWS Cloud9 dans le Référence générale d'Amazon Web Services.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contenu AMI

Journalisation des appels d'API avec CloudTrail