Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pilihan persediaan tambahan untuk (tim dan perusahaan)AWS Cloud9
Topik ini mengasumsikan Anda telah menyelesaikan langkah-langkah penyiapan dalam Penyiapan Tim atau Penyiapan Korporasi.
Di Pengaturan Tim atau Pengaturan Perusahaan, Anda membuat grup dan menambahkan izinAWS Cloud9 akses langsung ke grup tersebut. Hal ini untuk memastikan bahwa pengguna dalam kelompok tersebut dapat mengaksesAWS Cloud9. Dalam topik ini, Anda menambahkan lebih banyak izin akses untuk membatasi jenis lingkungan yang dapat dibuat oleh pengguna dalam grup tersebut. Hal ini dapat membantu mengontrol biaya yang terkait dengan AWS Cloud9 dalam AWS akun dan organisasi.
Untuk menambahkan izin akses ini, Anda membuat serangkaian kebijakan Anda sendiri yang menentukan AWS izin akses yang ingin diterapkan. Kami menyebut masing-masing kebijakan terkelola pelanggan. Kemudian, Anda melampirkan kebijakan terkelola pelanggan tersebut ke grup yang dimiliki oleh pengguna. Dalam beberapa skenario, Anda juga harus melepaskan kebijakanAWS terkelola yang ada dan sudah terlampir pada grup tersebut. Untuk mengatur hal ini, ikuti prosedur dalam topik ini.
catatan
Prosedur berikut hanya mencakup melampirkan dan melepaskan kebijakan untuk pengguna AWS Cloud9 saja. Prosedur ini menganggap Anda sudah memiliki grupAWS Cloud9 pengguna dan grupAWS Cloud9 administrator terpisah. Mereka juga mengasumsikan bahwa Anda hanya memiliki pengguna dalam grupAWS Cloud9 administrator. Praktik terbaik keamanan ini AWS dapat membantu Anda lebih baik dalam mengontrol, melacak, dan memecahkan masalah dengan akses sumber daya AWS.
Langkah 1: Buat kebijakan terkelola pelanggan
Anda dapat membuat kebijakan terkelola pelanggan menggunakan AWS Management Console atau AWS Antarmuka Baris Perintah (AWS CLI).
catatan
Langkah ini mencakup pembuatan kebijakan terkelola pelanggan untuk grup IAM saja. Agar dapat membuat kumpulan izin khusus untuk grupAWS IAM Identity Center, lewati langkah ini dan ikuti petunjuk di Buat Kumpulan Izin pada PanduanAWS IAM Identity Center Pengguna. Dalam topik ini, ikuti petunjuk untuk membuat kumpulan izin khusus. Untuk kebijakan izin kustom terkait, lihat Contoh kebijakan terkelola pelanggan untuk tim yang menggunakan AWS Cloud9 pada bagian selanjutnya dalam topik ini.
Buat kebijakan terkelola pelanggan menggunakan konsol
-
Masuk keAWS Management Console, jika Anda belum masuk.
Anda sebaiknya masuk menggunakan kredensi untuk pengguna administrator diAkun AWS. Jika Anda tidak dapat melakukannya, hubungiAkun AWS administrator Anda.
-
Buka konsol IAM. Untuk melakukannya, di bilah navigasi konsol tersebut, pilih Layanan. Lalu pilih IAM.
-
Di panel navigasi layanan, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Di tab JSON, tempel salah satu contoh kebijakan terkelola pelanggan yang kami sarankan.
catatan
Anda juga dapat membuat kebijakan terkelola pelanggan. Untuk informasi selengkapnya, lihat Referensi Kebijakan IAM JSON di Panduan Pengguna IAM dan dokumentasi
.Layanan AWS -
Pilih Tinjau kebijakan.
-
Pada halaman Tinjau kebijakan, ketik Nama dan Deskripsi opsional untuk kebijakan, lalu pilih Buat kebijakan.
Ulangi langkah ini untuk setiap kebijakan terkelola pelanggan tambahan yang ingin Anda buat. Kemudian, lewati ke Menambahkan kebijakan terkelola pelanggan ke grup menggunakan konsol.
Buat kebijakan terkelola pelanggan menggunakan AWS CLI
-
Di komputer tempat Anda menjalankan AWS CLI, buat file untuk menjelaskan kebijakan (misalnya,
policy.json).Jika Anda membuat file dengan nama file yang berbeda, lakukan penggantian di seluruh prosedur ini.
-
Tempelkan salah satu contoh kebijakan terkelola pelanggan yang kami sarankan ke dalam file
policy.json.catatan
Anda juga dapat membuat kebijakan terkelola pelanggan. Untuk informasi selengkapnya, lihat Referensi Kebijakan JSON IAM di Panduan Pengguna IAM dan AWS dokumentasi
layanan. -
Dari terminal atau command prompt, beralihlah ke direktori yang berisi file
policy.json. -
Jalankan perintah IAM
create-policy, tentukan nama untuk kebijakan dan filepolicy.json.aws iam create-policy --policy-document file://policy.json --policy-name MyPolicyPada perintah sebelumnya, ganti
MyPolicydengan nama kebijakan.
Lewati ke Tambahkan Kebijakan yang dikelola pelanggan ke Grup Menggunakan AWS CLI.
Langkah 2: Menambahkan kebijakan terkelola pelanggan ke grup
Anda dapat menambahkan kebijakan terkelola pelanggan ke grup dengan menggunakan AWS Management Consoleatau Antarmuka BarisAWS Perintah (AWS CLI).
catatan
Langkah ini mencakup penambahan kebijakan terkelola pelanggan ke grup IAM saja. Agar dapat menambahkan kumpulan izin khusus ke grupAWS IAM Identity Center, lewati langkah ini dan ikuti petunjuk di Tetapkan Akses Pengguna di Panduan Pengguna di PanduanAWS IAM Identity Center Pengguna di Panduan Pengguna.
Tambahkan kebijakan yang dikelola pelanggan ke grup menggunakan konsol
-
Dengan konsol IAM terbuka dari prosedur sebelumnya, di panel navigasi pada layanan, pilih Grup.
-
Pilih nama grup.
-
Pada tab Izin, untuk Kebijakan Terkelola, pilih Lampirkan Kebijakan.
-
Dalam daftar nama kebijakan, pilih kotak di samping setiap kebijakan terkelola pelanggan yang ingin Anda lampirkan ke grup. Jika Anda tidak melihat nama kebijakan tertentu dalam daftar, masukkan nama kebijakan di kotak Filter untuk menampilkannya.
-
Pilih Lampirkan Kebijakan.
Tambahkan kebijakan yang dikelola pelanggan ke grup menggunakan AWS CLI
catatan
Jika Anda menggunakan AWS kredensial sementara terkelola, Anda tidak dapat menggunakan sesi terminal di IDE AWS Cloud9 untuk menjalankan beberapa atau semua perintah di bagian ini. Untuk mengatasi AWS praktik terbaik keamanan AWS, kredensial sementara yang dikelola tidak mengizinkan beberapa perintah untuk dijalankan. Sebagai gantinya, Anda dapat menjalankan perintah tersebut dari instalasi terpisah dari AWS Command Line Interface (AWS CLI).
Jalankan perintah IAM attach-group-policy, tentukan nama grup dan Amazon Resource Name (ARN) kebijakan.
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
Dengan perintah sebelumnya, ganti MyGroup dengan nama grup. Ganti123456789012 dengan IDAWS akun. Dan gantiMyPolicy dengan nama kebijakan terkelola pelanggan.
Contoh kebijakan terkelola pelanggan untuk tim, menggunakan AWS Cloud9
Berikut adalah beberapa contoh kebijakan yang dapat Anda gunakan untuk membatasi lingkungan yang dapat dibuat oleh pengguna dalam grup diAkun AWS.
Mencegah pengguna dalam grup agar tidak membuat lingkungan
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grup pengguna, mencegah pengguna tersebut membuat lingkungan di grupAWS Cloud9 pengguna, mencegah pengguna tersebut membuat lingkungan di grup pengguna, mencegah pengguna tersebut membuat lingkungan diAkun AWS. Ini berguna jika Anda ingin pengguna administrator diAkun AWS mengelola lingkungan pembuatan. Jika tidak, pengguna dalam grupAWS Cloud9 pengguna melakukan ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
Kebijakan yang dikelola pelanggan sebelumnya secara eksplisit menimpa"Effect":
"Allow""Action": "cloud9:CreateEnvironmentEC2" dan"cloud9:CreateEnvironmentSSH" terus"Resource": "*" dalam kebijakanAWSCloud9User terkelola yang sudah dilampirkan ke grupAWS Cloud9 pengguna.
Mencegah pengguna dalam grup agar tidak membuat lingkungan EC2
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grupAWS Cloud9 pengguna, mencegah pengguna tersebut membuat lingkungan EC2 di GrupAkun AWS. Ini berguna jika Anda ingin pengguna administrator diAkun AWS mengelola lingkungan EC2 pembuatan. Jika tidak, pengguna dalam grupAWS Cloud9 pengguna melakukan ini. Ini mengasumsikan Anda juga tidak melampirkan kebijakan yang mencegah pengguna dalam grup tersebut membuat lingkungan SSH. Jika tidak, pengguna tersebut tidak dapat membuat lingkungan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
Kebijakan terkelola pelanggan sebelumnya secara eksplisit mengesampingkan"Action": "cloud9:CreateEnvironmentEC2""Resource": "*" pada"Effect":
"Allow" kebijakanAWSCloud9User terkelola yang sudah dilampirkan ke grupAWS Cloud9 pengguna.
Izinkan pengguna dalam grup untuk membuat lingkungan EC2 hanya dengan jenis Instans Amazon EC2 tertentu
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grupAWS Cloud9 pengguna, memungkinkan pengguna dalam grup pengguna membuat lingkungan EC2 yang hanya menggunakan jenis instans yang dimulai dengant2Akun AWS. Kebijakan ini mengasumsikan Anda juga tidak melampirkan kebijakan yang mencegah pengguna dalam grup tersebut membuat lingkungan EC2. Jika tidak, pengguna tersebut tidak dapat membuat lingkungan EC2.
Anda dapat mengganti "t2.*" dalam kebijakan berikut dengan kelas instans yang berbeda (misalnya, "m4.*"). Atau, Anda dapat membatasi untuk beberapa kelas instance atau jenis instance (misalnya,[ "t2.*", "m4.*" ] atau[
"t2.micro", "m4.large" ]).
Untuk grupAWS Cloud9 pengguna, lepaskan kebijakanAWSCloud9User terkelola dari grup. Kemudian, tambahkan kebijakan terkelola pelanggan berikut di tempatnya. Jika Anda tidak melepaskan kebijakanAWSCloud9User terkelola, kebijakan terkelola pelanggan berikut tidak akan berpengaruh.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
Kebijakan terkelola pelanggan sebelumnya juga memungkinkan pengguna tersebut membuat lingkungan SSH. Untuk mencegah pengguna tersebut agar tidak membuat lingkungan SSH sama sekali, hapus "cloud9:CreateEnvironmentSSH", dari kebijakan yang dikelola pelanggan sebelumnya.
Memungkinkan pengguna dalam grup untuk membuat hanya lingkungan EC2 tunggal di setiapWilayah AWS
Kebijakan terkelola pelanggan berikut ini, saat dilampirkan ke grup pengguna, memungkinkan setiapAWS Cloud9 pengguna tersebut membuat maksimum satu lingkungan EC2 di setiap grup pengguna, memungkinkan setiap pengguna tersebut membuat maksimum satu lingkungan EC2 di setiap grup pengguna, memungkinkan setiap pengguna tersebut membuat maksimum satu lingkungan EC2 di setiap grupWilayah AWS yangAWS Cloud9 memuat. Ini dilakukan dengan membatasi nama lingkungan ke satu nama tertentu di dalamnyaWilayah AWS. Dalam contoh ini, lingkungan dibatasimy-demo-environment.
catatan
AWS Cloud9tidak memungkinkan membatasi lingkungan tertentuWilayah AWS agar tidak dibuat. AWS Cloud9juga tidak memungkinkan pembatasan jumlah keseluruhan lingkungan yang dapat dibuat. Satu-satunya pengecualian adalah batas layanan yang diterbitkan.
Untuk AWS Cloud9 grup pengguna, lepaskan kebijakan terkelola AWSCloud9User dari grup, kemudian tambahkan kebijakan terkelola pelanggan berikut di tempatnya. Jika Anda tidak melepaskan kebijakanAWSCloud9User terkelola, kebijakan terkelola pelanggan berikut tidak berpengaruh.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
Kebijakan terkelola pelanggan sebelumnya memungkinkan pengguna tersebut membuat lingkungan SSH. Untuk mencegah pengguna tersebut agar tidak membuat lingkungan SSH sama sekali, hapus "cloud9:CreateEnvironmentSSH", dari kebijakan yang dikelola pelanggan sebelumnya.
Untuk contoh lainnya, lihat Contoh kebijakan yang dikelola pelanggan.
Langkah selanjutnya
| Tugas | Lihat topik ini |
|---|---|
|
Buat AWS Cloud9lingkungan pengembangan, lalu gunakan AWS Cloud9 IDE untuk bekerja dengan kode di lingkungan baru Anda. |
|
|
Pelajari cara menggunakan IDE AWS Cloud9. |
|
|
Undang orang lain untuk menggunakan lingkungan baru bersama Anda secara langsung dan dengan support obrolan teks. |
