Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management per AWS Cloud9
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse. AWS Cloud9 IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
Argomenti
- Destinatari
- Autenticazione con identità
- Gestione dell'accesso con policy
- Come AWS Cloud9 funziona con IAM
- Esempi di policy basate su identità per AWS Cloud9
- Risoluzione dei problemi AWS Cloud9 di identità e accesso
- Come AWS Cloud9 funziona con le risorse e le operazioni IAM
- AWS politiche gestite per AWS Cloud9
- Creazione di politiche gestite dai clienti per AWS Cloud9
- AWS Cloud9 riferimento alle autorizzazioni
- AWS credenziali temporanee gestite
Destinatari
Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro che AWS Cloud9 svolgi.
Utente del servizio: se utilizzi il AWS Cloud9 servizio per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più AWS Cloud9 funzionalità per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell'accesso ti consente di richiedere le autorizzazioni corrette all'amministratore. Se non riesci ad accedere a una funzionalità di AWS Cloud9, consulta Risoluzione dei problemi AWS Cloud9 di identità e accesso.
Amministratore del servizio: se sei responsabile delle AWS Cloud9 risorse della tua azienda, probabilmente hai pieno accesso a AWS Cloud9. È tuo compito determinare a quali AWS Cloud9 funzionalità e risorse devono accedere gli utenti del servizio. Devi inviare le richieste all'amministratore IAM per cambiare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con AWS Cloud9, consultaCome AWS Cloud9 funziona con IAM.
Amministratore IAM: un amministratore IAM potrebbe essere interessato a ottenere dei dettagli su come scrivere policy per gestire l'accesso a AWS Cloud9. Per visualizzare esempi di policy AWS Cloud9 basate sull'identità che puoi utilizzare in IAM, consulta. Esempi di policy basate su identità per AWS Cloud9
Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi essere autenticato (aver effettuato l' Utente root dell'account AWS accesso AWS) come utente IAM o assumendo un ruolo IAM.
Puoi accedere AWS come identità federata utilizzando le credenziali fornite tramite una fonte di identità. AWS IAM Identity Center Gli utenti (IAM Identity Center), l'autenticazione Single Sign-On della tua azienda e le tue credenziali di Google o Facebook sono esempi di identità federate. Se accedi come identità federata, l'amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando accedi AWS utilizzando la federazione, assumi indirettamente un ruolo.
A seconda del tipo di utente, puoi accedere al AWS Management Console o al portale di AWS accesso. Per ulteriori informazioni sull'accesso a AWS, vedi Come accedere al tuo Account AWS nella Guida per l'Accedi ad AWS utente.
Se accedi a AWS livello di codice, AWS fornisce un kit di sviluppo software (SDK) e un'interfaccia a riga di comando (CLI) per firmare crittograficamente le tue richieste utilizzando le tue credenziali. Se non utilizzi AWS strumenti, devi firmare tu stesso le richieste. Per ulteriori informazioni sull'utilizzo del metodo consigliato per firmare autonomamente le richieste, consulta Signing AWS API request nella IAM User Guide.
A prescindere dal metodo di autenticazione utilizzato, potrebbe essere necessario specificare ulteriori informazioni sulla sicurezza. Ad esempio, ti AWS consiglia di utilizzare l'autenticazione a più fattori (MFA) per aumentare la sicurezza del tuo account. Per ulteriori informazioni, consulta Autenticazione a più fattori nella Guida per l'utente di AWS IAM Identity Center e Utilizzo dell'autenticazione a più fattori (MFA) in AWSnella Guida per l'utente IAM.
Account AWS utente root
Quando si crea un account Account AWS, si inizia con un'identità di accesso che ha accesso completo a tutte Servizi AWS le risorse dell'account. Questa identità è denominata utente Account AWS root ed è accessibile effettuando l'accesso con l'indirizzo e-mail e la password utilizzati per creare l'account. Si consiglia vivamente di non utilizzare l'utente root per le attività quotidiane. Conserva le credenziali dell'utente root e utilizzale per eseguire le operazioni che solo l'utente root può eseguire. Per un elenco completo delle attività che richiedono l'accesso come utente root, consulta la sezione Attività che richiedono le credenziali dell'utente root nella Guida per l'utente IAM.
Identità federata
Come procedura consigliata, richiedi agli utenti umani, compresi gli utenti che richiedono l'accesso come amministratore, di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'identità federata è un utente dell'elenco utenti aziendale, di un provider di identità Web AWS Directory Service, della directory Identity Center o di qualsiasi utente che accede utilizzando le Servizi AWS credenziali fornite tramite un'origine di identità. Quando le identità federate accedono Account AWS, assumono ruoli e i ruoli forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center. Puoi creare utenti e gruppi in IAM Identity Center oppure puoi connetterti e sincronizzarti con un set di utenti e gruppi nella tua fonte di identità per utilizzarli su tutte le tue applicazioni. Account AWS Per ulteriori informazioni su IAM Identity Center, consulta Cos'è IAM Identity Center? nella Guida per l'utente di AWS IAM Identity Center .
Utenti e gruppi IAM
Un utente IAM è un'identità interna Account AWS che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ove possibile, consigliamo di fare affidamento a credenziali temporanee invece di creare utenti IAM con credenziali a lungo termine come le password e le chiavi di accesso. Tuttavia, se si hanno casi d'uso specifici che richiedono credenziali a lungo termine con utenti IAM, si consiglia di ruotare le chiavi di accesso. Per ulteriori informazioni, consulta la pagina Rotazione periodica delle chiavi di accesso per casi d'uso che richiedono credenziali a lungo termine nella Guida per l'utente IAM.
Un gruppo IAM è un'identità che specifica un insieme di utenti IAM. Non è possibile eseguire l'accesso come gruppo. È possibile utilizzare gruppi per specificare le autorizzazioni per più utenti alla volta. I gruppi semplificano la gestione delle autorizzazioni per set di utenti di grandi dimensioni. Ad esempio, è possibile avere un gruppo denominato IAMAdmins e concedere a tale gruppo le autorizzazioni per amministrare le risorse IAM.
Gli utenti sono diversi dai ruoli. Un utente è associato in modo univoco a una persona o un'applicazione, mentre un ruolo è destinato a essere assunto da chiunque ne abbia bisogno. Gli utenti dispongono di credenziali a lungo termine permanenti, mentre i ruoli forniscono credenziali temporanee. Per ulteriori informazioni, consulta Quando creare un utente IAM (invece di un ruolo) nella Guida per l'utente IAM.
Ruoli IAM
Un ruolo IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche. È simile a un utente IAM, ma non è associato a una persona specifica. Puoi assumere temporaneamente un ruolo IAM in AWS Management Console cambiando ruolo. Puoi assumere un ruolo chiamando un'operazione AWS CLI o AWS API o utilizzando un URL personalizzato. Per ulteriori informazioni sui metodi per l'utilizzo dei ruoli, consulta Utilizzo di ruoli IAM nella Guida per l'utente IAM.
I ruoli IAM con credenziali temporanee sono utili nelle seguenti situazioni:
-
Accesso utente federato: per assegnare le autorizzazioni a una identità federata, è possibile creare un ruolo e definire le autorizzazioni per il ruolo. Quando un'identità federata viene autenticata, l'identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta Creazione di un ruolo per un provider di identità di terza parte nella Guida per l'utente IAM. Se utilizzi IAM Identity Center, configura un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l'autenticazione. Per informazioni sui set di autorizzazioni, consulta Set di autorizzazioni nella Guida per l'utente di AWS IAM Identity Center .
-
Autorizzazioni utente IAM temporanee: un utente IAM o un ruolo può assumere un ruolo IAM per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.
-
Accesso multi-account: è possibile utilizzare un ruolo IAM per permettere a un utente (un principale affidabile) con un account diverso di accedere alle risorse nell'account. I ruoli sono lo strumento principale per concedere l'accesso multi-account. Tuttavia, con alcuni Servizi AWS, è possibile allegare una policy direttamente a una risorsa (anziché utilizzare un ruolo come proxy). Per conoscere la differenza tra ruoli e politiche basate sulle risorse per l'accesso tra account diversi, consulta Cross Account Resource Access in IAM nella IAM User Guide.
-
Accesso tra servizi: alcuni Servizi AWS utilizzano funzionalità in altri. Servizi AWS Ad esempio, quando effettui una chiamata in un servizio, è comune che tale servizio esegua applicazioni in Amazon EC2 o archivi oggetti in Amazon S3. Un servizio può eseguire questa operazione utilizzando le autorizzazioni dell'entità chiamante, utilizzando un ruolo di servizio o utilizzando un ruolo collegato al servizio.
-
Sessioni di accesso diretto (FAS): quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina Forward access sessions.
-
Ruolo di servizio: un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire azioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWSnella Guida per l'utente IAM.
-
Ruolo collegato al servizio: un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.
-
-
Applicazioni in esecuzione su Amazon EC2: puoi utilizzare un ruolo IAM per gestire le credenziali temporanee per le applicazioni in esecuzione su un'istanza EC2 e che AWS CLI effettuano richieste API. AWS Ciò è preferibile all'archiviazione delle chiavi di accesso nell'istanza EC2. Per assegnare un AWS ruolo a un'istanza EC2 e renderlo disponibile per tutte le sue applicazioni, crei un profilo di istanza collegato all'istanza. Un profilo dell'istanza contiene il ruolo e consente ai programmi in esecuzione sull'istanza EC2 di ottenere le credenziali temporanee. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente IAM.
Per informazioni sull'utilizzo dei ruoli IAM, consulta Quando creare un ruolo IAM (invece di un utente) nella Guida per l'utente IAM.
Gestione dell'accesso con policy
Puoi controllare l'accesso AWS creando policy e collegandole a AWS identità o risorse. Una policy è un oggetto AWS che, se associato a un'identità o a una risorsa, ne definisce le autorizzazioni. AWS valuta queste politiche quando un principale (utente, utente root o sessione di ruolo) effettua una richiesta. Le autorizzazioni nelle policy determinano l'approvazione o il rifiuto della richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per ulteriori informazioni sulla struttura e sui contenuti dei documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l'utente IAM.
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale principale può eseguire azioni su quali risorse e in quali condizioni.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Le policy IAM definiscono le autorizzazioni relative a un'operazione, a prescindere dal metodo utilizzato per eseguirla. Ad esempio, supponiamo di disporre di una policy che consente l'operazione iam:GetRole. Un utente con tale policy può ottenere informazioni sul ruolo dall' AWS Management Console AWS CLI, dall'o dall' AWS
API.
Policy basate su identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Creazione di policy IAM nella Guida per l'utente IAM.
Le policy basate su identità possono essere ulteriormente classificate come policy inline o policy gestite. Le policy inline sono integrate direttamente in un singolo utente, gruppo o ruolo. Le politiche gestite sono politiche autonome che puoi allegare a più utenti, gruppi e ruoli nel tuo Account AWS. Le politiche gestite includono politiche AWS gestite e politiche gestite dai clienti. Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta Scelta fra policy gestite e policy inline nella Guida per l'utente IAM.
Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi più comuni di policy basate su risorse sono le policy di attendibilità dei ruoli IAM e le policy dei bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l'accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le azioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario specificare un principale in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non puoi utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
Liste di controllo degli accessi (ACL)
Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell'account) hanno le autorizzazioni per accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano gli ACL. AWS WAF Per maggiori informazioni sulle ACL, consulta Panoramica delle liste di controllo degli accessi (ACL) nella Guida per gli sviluppatori di Amazon Simple Storage Service.
Altri tipi di policy
AWS supporta tipi di policy aggiuntivi e meno comuni. Questi tipi di policy possono impostare il numero massimo di autorizzazioni concesse dai tipi di policy più comuni.
-
Limiti delle autorizzazioni: un limite delle autorizzazioni è una funzionalità avanzata nella quale si imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM (utente o ruolo IAM). È possibile impostare un limite delle autorizzazioni per un'entità. Le autorizzazioni risultanti sono l'intersezione delle policy basate su identità dell'entità e i relativi limiti delle autorizzazioni. Le policy basate su risorse che specificano l'utente o il ruolo nel campo
Principalsono condizionate dal limite delle autorizzazioni. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente IAM. -
Politiche di controllo dei servizi (SCP): le SCP sono politiche JSON che specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa (OU) in. AWS Organizations AWS Organizations è un servizio per il raggruppamento e la gestione centralizzata di più Account AWS di proprietà dell'azienda. Se abiliti tutte le funzionalità in un'organizzazione, puoi applicare le policy di controllo dei servizi (SCP) a uno o tutti i tuoi account. L'SCP limita le autorizzazioni per le entità negli account dei membri, inclusa ciascuna. Utente root dell'account AWS Per ulteriori informazioni su organizzazioni e policy SCP, consulta la pagina sulle Policy di controllo dei servizi nella Guida per l'utente di AWS Organizations .
-
Policy di sessione: le policy di sessione sono policy avanzate che vengono trasmesse come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Le autorizzazioni della sessione risultante sono l'intersezione delle policy basate su identità del ruolo o dell'utente e le policy di sessione. Le autorizzazioni possono anche provenire da una policy basata su risorse. Un rifiuto esplicito in una qualsiasi di queste policy sostituisce l'autorizzazione. Per ulteriori informazioni, consulta Policy di sessione nella Guida per l'utente IAM.
Più tipi di policy
Quando più tipi di policy si applicano a una richiesta, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire una richiesta quando sono coinvolti più tipi di policy, consulta Logica di valutazione delle policy nella IAM User Guide.
Come AWS Cloud9 funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Cloud9, scopri con quali funzionalità IAM è disponibile l'uso AWS Cloud9.
Funzionalità IAM che puoi utilizzare con AWS Cloud9 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Funzionalità IAM | AWS Cloud9 supporto | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
No |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
No |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sì |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Per avere una panoramica di alto livello su come AWS Cloud9 e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta AWS i servizi che funzionano con IAM nella IAM User Guide.
Politiche basate sull'identità per AWS Cloud9
|
Supporta le policy basate su identità |
Sì |
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Creazione di policy IAM nella Guida per l'utente IAM.
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l'utente di IAM.
Esempi di politiche basate sull'identità per AWS Cloud9
Per visualizzare esempi di politiche basate sull' AWS Cloud9 identità, vedere. Esempi di policy basate su identità per AWS Cloud9
Politiche basate sulle risorse all'interno AWS Cloud9
|
Supporta le policy basate su risorse |
No |
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi più comuni di policy basate su risorse sono le policy di attendibilità dei ruoli IAM e le policy dei bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l'accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le azioni che un principale può eseguire su tale risorsa e a quali condizioni. È necessario specificare un principale in una policy basata sulle risorse. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l'accesso multi-account, puoi specificare un intero account o entità IAM in un altro account come principale in una policy basata sulle risorse. L'aggiunta di un principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa sono diversi Account AWS, un amministratore IAM dell'account affidabile deve inoltre concedere all'entità principale (utente o ruolo) l'autorizzazione ad accedere alla risorsa. L'autorizzazione viene concessa collegando all'entità una policy basata sull'identità. Tuttavia, se una policy basata su risorse concede l'accesso a un principale nello stesso account, non sono richieste ulteriori policy basate su identità. Per ulteriori informazioni, consulta Cross Account Resource Access in IAM nella IAM User Guide.
AWS Cloud9 non supporta politiche basate sulle risorse, ma puoi comunque controllare le autorizzazioni relative alle risorse AWS Cloud9 ambientali per i membri AWS Cloud9 dell'ambiente tramite API e IDE. AWS Cloud9 AWS Cloud9
Azioni politiche per AWS Cloud9
|
Supporta le operazioni di policy |
Sì |
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Actiondi una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le azioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Per visualizzare un elenco di AWS Cloud9 azioni, vedere Azioni definite da AWS Cloud9 nel Service Authorization Reference.
Le azioni politiche in AWS Cloud9 uso utilizzano il seguente prefisso prima dell'azione:
account
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
"Action": [ "account:action1", "account:action2" ]
Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. Esempi di policy basate su identità per AWS Cloud9
Risorse politiche per AWS Cloud9
|
Supporta le risorse di policy |
Sì |
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento JSON Resourcedella policy specifica l'oggetto o gli oggetti ai quali si applica l'operazione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
Per visualizzare un elenco dei tipi di AWS Cloud9 risorse e dei relativi ARN, consulta Resources defined by AWS Cloud9 nel Service Authorization Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione Operazioni definite da AWS Cloud9.
Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. Esempi di policy basate su identità per AWS Cloud9
Chiavi relative alle condizioni delle politiche per AWS Cloud9
|
Supporta le chiavi di condizione delle policy specifiche del servizio |
Sì |
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Condition(o blocco Condition) consente di specificare le condizioni in cui un'istruzione è in vigore. L'elemento Conditionè facoltativo. Puoi compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta.
Se specifichi più elementi Conditionin un'istruzione o più chiavi in un singolo elemento Condition, questi vengono valutati da AWS utilizzando un'operazione ANDlogica. Se si specificano più valori per una singola chiave di condizione, AWS valuta la condizione utilizzando un'operazione logica. OR Tutte le condizioni devono essere soddisfatte prima che le autorizzazioni dell'istruzione vengano concesse.
Puoi anche utilizzare variabili segnaposto quando specifichi le condizioni. Ad esempio, puoi autorizzare un utente IAM ad accedere a una risorsa solo se è stata taggata con il relativo nome utente IAM. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag nella Guida per l'utente di IAM.
AWS supporta chiavi di condizione globali e chiavi di condizione specifiche del servizio. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Per visualizzare un elenco di chiavi di AWS Cloud9 condizione, consulta Condition keys for AWS Cloud9 nel Service Authorization Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi Azioni definite da AWS Cloud9.
Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. Esempi di policy basate su identità per AWS Cloud9
ACL in AWS Cloud9
|
Supporta le ACL |
No |
Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell'account) hanno le autorizzazioni per accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, sebbene non utilizzino il formato del documento di policy JSON.
ABAC con AWS Cloud9
|
Supporta ABAC (tag nelle policy) |
Sì |
Il controllo dell'accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. Puoi allegare tag a entità IAM (utenti o ruoli) e a molte AWS risorse. L'assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. In seguito, vengono progettate policy ABAC per consentire operazioni quando il tag dell'entità principale corrisponde al tag sulla risorsa a cui si sta provando ad accedere.
La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.
Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/o key-nameaws:TagKeys.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è Yes (Sì). Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà Parziale.
Per ulteriori informazioni su ABAC, consulta Che cos'è ABAC? nella Guida per l'utente IAM. Per visualizzare un tutorial con i passaggi per l'impostazione di ABAC, consulta Utilizzo del controllo degli accessi basato su attributi (ABAC) nella Guida per l'utente di IAM.
Utilizzo di credenziali temporanee con AWS Cloud9
|
Supporta le credenziali temporanee |
Sì |
Alcuni Servizi AWS non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, incluse quelle che Servizi AWS funzionano con credenziali temporanee, consulta la sezione relativa alla Servizi AWS compatibilità con IAM nella IAM User Guide.
Stai utilizzando credenziali temporanee se accedi AWS Management Console utilizzando qualsiasi metodo tranne nome utente e password. Ad esempio, quando accedi AWS utilizzando il link Single Sign-On (SSO) della tua azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta Cambio di un ruolo (console) nella Guida per l'utente IAM.
È possibile creare manualmente credenziali temporanee utilizzando l'API or. AWS CLI AWS È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta Credenziali di sicurezza provvisorie in IAM.
Sessioni di accesso diretto per AWS Cloud9
|
Supporta l'inoltro delle sessioni di accesso (FAS) |
Sì |
Quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un'operazione che attiva un'altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama an Servizio AWS, in combinazione con la richiesta Servizio AWS per effettuare richieste ai servizi downstream. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri Servizi AWS o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina Inoltro sessioni di accesso.
Ruoli di servizio per AWS Cloud9
|
Supporta i ruoli di servizio |
Sì |
Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall'interno di IAM. Per ulteriori informazioni, consulta la sezione Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWSnella Guida per l'utente IAM.
avvertimento
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere la funzionalità. AWS Cloud9 Modifica i ruoli di servizio solo quando viene AWS Cloud9 fornita una guida in tal senso.
Ruoli collegati ai servizi per AWS Cloud9
|
Supporta i ruoli collegati ai servizi |
Sì |
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta Servizi AWS supportati da IAM. Trova un servizio nella tabella che include un Yes nella colonna Service-linked role (Ruolo collegato ai servizi). Scegli il collegamento Sì per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Esempi di policy basate su identità per AWS Cloud9
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Cloud9 . Inoltre, non possono eseguire attività utilizzando AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS l'API. Per concedere agli utenti l'autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM. L'amministratore può quindi aggiungere le policy IAM ai ruoli e gli utenti possono assumere i ruoli.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy IAM nella Guida per l'utente di IAM.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Cloud9, incluso il formato degli ARN per ciascun tipo di risorsa, consulta Azioni, risorse e chiavi di condizione AWS Cloud9 nel Service Authorization Reference.
Argomenti
Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Cloud9 risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l' Account AWS. Quando crei o modifichi policy basate su identità, segui queste linee guida e raccomandazioni:
-
Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per ulteriori informazioni, consulta Policy gestite da AWSo Policy gestite da AWS per le funzioni dei processi nella Guida per l'utente IAM.
-
Applica le autorizzazioni con privilegio minimo: quando imposti le autorizzazioni con le policy IAM, concedi solo le autorizzazioni richieste per eseguire un'attività. Puoi farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Per ulteriori informazioni sull'utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l'utente IAM.
-
Condizioni d'uso nelle policy IAM per limitare ulteriormente l'accesso: per limitare l'accesso a operazioni e risorse puoi aggiungere una condizione alle tue policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio AWS CloudFormation. Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente IAM.
-
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali: IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per ulteriori informazioni, consulta Convalida delle policy per IAM Access Analyzer nella Guida per l'utente IAM.
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungi le condizioni MFA alle policy. Per ulteriori informazioni, consulta Configurazione dell'accesso alle API protetto con MFA nella Guida per l'utente IAM.
Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l'utente di IAM.
Utilizzo della console di AWS Cloud9
Per accedere alla AWS Cloud9 console, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Cloud9 risorse del tuo. Account AWS Se crei una policy basata sull'identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, concedi l'accesso solo alle operazioni che corrispondono all'operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Cloud9 console, allega anche la policy AWS Cloud9 ConsoleAccessReadOnly
Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Risoluzione dei problemi AWS Cloud9 di identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS Cloud9 IAM.
Argomenti
Non sono autorizzato a eseguire alcuna azione in AWS Cloud9
Se ricevi un errore che indica che non sei autorizzato a eseguire un'operazione, le tue policy devono essere aggiornate per poter eseguire l'operazione.
L'errore di esempio seguente si verifica quando l'utente IAM mateojackson prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa my-example-widgetawes: fittizie.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidgeton resource:my-example-widget
In questo caso, la policy per l'utente mateojackson deve essere aggiornata per consentire l'accesso alla risorsa my-example-widgetawes:.GetWidget
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è la persona che ti ha fornito le credenziali di accesso.
Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione iam:PassRole, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Cloud9.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato marymajor cerca di utilizzare la console per eseguire un'operazione in AWS Cloud9. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per passare il ruolo al servizio.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l'operazione iam:PassRole.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è la persona che ti ha fornito le credenziali di accesso.
Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Cloud9 risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all'organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per servizi che supportano policy basate su risorse o liste di controllo degli accessi (ACL), utilizza tali policy per concedere alle persone l’accesso alle tue risorse.
Per ulteriori informazioni, consulta gli argomenti seguenti:
-
Per sapere se AWS Cloud9 supporta queste funzionalità, consultaCome AWS Cloud9 funziona con IAM.
-
Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà nella IAM User Guide.
-
Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta Fornire l'accesso a soggetti Account AWS di proprietà di terze parti nella Guida per l'utente IAM.
-
Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità) nella Guida per l’utente IAM.
-
Per scoprire la differenza tra l'utilizzo di ruoli e politiche basate sulle risorse per l'accesso tra account diversi, consulta Cross Account Resource Access in IAM nella IAM User Guide.
Come AWS Cloud9 funziona con le risorse e le operazioni IAM
AWS Identity and Access Management viene utilizzato per gestire le autorizzazioni che consentono di lavorare sia con ambienti di AWS Cloud9 sviluppo che con altre Servizi AWS risorse.
AWS Cloud9 risorse e operazioni
Nel AWS Cloud9, la risorsa principale è un ambiente di AWS Cloud9 sviluppo. In una policy, devi utilizzare un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy stessa. Nella seguente tabella sono elencati gli ARN di ambiente. Per ulteriori dettagli, vedi la sezione Amazon Resource Name (ARN) e spazi dei nomi del servizio AWS in Riferimenti generali di Amazon Web Services.
| Tipo di risorsa | Formato ARN |
|---|---|
|
Ambiente |
|
|
Tutti gli ambienti di proprietà dell'account indicato nella Regione AWS specificata |
|
|
Tutti gli ambienti di proprietà dell'account indicato nella regione specificata |
|
|
Ogni AWS Cloud9 risorsa, indipendentemente dall'account e dalla regione |
|
Ad esempio, nell'istruzione puoi indicare un ambiente specifico utilizzando il relativo nome della risorsa Amazon (ARN) come segue:
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
Per specificare tutte le risorse, utilizza il carattere jolly (*) nell'elemento Resource.
"Resource": "*"
Per specificare più risorse in una singola istruzione, separa i relativi nomi della risorsa Amazon (ARN) con le virgole.
"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]
AWS Cloud9 fornisce una serie di operazioni per utilizzare le AWS Cloud9 risorse. Per un elenco, consulta AWS Cloud9 riferimento alle autorizzazioni.
Informazioni sulla proprietà delle risorse
L' Account AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse.
Considera i casi d'uso e gli scenari seguenti:
-
Supponiamo di utilizzare le credenziali dell'account root del proprio account Account AWS per creare un ambiente di AWS Cloud9 sviluppo. Sebbene possibile, questa operazione non è consigliata. In questo caso, il proprietario dell'ambiente Account AWS è tuo.
-
Supponiamo di creare un utente IAM nel tuo ambiente Account AWS e di concedere le autorizzazioni per creare un ambiente a quell'utente. Quindi, l'utente può creare un ambiente. Tuttavia, il tuo Account AWS, a cui appartiene l'utente, è ancora proprietario dell'ambiente.
-
Supponiamo che tu crei un ruolo IAM nel tuo ambiente Account AWS con le autorizzazioni necessarie per creare un ambiente. Quindi, chiunque possa assumere il ruolo può creare un ambiente. L' Account AWS a cui appartiene il ruolo è il proprietario dell'ambiente.
Nota
Se si elimina un account utente che è il proprietario ARN di uno o più AWS Cloud9 ambienti, questi ambienti non avranno alcun proprietario. Una soluzione alternativa per questo scenario consiste nell'utilizzare l' AWS Cloud9 SDK per aggiungere un altro utente IAM con privilegi di lettura e scrittura utilizzando l'CreateEnvironmentMembershipazione e il tipo di dati. EnvironmentMember Dopo aver aggiunto questo utente IAM, puoi copiare i file di ambiente in nuovi AWS Cloud9 ambienti e rendere questo proprietario il proprietario dell'ARN. Per ulteriori informazioni su questa azione CreateEnvironmentMembership, consulta e per ulteriori informazioni su questo tipo di dati, consulta EnvironmentMemberla Guida di riferimento dell'AWS Cloud9 API.
Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a quali risorse.
Nota
In questa sezione si esamina l'utilizzo di IAM in AWS Cloud9. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Riferimento alla policy JSON di IAM nella Guida per l'utente di IAM.
Le policy allegate a un'identità IAM; vengono definite policy basate su identità (o policy IAM). Le politiche allegate a una risorsa vengono chiamate politiche basate sulle risorse. AWS Cloud9 supporta politiche basate sull'identità e sulle risorse.
Ognuna delle seguenti operazioni API richiede solo una policy IAM da allegare all'identità IAM che desidera chiamare queste operazioni API:
-
CreateEnvironmentEC2 -
DescribeEnvironments
Le seguenti operazioni API richiedono una policy basata sulle risorse. Una policy IAM non è obbligatoria, ma AWS Cloud9 utilizza una policy IAM se è collegata all'identità IAM che desidera richiamare queste azioni API. La policy basata sulle risorse deve essere applicata alla risorsa desiderata: AWS Cloud9
-
CreateEnvironmentMembership -
DeleteEnvironment -
DeleteEnvironmentMembership -
DescribeEnvironmentMemberships -
DescribeEnvironmentStatus -
UpdateEnvironment -
UpdateEnvironmentMembership
Per ulteriori informazioni su ogni operazione API, consulta la Documentazione di riferimento delle API di AWS Cloud9 .
Non è possibile allegare una politica basata sulle risorse direttamente a una risorsa. AWS Cloud9 Al contrario, AWS Cloud9 associa alle risorse le politiche appropriate basate sulle risorse man mano che si aggiungono, modificano, aggiornano o eliminano i membri dell'ambiente. AWS Cloud9
Per concedere a un utente le autorizzazioni per eseguire azioni sulle AWS Cloud9 risorse, alleghi una policy di autorizzazione a un gruppo IAM a cui l'utente appartiene. Ti consigliamo di allegare una policy AWS gestita (predefinita) per AWS Cloud9 ogni volta che è possibile. AWS le politiche gestite contengono set predefiniti di autorizzazioni di accesso per scenari di utilizzo e tipi di utente comuni, ad esempio l'amministrazione completa di un ambiente, gli utenti dell'ambiente e gli utenti che hanno accesso solo in sola lettura a un ambiente. Per un elenco delle politiche AWS gestite per, vedere. AWS Cloud9AWS politiche gestite per AWS Cloud9
Per ulteriori scenari di utilizzo e tipi di utente unici, è possibile creare e allegare le policy gestite dal cliente. Consulta Opzioni di configurazione aggiuntive per AWS Cloud9 (team ed enterprise) e Creazione di politiche gestite dai clienti per AWS Cloud9.
Per allegare una policy IAM (AWS gestita o gestita dal cliente) a un'identità IAM, consulta Allegare le politiche IAM (console) nella IAM User Guide.
Autorizzazioni di sessione per operazioni API
Quando utilizzi l' AWS API AWS CLI or per creare a livello di codice una sessione temporanea per un ruolo o un utente federato, puoi passare le policy di sessione come parametro per estendere l'ambito della sessione di ruolo. Vale a dire, che le autorizzazioni della sessione effettive sono l'intersezione tra le policy basate sull'identità del ruolo e le policy di sessione.
Quando viene effettuata una richiesta di accesso a una risorsa durante una sessione, in mancanza di istruzione Deny e istruzione Allow applicabile nella policy di sessione, il risultato della valutazione della policy è un rifiuto implicito. (Per ulteriori informazioni, consulta Determinare se una richiesta è consentita o rifiutata in un account nella Guida per l'utente di IAM.)
Tuttavia, per le operazioni AWS Cloud9 API che richiedono una politica basata sulle risorse (vedi sopra), le autorizzazioni vengono concesse all'entità IAM che effettua la chiamata se è specificata come nella politica delle risorse. Principal Questa autorizzazione esplicita ha la precedenza sulla negazione implicita della politica di sessione, consentendo così alla sessione di chiamare correttamente l'operazione API. AWS Cloud9
AWS politiche gestite per AWS Cloud9
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.
AWS politica gestita: AWSCloud9Administrator
È possibile allegare la policy AWSCloud9Administratoralle identità IAM.
Questa politica concede autorizzazioni amministrative che forniscono l'accesso come amministratore a. AWS Cloud9
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
AWS Cloud9 — Tutte le AWS Cloud9 azioni incluse nel loro. Account AWS
-
Amazon EC2: ottieni informazioni su più risorse Amazon VPC e sottorete al loro interno. Account AWS
-
IAM: ottieni informazioni sugli utenti IAM e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze. Account AWS Account AWS
-
Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la rispettiva istanza EC2 tramite Systems Manager. Per ulteriori informazioni, consulta Accesso a istanze EC2 senza ingresso con AWS Systems Manager.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:*", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS politica gestita: AWSCloud9User
È possibile allegare la policy AWSCloud9Useralle identità IAM.
Questa policy concede le autorizzazioni utente per creare ambienti di sviluppo AWS Cloud9
e gestire ambienti di proprietà.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
AWS Cloud9 — Crea e ottieni informazioni sui loro ambienti e ottieni e modifica le impostazioni utente per i loro ambienti.
-
Amazon EC2: ottieni informazioni su più risorse Amazon VPC e sottorete al loro interno. Account AWS
-
IAM: ottieni informazioni sugli utenti IAM e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze. Account AWS Account AWS
-
Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la rispettiva istanza EC2 tramite Systems Manager. Per ulteriori informazioni, consulta Accesso a istanze EC2 senza ingresso con AWS Systems Manager.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS politica gestita: AWSCloud9EnvironmentMember
È possibile allegare la policy AWSCloud9EnvironmentMemberalle identità IAM.
Questa politica concede le autorizzazioni di iscrizione che forniscono la possibilità di entrare a far parte di un ambiente AWS Cloud9 condiviso.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
AWS Cloud9 — Ottieni informazioni sui loro ambienti e ottieni e modifica le impostazioni utente per i loro ambienti.
-
IAM: ottieni informazioni sugli utenti IAM nei loro Account AWS ambienti e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze Account AWS .
-
Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la rispettiva istanza EC2 tramite Systems Manager. Per ulteriori informazioni, consulta Accesso a istanze EC2 senza ingresso con AWS Systems Manager.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:GetUserSettings", "cloud9:UpdateUserSettings", "iam:GetUser", "iam:ListUsers" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS politica gestita: AWSCloud9ServiceRolePolicy
Il ruolo AWSServiceRoleForAWSCloud9 collegato al servizio utilizza questa policy per consentire all' AWS Cloud9 ambiente di interagire con Amazon AWS CloudFormation EC2 e le risorse.
Dettagli dell'autorizzazione
AWSCloud9ServiceRolePolicyConcede ai AWSServiceRoleForAWSCloud 9 le autorizzazioni necessarie AWS Cloud9 per consentire l'interazione con Servizi AWS (Amazon EC2 AWS CloudFormation e) necessarie per creare ed eseguire ambienti di sviluppo.
AWS Cloud9 definisce le autorizzazioni dei suoi ruoli collegati ai servizi e solo può assumerne i ruoli. AWS Cloud9 Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
Per ulteriori informazioni su come AWS Cloud9 utilizza i ruoli collegati ai servizi, vedere. Utilizzo di ruoli collegati ai servizi per AWS Cloud9
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringLike": { "aws:RequestTag/Name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:GetInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole" ], "Condition": { "StringLike": { "iam:PassedToService": "ec2.amazonaws.com" } } } ] }
AWS Cloud9 aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Cloud9 da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Cloud9 documenti.
| Modifica | Descrizione | Data |
|---|---|---|
|
È stata aggiunta una nuova azione AWSCloud9Administratore AWSCloud9UserAWSCloud9EnvironmentMemberpolitiche. |
L' |
12 ottobre 2023 |
|
API e politiche aggiunte. AWSCloud9UserAWSCloud9Administrator |
Due nuove API sono state aggiunte alle AWSCloud9Administratorpolitiche AWSCloud9Usere, queste API sono |
02 agosto 2023 |
|
Aggiornamento a AWSCloud9ServiceRolePolicy |
AWSCloud9ServiceRolePolicyè stato aggiornato AWS Cloud9 per consentire l'avvio e l'arresto delle istanze Amazon EC2 gestite dalle configurazioni di licenza di License Manager. |
12 gennaio 2022 |
|
AWS Cloud9 ha iniziato a tenere traccia delle modifiche |
AWS Cloud9 ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
15 marzo 2021 |
Creazione di politiche gestite dai clienti per AWS Cloud9
Se nessuna delle politiche AWS gestite soddisfa i requisiti di controllo degli accessi, puoi creare e allegare politiche gestite dai clienti personalizzate.
Per creare una policy gestita dal cliente, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM.
Argomenti
Specifica degli elementi della policy: effetti, principali, operazioni e risorse
Per ogni AWS Cloud9 risorsa, il servizio definisce una serie di operazioni API. Per concedere le autorizzazioni per queste operazioni API, AWS Cloud9 definisce una serie di azioni che è possibile specificare in una politica.
Di seguito sono elencati gli elementi di base di una policy:
-
Effect: specifica l'effetto, ovvero l'autorizzazione o il diniego, quando l'utente richiede l'operazione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non possa accedere alla risorsa, anche se l'accesso viene concesso da un'altra policy. -
Principal: nelle policy basate su identità (policy IAM), l'utente a cui la policy è allegata l'entità principale implicita. Per le policy basate sulle risorse, devi specificare utente, account, servizio o altre entità che desideri ricevano le autorizzazioni. -
Resource: utilizza un nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy. -
Action: utilizza parole chiave di operazione per identificare le operazioni sulla risorsa da consentire o rifiutare. Ad esempio, l'autorizzazionecloud9:CreateEnvironmentEC2fornisce all'utente le autorizzazioni per eseguire l'operazioneCreateEnvironmentEC2.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta Riferimento alle policy JSON IAM nella Guida per l'utente di IAM.
Per una tabella che mostra tutte le azioni AWS Cloud9 API e le risorse a cui si applicano, consulta laAWS Cloud9 riferimento alle autorizzazioni.
Esempi di policy gestite dal cliente
In questa sezione sono disponibili policy di esempio che concedono le autorizzazioni per le operazioni di AWS Cloud9 . È possibile adattare le seguenti policy IAM di esempio per permettere o rifiutare esplicitamente l'accesso di AWS Cloud9 alle identità IAM.
Per creare o allegare una policy gestita dal cliente a un'identità IAM, consulta la sezione Creazione di policy IAM (console) e Collegamento di policy IAM (console) nella Guida per l'utente di IAM.
Nota
I seguenti esempi utilizzano la regione degli Stati Uniti orientali (Ohio) (us-east-2), un Account AWS ID fittizio (123456789012) e un ambiente di AWS Cloud9 sviluppo fittizio ID (). 81e900317347585a0601e04c8d52eaEX
Argomenti
- Informazioni sugli ambienti
- Creazione di ambienti EC2
- Creazione di ambienti EC2 con tipi di istanze specifici di Amazon EC2
- Creazione di ambienti EC2 in sottoreti Amazon VPC specifiche
- Creazione di ambienti EC2 con nome ambiente specifico
- Creazione solo di ambienti SSH
- Aggiornamento di ambienti o prevenzione aggiornamento di un ambiente
- Elenchi di membri dell'ambiente
- Condivisione di ambienti solo con un utente specifico
- Prevenzione della condivisione degli ambienti
- Modifica o prevenzione della modifica delle impostazioni dei membri dell'ambiente
- Rimozione o prevenzione della rimozione dei membri dell'ambiente
- Eliminazione o prevenzione dell'eliminazione di un ambiente
- Policy IAM personalizzata per la creazione di ambienti SSM
Informazioni sugli ambienti
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di acquisire informazioni su qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironments", "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nelle politiche gestite e. AWS AWSCloud9Administrator AWSCloud9User
Creazione di ambienti EC2
Il seguente esempio di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 EC2 nel proprio account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
Nota
La precedente autorizzazione di accesso è già inclusa nelle politiche AWS AWSCloud9Administrator gestite e. AWSCloud9User
Creazione di ambienti EC2 con tipi di istanze specifici di Amazon EC2
Il seguente esempio di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 EC2 nel proprio account. Tuttavia, gli ambienti EC2 possono utilizzare solo la classe specificata dei tipi di istanza Amazon EC2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t3.*" } } } ] }
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tale policy AWS
gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Creazione di ambienti EC2 in sottoreti Amazon VPC specifiche
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 EC2 nel proprio account. Tuttavia gli ambienti EC2 possono utilizzare solo sottoreti Amazon VPC specifiche.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:SubnetId": [ "subnet-12345678", "subnet-23456789" ] } } } ] }
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tale policy AWS
gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Creazione di ambienti EC2 con nome ambiente specifico
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare un ambiente di sviluppo AWS Cloud9 EC2 nel proprio account. Tuttavia, l'ambiente EC2 può utilizzare solo il nome specificato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } } ] }
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tale policy AWS
gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Creazione solo di ambienti SSH
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 SSH nel proprio account. Tuttavia, l'entità non può creare ambienti di sviluppo AWS Cloud9 EC2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentSSH", "Resource": "*" }, { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
Aggiornamento di ambienti o prevenzione aggiornamento di un ambiente
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di modificare le informazioni su qualsiasi ambiente di AWS Cloud9 sviluppo del proprio account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironment", "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nella policy AWS AWSCloud9Administrator gestita.
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di modificare le informazioni sull'ambiente con il nome della risorsa Amazon (ARN) specificato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Elenchi di membri dell'ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di acquisire un elenco di membri per qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironmentMemberships", "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. AWSCloud9Administrator Inoltre, l'autorizzazione di accesso precedente è più permissiva dell'autorizzazione di accesso equivalente nella politica gestita. AWS AWSCloud9User
Condivisione di ambienti solo con un utente specifico
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di condividere qualsiasi ambiente nell'account solo con l'utente specificato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentMembership" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser" } } } ] }
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tali policy AWS
gestite hanno la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Prevenzione della condivisione degli ambienti
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di condividere qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentMembership", "cloud9:UpdateEnvironmentMembership" ], "Resource": "*" } ] }
Modifica o prevenzione della modifica delle impostazioni dei membri dell'ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di modificare le impostazioni dei membri in qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica gestita. AWS AWSCloud9Administrator
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di modificare le impostazioni dei membri nell'ambiente con il nome della risorsa Amazon (ARN) specificato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Rimozione o prevenzione della rimozione dei membri dell'ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di rimuovere qualunque membro da qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. AWSCloud9Administrator
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di rimuovere qualunque membro dall'ambiente con il nome della risorsa Amazon (ARN) specificato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Eliminazione o prevenzione dell'eliminazione di un ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di eliminare qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironment", "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. AWSCloud9Administrator
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di eliminare l'ambiente con il nome della risorsa Amazon (ARN) specificato.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Policy IAM personalizzata per la creazione di ambienti SSM
Attualmente esiste un problema di autorizzazioni che si verifica quando si crea un ambiente SSM con le politiche AWSCloud9Administrator o AWSCloud9User allegate. L'esempio seguente di dichiarazione di policy IAM, se collegata a un'entità IAM, consente agli utenti di allegare e utilizzare la policy AWS AWSCloud9Administrator gestita o. AWSCloud9User
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] }, { "Effect": "Allow", "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"] }, { "Effect": "Allow", "Action": ["iam:AttachRolePolicy"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"], "Condition": { "StringEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole", "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile" ] } ] }
AWS Cloud9 riferimento alle autorizzazioni
Puoi utilizzare chiavi AWS di condizione ampie nelle tue AWS Cloud9 politiche per esprimere le condizioni. Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Condition nella Guida per l'utente di IAM.
Puoi specificare le operazioni nel campo Action della policy. Per specificare un'operazione, utilizza il prefisso cloud9: seguito dal nome dell'operazione API (ad esempio, "Action": "cloud9:DescribeEnvironments"). Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola (ad esempio, "Action": [
"cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).
Utilizzo di caratteri jolly
Puoi specificare un ARN, con o senza un carattere jolly (*), come valore della risorsa nel campo Resource della policy. È possibile utilizzare un carattere jolly per specificare più operazioni o risorse. Ad esempio, cloud9:* specifica tutte le AWS Cloud9 azioni e cloud9:Describe* specifica tutte le AWS Cloud9 azioni che iniziano con. Describe
L'esempio seguente permette a un'entità IAM di ottenere informazioni sugli ambienti e sulle appartenenze all'ambiente per qualsiasi ambiente nell'account.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:Describe*" ], "Resource": "*" } ] }
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica gestita. AWS AWSCloud9Administrator Inoltre, l'autorizzazione di accesso precedente è più permissiva dell'autorizzazione di accesso equivalente nella politica gestita. AWS AWSCloud9User
AWS Cloud9 Operazioni API e autorizzazioni richieste per le azioni
Nota
Puoi utilizzare le seguenti tabelle come riferimento quando configuri il controllo dell'accesso e scrivi le policy di autorizzazione da allegare a un'identità IAM (policy basate su identità).
La tabella Public API operations elenca le operazioni API che i clienti possono chiamare utilizzando gli SDK e AWS Command Line Interface.
Permission-only API operations elenca le operazioni API che non sono direttamente richiamabili dal codice cliente o da AWS Command Line Interface. Tuttavia, gli utenti IAM richiedono autorizzazioni per tali operazioni che vengono chiamate quando le operazioni di AWS Cloud9 vengono eseguite dalla console.
Operazioni API pubbliche | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS Cloud9 operazione | Autorizzazioni richieste (operazione API) | Risorsa | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per creare un ambiente di sviluppo AWS Cloud9 EC2. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per aggiungere un membro a un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per eliminare un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per rimuovere un membro da un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per ottenere un elenco di membri in un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per ottenere informazioni su un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per ottenere informazioni sullo stato di un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per aggiornare le impostazioni di un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Necessario per aggiornare le impostazioni di un membro di un ambiente. |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Operazioni API di sola autorizzazione | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS Cloud9 operazione | Descrizione | Documentazione della console | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Avvia l'istanza Amazon EC2 a cui si connette il tuo AWS Cloud9 IDE. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Crea un ambiente di sviluppo AWS Cloud9 SSH. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Crea un token di autenticazione che permette una connessione tra l'IDE AWS Cloud9 e l'ambiente dell'utente. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene i dettagli sulla connessione all'ambiente di sviluppo EC2, inclusi host, utente e porta. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene i dettagli sulla connessione all'ambiente di sviluppo SSH, inclusi host, utente e porta. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene informazioni sulla configurazione utilizzata per inizializzare l'IDE AWS Cloud9 . |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene le impostazioni AWS Cloud9 IDE per un ambiente di sviluppo specificato. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene le impostazioni AWS Cloud9 IDE per un membro dell'ambiente specificato. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene la chiave SSH pubblica dell'utente, utilizzata da per connettersi AWS Cloud9 agli ambienti di sviluppo SSH. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Ottiene le impostazioni AWS Cloud9 IDE per un utente specificato. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Imposta credenziali temporanee AWS gestite sull'istanza Amazon EC2 utilizzata AWS Cloud9 dall'ambiente di sviluppo integrato (IDE). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Aggiorna le impostazioni AWS Cloud9 IDE per un ambiente di sviluppo specificato. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Aggiorna le impostazioni AWS Cloud9 IDE per un membro dell'ambiente specificato. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Aggiorna i dettagli sulla connessione all'ambiente di sviluppo SSH, inclusi host, utente e porta. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Aggiorna le impostazioni AWS Cloud9 IDE per un utente specificato. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Concede l'autorizzazione a un AWS Cloud9 utente per ottenere l'esperienza di migrazione da AWS Cloud9 a CodeCatalyst. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWS credenziali temporanee gestite
|
Se stai solo cercando l'elenco delle azioni supportate dalla AWS gestione delle credenziali temporanee, vai avanti a. Azioni supportate da credenziali temporanee AWS gestite |
Per un ambiente di sviluppo AWS Cloud9 EC2, AWS Cloud9 rende disponibili le credenziali di AWS accesso temporanee nell'ambiente. Tali credenziali sono definite credenziali temporanee gestite da AWS . Ciò fornisce i seguenti vantaggi:
-
Non è necessario archiviare le credenziali di AWS accesso permanenti di un' AWS entità (ad esempio, un utente IAM) in qualsiasi parte dell'ambiente. In questo modo si impedisce ai membri dell'ambiente di accedere alle credenziali senza consenso e approvazione.
-
Non è necessario impostare manualmente, gestire o allegare un profilo dell'istanza all'istanza Amazon EC2 che si connette all'ambiente. Un profilo di istanza è un altro approccio per la gestione delle credenziali di AWS accesso temporanee.
-
AWS Cloud9 rinnova continuamente le proprie credenziali temporanee, quindi un singolo set di credenziali può essere utilizzato solo per un periodo di tempo limitato. Si tratta di una procedura consigliata in materia di sicurezza. AWS Per ulteriori informazioni, consulta Creazione e aggiornamento di credenziali temporanee AWS gestite.
-
AWS Cloud9 impone ulteriori restrizioni sul modo in cui le sue credenziali temporanee possono essere utilizzate per accedere ad AWS azioni e risorse dall'ambiente. Si tratta anche di una best practice in AWS materia di sicurezza.
Importante
Attualmente, se l'istanza EC2 dell'ambiente viene lanciata in una sottorete privata, non è possibile utilizzare credenziali temporanee AWS gestite per consentire all'ambiente EC2 di accedere a un AWS servizio per conto di un' AWS entità (ad esempio, un utente IAM).
Per ulteriori informazioni su quando è possibile avviare un'istanza EC2 in una sottorete privata, consulta Crea una sottorete per AWS Cloud9.
Nota
Prendi in considerazione l'utilizzo di una policy AWS gestita anziché una policy in linea quando utilizzi credenziali temporanee gestite. AWS
Ecco come funzionano le credenziali temporanee AWS gestite ogni volta che un ambiente EC2 tenta di accedere a un file per Servizio AWS conto di un' AWS entità (ad esempio, un utente IAM):
-
AWS Cloud9 verifica se l' AWS entità chiamante (ad esempio, l'utente IAM) dispone delle autorizzazioni per eseguire l'azione richiesta per la risorsa richiesta in. AWS Se l'autorizzazione non esiste o è negata esplicitamente, la richiesta ha esito negativo.
-
AWS Cloud9 controlla le credenziali temporanee AWS gestite per vedere se le relative autorizzazioni consentono l'azione richiesta per la risorsa richiesta in. AWS Se l'autorizzazione non esiste o è negata esplicitamente, la richiesta ha esito negativo. Per un elenco delle autorizzazioni supportate dalla AWS gestione delle credenziali temporanee, vedere. Azioni supportate da credenziali temporanee AWS gestite
-
Se sia l' AWS entità che le credenziali temporanee AWS gestite consentono l'azione richiesta per la risorsa richiesta, la richiesta ha esito positivo.
-
Se l' AWS entità o le credenziali temporanee AWS gestite negano o non consentono esplicitamente l'azione richiesta per la risorsa richiesta, la richiesta ha esito negativo. Ciò significa che, anche se l' AWS entità chiamante dispone delle autorizzazioni corrette, la richiesta avrà esito negativo se AWS Cloud9 non la consente anche in modo esplicito. Allo stesso modo, se AWS Cloud9 consente di eseguire un'azione specifica per una risorsa specifica, la richiesta ha esito negativo se l' AWS entità non la consente anche esplicitamente.
Il proprietario di un ambiente EC2 può attivare o disattivare le credenziali temporanee AWS gestite per quell'ambiente in qualsiasi momento, come segue:
-
Con l'ambiente aperto, nell' AWS Cloud9 IDE, nella barra dei menu scegli Preferenze AWS Cloud9.
-
Nella scheda Preferences (Preferenze) nel riquadro di navigazione, selezionare AWS Settings, Credentials (Impostazioni AWS , credenziali).
-
Utilizza AWS managed temporary credentials (Credenziali temporanee gestite da AWS ) per attivare o disattivare le credenziali temporanee gestite da AWS .
Nota
È inoltre possibile attivare o disattivare le credenziali temporanee AWS gestite richiamando l'operazione AWS Cloud9 API UpdateEnvironmente assegnando un valore al managedCredentialsAction parametro. Puoi richiedere questa operazione API utilizzando AWS strumenti standard come AWS SDK e. AWS CLI
Se disattivi le credenziali temporanee AWS gestite, l'ambiente non può accedervi a nessuna Servizi AWS, indipendentemente dall' AWS entità che effettua la richiesta. Supponiamo tuttavia che tu non possa o non voglia attivare le credenziali temporanee AWS gestite per un ambiente e che tu abbia comunque bisogno dell'ambiente per accedere. Servizi AWS In questo caso, considera le seguenti alternative:
-
Allega un profilo dell'istanza all'istanza Amazon EC2 che si connette all'ambiente. Per istruzioni, consulta la sezione relativa alla creazione e utilizzo di un profilo dell'istanza per gestire credenziali temporanee.
-
Archivia le tue credenziali di AWS accesso permanenti nell'ambiente, ad esempio impostando variabili di ambiente speciali o eseguendo il comando.
aws configurePer istruzioni, consulta Creazione e archiviazione di credenziali di accesso permanenti in un ambiente.
Le precedenti alternative sostituiscono tutte le autorizzazioni permesse (o negate) dalle credenziali temporanee gestite da AWS in un ambiente EC2.
Azioni supportate da credenziali temporanee AWS gestite
In un ambiente di sviluppo AWS Cloud9 EC2, le credenziali temporanee AWS gestite consentono tutte AWS le azioni per tutte le AWS risorse del chiamante Account AWS, con le seguenti restrizioni:
-
Infatti AWS Cloud9, sono consentite solo le seguenti azioni:
-
cloud9:CreateEnvironmentEC2 -
cloud9:CreateEnvironmentSSH -
cloud9:DescribeEnvironmentMemberships -
cloud9:DescribeEnvironments -
cloud9:DescribeEnvironmentStatus -
cloud9:UpdateEnvironment
-
-
Per IAM, sono consentite solo le seguenti operazioni:
-
iam:AttachRolePolicy -
iam:ChangePassword -
iam:CreatePolicy -
iam:CreatePolicyVersion -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeletePolicyVersion -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:DeleteSSHPublicKey -
iam:DetachRolePolicy -
iam:GetInstanceProfile -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRole -
iam:GetRolePolicy -
iam:GetSSHPublicKey -
iam:GetUser -
iam:List* -
iam:PassRole -
iam:PutRolePolicy -
iam:SetDefaultPolicyVersion -
iam:UpdateAssumeRolePolicy -
iam:UpdateRoleDescription -
iam:UpdateSSHPublicKey -
iam:UploadSSHPublicKey
-
-
Tutte le operazioni &IAM; che interagiscono con i ruoli sono consentite solo per i nomi dei ruoli che iniziano con
Cloud9-. Tuttavia,iam:PassRolefunziona con tutti i nomi di ruolo. -
Per AWS Security Token Service (AWS STS), sono consentite solo le seguenti azioni:
-
sts:GetCallerIdentity -
sts:DecodeAuthorizationMessage
-
-
Tutte le AWS azioni supportate sono limitate all'indirizzo IP dell'ambiente. Si tratta di una procedura consigliata in materia di AWS sicurezza.
Se AWS Cloud9 non supporta un'azione o una risorsa a cui è necessario accedere in un ambiente EC2, o se le credenziali temporanee AWS gestite sono disattivate per un ambiente EC2 e non puoi riattivarle, considera le seguenti alternative:
-
Allega un profilo dell'istanza all'istanza Amazon EC2 che si connette all'ambiente EC2. Per istruzioni, consulta Creazione e utilizzo di un profilo dell'istanza per gestire le credenziali temporanee.
-
Archivia le tue credenziali di AWS accesso permanenti nell'ambiente EC2, ad esempio impostando variabili di ambiente speciali o eseguendo il comando.
aws configurePer istruzioni, consulta Creazione e archiviazione di credenziali di accesso permanenti in un ambiente.
Le precedenti alternative sostituiscono tutte le autorizzazioni permesse (o negate) dalle credenziali temporanee gestite da AWS in un ambiente EC2.
Creazione e aggiornamento di credenziali temporanee AWS gestite
Per un ambiente di sviluppo AWS Cloud9 EC2, le credenziali temporanee AWS gestite vengono create la prima volta che si apre l'ambiente.
AWS le credenziali temporanee gestite vengono aggiornate in una delle seguenti condizioni:
-
Dopo un determinato periodo di tempo. Attualmente, questo periodo è ogni cinque minuti.
-
Quando si ricarica la scheda del browser Web che visualizza l'IDE per l'ambiente.
-
Quando viene raggiunto il timestamp elencato nel file
~/.aws/credentialsper l'ambiente. -
Ogni volta che si riattiva l'impostazione AWS managed temporary credentials (Credenziali temporanee gestite da AWS ) se è disattivata (per visualizzare o modificare questa impostazione, scegli AWS Cloud9, Preferences (AWS Cloud9, Preferenze) nella barra dei menu dell'IDE. Nella scheda Preferences (Preferenze), nel pannello di navigazione, scegli AWS Settings, Credentials (Impostazioni AWS , Credenziali)).
-
Per motivi di sicurezza, le credenziali temporanee AWS gestite scadono automaticamente dopo 15 minuti. Per aggiornare le credenziali, il proprietario dell'ambiente deve essere connesso all'ambiente AWS Cloud9 tramite l'IDE. Per ulteriori informazioni sul ruolo del proprietario dell'ambiente, consulta Controllo dell'accesso alle credenziali temporanee gestite da AWS.
Controllo dell'accesso alle credenziali temporanee gestite da AWS
Un collaboratore con credenziali temporanee AWS gestite può utilizzarle AWS Cloud9 per interagire con altri. Servizi AWS Per garantire che vengano fornite solo a collaboratori di fiducia, le credenziali temporanee gestite da AWS vengono disabilitate se un nuovo membro viene aggiunto da un utente diverso dal proprietario dell'ambiente Le credenziali vengono disabilitate mediante l'eliminazione del file ~/.aws/credentials.
Importante
AWS Le credenziali temporanee gestite inoltre scadono automaticamente ogni 15 minuti. Affinché le credenziali vengano aggiornate in modo che i collaboratori possano continuare a utilizzarle, il proprietario dell'ambiente deve essere connesso all' AWS Cloud9 ambiente tramite l'IDE.
Solo il proprietario dell'ambiente può riattivare le credenziali temporanee AWS gestite in modo che possano essere condivise con altri membri. Quando il proprietario dell'ambiente apre l'IDE, una finestra di dialogo conferma che le credenziali temporanee AWS gestite sono disabilitate. Il proprietario dell'ambiente può abilitare di nuovo le credenziali o tenerle disabilitate per tutti i membri.
avvertimento
Per rispettare le best practice di sicurezza, tieni disabilitate le credenziali temporanee gestite se non sei certo dell'identità dell'ultimo utente aggiunto all'ambiente. Puoi controllare l'elenco dei membri con autorizzazioni di lettura/scrittura nella finestra Collaborate (Collabora).
