翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の追加設定オプションAWS Cloud9(チームおよび企業)
このトピックでは、チームセットアップまたはエンタープライズセットアップのセットアップステップを完了していることを前提としています。
チームセットアップまたはエンタープライズセットアップでは、グループを作成し、これらのグループに AWS Cloud9 へのアクセス許可を直接追加して、これらのグループのユーザーが AWS Cloud9 にアクセスできるようにしました。このトピックでは、さらにアクセス権限を追加して、それらのグループのユーザーが作成できる環境の種類を制限します。これにより、関連のコストを管理できます。AWS Cloud9がAWSアカウントと組織。
これらのアクセス権限を追加するには、独自の一連のポリシーを作成し、AWS権限を付与します。(私たちは、これらのそれぞれをカスタマー管理ポリシー。) 次に、これらのカスタマー管理ポリシーを、ユーザーが含まれるグループにアタッチします。(シナリオによっては、既存のAWS管理ポリシーはこれらのグループにアタッチ済みです。) これを設定するには、このトピックの手順に従います。
次の手順では、AWS Cloud9 ユーザーについてのみポリシーのアタッチおよびデタッチの手順を説明しています。以下の手順では、既存の AWS Cloud9 ユーザーグループと AWS Cloud9 管理者グループが別個にあり、AWS Cloud9 管理者グループのユーザー数は限定されているものとします。このAWSセキュリティのベストプラクティスによって、問題の管理、追跡、およびトラブルシューティングがやりやすくなります。AWSリソースアクセス。
ステップ 1: カスタマー管理ポリシーを作成する
カスタマー管理ポリシーはで作成できます。AWS Management ConsoleまたはAWSコマンドラインインターフェイス (AWS CLI)。
このステップでは、IAM グループのみのカスタマー管理ポリシーを作成する手順を説明します。のグループのカスタムアクセス権セットを作成するにはAWSSingle Sign-On (SSO) (シングルサインオン (SSO) (この手順をスキップして、アクセス権限セットを作成する()AWSシングルサインオンのユーザーガイド代わりに、次のようになります このトピックでは、カスタムアクセス許可セットを作成する手順に従います。関連するカスタムアクセス許可ポリシーについては、「」を参照してください。を使用してチームのカスタマー管理ポリシーの例AWS Cloud9このトピックの「」を参照してください。
コンソールを使用してカスタマー管理ポリシーを作成する
-
にサインインします。AWS Management Console(まだサインインしていない場合は、サインインします。
IAM 管理者ユーザーの認証情報を使用して、AWSアカウント. これを実行できない場合は、AWS アカウントの管理者に確認してください。
-
IAM コンソールを開きます。これを行うには、コンソールのナビゲーションバーで、[サービス] を選択します。次に、[IAM] を選択します。
-
サービスのナビゲーションペインで、[ポリシー] を選択します。
-
[ポリシーの作成] を選択します。
-
左JSONタブに、提案されたいずれかを貼り付けます。お客様が管理するポリシーの例。
注記 独自のカスタマー管理ポリシーを作成することもできます。詳細については、「」を参照してください。IAM JSON ポリシーリファレンス()IAM ユーザーガイドとAWSサービス'ドキュメント
。 -
[ポリシーの確認] を選択します。
-
[ポリシーの確認] ページで、ポリシーの [名前] と [説明] (省略可能) を入力して、[ポリシーの作成] を選択します。
このステップを追加のカスタマー管理ポリシーを作成するたびに繰り返し、コンソールを使用してカスタマー管理ポリシーをグループに追加する。
を使用してカスタマー管理ポリシーを作成します。AWS CLI
-
AWS CLI を実行するコンピュータで、ポリシーを記述するファイル (例:
policy.json) を作成します。別のファイル名を使用してファイルを作成する場合は、この手順全体でそれを置き換えてください。
-
私たちの提案の1つを貼り付けるお客様が管理するポリシーの例に
policy.jsonファイルを開きます。注記 独自のカスタマー管理ポリシーを作成することもできます。詳細については、「」を参照してください。IAM JSON ポリシーリファレンス()IAM ユーザーガイドとAWSサービス'ドキュメント
。 -
ターミナルまたはコマンドプロンプトから、
policy.jsonファイルが格納されているディレクトリに移動します。 -
ポリシーの名前および
create-policyファイルを指定して、IAMpolicy.jsonコマンドを実行します。aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy前述のコマンドでは、
MyPolicyをポリシーの名前に置き換えます。
に進んでください。を使用してカスタマー管理ポリシーをグループに追加するAWS CLI。
ステップ 2: 顧客管理ポリシーをグループに追加する
カスタマー管理ポリシーをグループに追加するには、AWS Management ConsoleまたはAWSコマンドラインインターフェイス (AWS CLI)。
このステップでは、IAM グループのみにカスタマー管理ポリシーを追加する手順を説明します。のグループにカスタム権限セットを追加するにはAWSSingle Sign-On (SSO) (シングルサインオン (SSO) (この手順をスキップして、ユーザーアクセスを割り当てる()AWSシングルサインオンのユーザーガイド代わりに、次のようになります
コンソールを使用してカスタマー管理ポリシーをグループに追加する
-
前の手順で開いた IAM コンソールで、サービスのナビゲーションペインで、Groups。
-
グループの名前を選択します。
-
[アクセス許可] タブの [管理ポリシー] で [ポリシーのアタッチ] を選択します。
-
ポリシー名のリストで、グループにアタッチする各カスタマー管理ポリシーの横にあるボックスを選択します。(特定のポリシー名がリストに表示されない場合は、[フィルタ] ボックスにポリシー名を入力して表示させます。)
-
[Attach Policy] を選択します。
カスタマー管理ポリシーをグループに追加するには、AWS CLI
使用している OSSAWS管理一時的な認証情報で端末セッションを使用することはできません。AWS Cloud9IDE を使用して、このセクションのコマンドの一部またはすべてを実行します。アドレスへのコピーAWSセキュリティのベストプラクティスAWS管理の一時認証情報は、いくつかのコマンドを実行することができません。代わりに、AWS Command Line Interface (AWS CLI) の別のインストールからこれらのコマンドを実行できます。
ポリシーのグループの名前と Amazon リソースネーム (ARN) を指定して、IAM attach-group-policy コマンドを実行します。
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
前述のコマンドでは、MyGroup をグループの名前に置き換えます。置換123456789012とAWSアカウント ID、およびMyPolicyカスタマー管理ポリシーの名前に置き換えます。
を使用してチームのカスタマー管理ポリシーの例AWS Cloud9
以下に、グループのユーザーがを作成できる環境の種類を制限するために使用できるポリシーの例をいくつか示します。AWSアカウント.
グループ内のユーザーが環境を作成できないようにする
次のカスタマー管理ポリシーは、AWS Cloud9ユーザーグループでは、これらのユーザーが環境をAWSアカウント. これは、IAM 管理者ユーザーをAWSアカウントを使用して、ユーザーではなく環境の作成を管理できます。AWS Cloud9Users Group。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
前述のカスタマー管理ポリシーは、明示的に"Effect":
"Allow"for"Action": "cloud9:CreateEnvironmentEC2"および"cloud9:CreateEnvironmentSSH"での"Resource": "*"()AWSCloud9User管理ポリシーにアタッチ済みです。AWS Cloud9Users Group。
グループ内のユーザーが EC2 環境を作成できないようにする
次のカスタマー管理ポリシーは、AWS Cloud9ユーザーグループでは、これらのユーザーがAWSアカウント. これは、IAM 管理者ユーザーをAWSアカウントを使用して、ユーザーではなく EC2 環境の作成を管理できます。AWS Cloud9Users Group。これは、そのグループのユーザーが SSH 環境を作成できないようにするポリシーがすでにアタッチされていないことを前提としています。アタッチされていると、それらのユーザーは環境をまったく作成できなくなります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
前述のカスタマー管理ポリシーは、明示的に"Effect":
"Allow"for"Action": "cloud9:CreateEnvironmentEC2"での"Resource": "*"()AWSCloud9User管理ポリシーにアタッチ済みです。AWS Cloud9Users Group。
グループ内のユーザーが、特定の Amazon EC2 インスタンスタイプでのみEC2環境を作成することを許可する
次のカスタマー管理ポリシーは、AWS Cloud9ユーザーグループの場合は、それらのユーザーは、で始まるインスタンスタイプのみを使用する EC2 環境を作成できます。t2でAWSアカウント. このポリシーは、そのグループのユーザーが EC2 環境を作成できないようにするポリシーがすでにアタッチされていないことを前提としています。アタッチされていると、それらのユーザーは
EC2 環境をまったく作成できなくなります。
次のポリシーの "t2.*" を別のインスタンスクラス (例: "m4.*") に置き換えることができます。または、複数のインスタンスクラスまたはインスタンスタイプに制限できます (例: [ "t2.*", "m4.*" ]、[
"t2.micro", "m4.large" ] など)。
以下のためにAWS Cloud9ユーザーグループで、AWSCloud9User管理ポリシーをグループから、次のカスタマー管理ポリシーをその場所に追加します。(あなたがデタッチしない場合AWSCloud9User管理ポリシーの場合、次のカスタマー管理ポリシーは効果がありません。)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
前述のカスタマー管理ポリシーによって、そのユーザーの SSH 環境の作成も許可されることに注意してください。これらのユーザーが SSH 環境を作成できないようにするには、"cloud9:CreateEnvironmentSSH",前のカスタマー管理ポリシーから
グループ内のユーザーが 1 つの EC2 環境のみを作成することを許可するAWSリージョン
次のカスタマー管理ポリシーは、AWS Cloud9ユーザーグループの場合は、それらのユーザーそれぞれが、それぞれ 1 つの EC2 環境を作成できます。AWSそのリージョンAWS
Cloud9がリージョンで利用可能です。これを行うには、環境の名前をその AWS リージョン内で 1 つの特定の名前に制限します (この例ではmy-demo-environment).
AWS Cloud9は、環境の作成を特定のAWSリージョン。また、作成できる環境の全体数を制限することもできません (公開されているサービスの制限).
以下のためにAWS Cloud9ユーザーグループで、AWSCloud9User管理ポリシーをグループから、次のカスタマー管理ポリシーをその場所に追加します。(あなたがデタッチしない場合AWSCloud9User管理ポリシーの場合、次のカスタマー管理ポリシーは効果がありません。)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
前述のカスタマー管理ポリシーによって、そのユーザーの SSH 環境の作成が許可されることに注意してください。これらのユーザーが SSH 環境を作成できないようにするには、"cloud9:CreateEnvironmentSSH",前のカスタマー管理ポリシーから
その他の例については、「お客様が管理するポリシーの例」を参照してください。
次のステップ
| タスク | 次のトピックを参照 |
|---|---|
|
を作成するAWS Cloud9開発環境を作成し、AWS Cloud9IDE を使用して、新しい環境でコードを操作します。 |
|
|
を使用する方法について説明します。AWS Cloud9IDE。 |
|
|
リアルタイムで次のチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境を使用します。 |
