Identity and Access Management para AWS Cloud9

AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. IAMos administradores controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) a usar AWS Cloud9 os recursos. IAMé um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

Público

A forma como você usa AWS Identity and Access Management (IAM) difere, dependendo do trabalho que você faz AWS Cloud9.

Usuário do serviço — Se você usar o AWS Cloud9 serviço para fazer seu trabalho, seu administrador fornecerá as credenciais e as permissões de que você precisa. À medida que você usa mais AWS Cloud9 recursos para fazer seu trabalho, talvez precise de permissões adicionais. Entender como o acesso é gerenciado pode ajudá-lo a solicitar as permissões corretas ao seu administrador. Se não for possível acessar um atributo no AWS Cloud9, consulte Solução de problemas AWS Cloud9 de identidade e acesso.

Administrador de serviços — Se você é responsável pelos AWS Cloud9 recursos da sua empresa, provavelmente tem acesso total AWS Cloud9 a. É seu trabalho determinar quais AWS Cloud9 recursos e recursos seus usuários do serviço devem acessar. Em seguida, você deve enviar solicitações ao IAM administrador para alterar as permissões dos usuários do serviço. Revise as informações nesta página para entender os conceitos básicos doIAM. Para saber mais sobre como sua empresa pode usar IAM com AWS Cloud9, consulteComo AWS Cloud9 funciona com IAM.

IAMadministrador — Se você for IAM administrador, talvez queira saber detalhes sobre como criar políticas para gerenciar o acesso AWS Cloud9. Para ver exemplos de políticas AWS Cloud9 baseadas em identidade que você pode usar emIAM, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9

Autenticando com identidades

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado (conectado AWS) como IAM usuário ou assumindo uma IAM função. Usuário raiz da conta da AWS

Você pode entrar AWS como uma identidade federada usando credenciais fornecidas por meio de uma fonte de identidade. AWS IAM Identity Center Os usuários (do IAM Identity Center), a autenticação de login único da sua empresa e suas credenciais do Google ou do Facebook são exemplos de identidades federadas. Quando você entra como uma identidade federada, seu administrador configurou previamente a federação de identidades usando IAM funções. Ao acessar AWS usando a federação, você está assumindo indiretamente uma função.

Dependendo do tipo de usuário que você é, você pode entrar no AWS Management Console ou no portal de AWS acesso. Para obter mais informações sobre como fazer login em AWS, consulte Como fazer login Conta da AWS no Guia do Início de Sessão da AWS usuário.

Se você acessar AWS programaticamente, AWS fornece um kit de desenvolvimento de software (SDK) e uma interface de linha de comando (CLI) para assinar criptograficamente suas solicitações usando suas credenciais. Se você não usa AWS ferramentas, você mesmo deve assinar as solicitações. Para obter mais informações sobre como usar o método recomendado para você mesmo assinar solicitações, consulte Assinar AWS API solicitações no Guia IAM do usuário.

Independente do método de autenticação usado, também pode ser exigido que você forneça informações adicionais de segurança. Por exemplo, AWS recomenda que você use a autenticação multifator (MFA) para aumentar a segurança da sua conta. Para saber mais, consulte Autenticação multifator no Guia AWS IAM Identity Center do usuário e Uso da autenticação multifator (MFA) AWS no Guia do IAMusuário.

Conta da AWS usuário root

Ao criar uma Conta da AWS, você começa com uma identidade de login que tem acesso completo a todos Serviços da AWS os recursos da conta. Essa identidade é chamada de usuário Conta da AWS raiz e é acessada fazendo login com o endereço de e-mail e a senha que você usou para criar a conta. É altamente recomendável não usar o usuário raiz para tarefas diárias. Proteja as credenciais do usuário raiz e use-as para executar as tarefas que somente ele puder executar. Para ver a lista completa de tarefas que exigem que você faça login como usuário raiz, consulte Tarefas que exigem credenciais de usuário raiz no Guia do IAM usuário.

Identidade federada

Como prática recomendada, exija que usuários humanos, incluindo usuários que precisam de acesso de administrador, usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.

Uma identidade federada é um usuário do seu diretório de usuários corporativo, de um provedor de identidade da web AWS Directory Service, do diretório do Identity Center ou de qualquer usuário que acesse usando credenciais fornecidas Serviços da AWS por meio de uma fonte de identidade. Quando as identidades federadas são acessadas Contas da AWS, elas assumem funções, e as funções fornecem credenciais temporárias.

Para o gerenciamento de acesso centralizado, recomendamos usar o AWS IAM Identity Center. Você pode criar usuários e grupos no IAM Identity Center ou pode se conectar e sincronizar com um conjunto de usuários e grupos em sua própria fonte de identidade para uso em todos os seus Contas da AWS aplicativos. Para obter informações sobre o IAM Identity Center, consulte O que é o IAM Identity Center? no Guia do AWS IAM Identity Center usuário.

Grupos e usuários do IAM

Um IAMusuário é uma identidade dentro da sua Conta da AWS que tem permissões específicas para uma única pessoa ou aplicativo. Sempre que possível, recomendamos confiar em credenciais temporárias em vez de criar IAM usuários que tenham credenciais de longo prazo, como senhas e chaves de acesso. No entanto, se você tiver casos de uso específicos que exijam credenciais de longo prazo com IAM os usuários, recomendamos que você alterne as chaves de acesso. Para obter mais informações, consulte Alterne as chaves de acesso regularmente para casos de uso que exigem credenciais de longo prazo no Guia do IAMusuário.

Um IAMgrupo é uma identidade que especifica uma coleção de IAM usuários. Não é possível fazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários de uma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Por exemplo, você pode ter um grupo chamado IAMAdminse conceder a esse grupo permissões para administrar IAM recursos.

Usuários são diferentes de perfis. Um usuário é exclusivamente associado a uma pessoa ou a uma aplicação, mas um perfil pode ser assumido por qualquer pessoa que precisar dele. Os usuários têm credenciais permanentes de longo prazo, mas os perfis fornecem credenciais temporárias. Para saber mais, consulte Quando criar um IAM usuário (em vez de uma função) no Guia do IAM usuário.

IAMfunções

Uma IAMfunção é uma identidade dentro da sua Conta da AWS que tem permissões específicas. É semelhante a um IAM usuário, mas não está associado a uma pessoa específica. Você pode assumir temporariamente uma IAM função no AWS Management Console trocando de funções. Você pode assumir uma função chamando uma AWS API operação AWS CLI or ou usando uma personalizadaURL. Para obter mais informações sobre métodos de uso de funções, consulte Usando IAM funções no Guia IAM do usuário.

IAMfunções com credenciais temporárias são úteis nas seguintes situações:

• Acesso de usuário federado: para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para ele. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas pelo mesmo. Para obter informações sobre funções para federação, consulte Criação de uma função para um provedor de identidade terceirizado no Guia IAM do usuário. Se você usa o IAM Identity Center, configura um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o IAM Identity Center correlaciona o conjunto de permissões a uma função em. IAM Para obter informações sobre conjuntos de permissões, consulte Conjuntos de Permissões no Manual do Usuário do AWS IAM Identity Center .

• Permissões temporárias IAM de IAM usuário — Um usuário ou função pode assumir uma IAM função para assumir temporariamente permissões diferentes para uma tarefa específica.

• Acesso entre contas — Você pode usar uma IAM função para permitir que alguém (um diretor confiável) em uma conta diferente acesse recursos em sua conta. Os perfis são a principal forma de conceder acesso entre contas. No entanto, com alguns Serviços da AWS, você pode anexar uma política diretamente a um recurso (em vez de usar uma função como proxy). Para saber a diferença entre funções e políticas baseadas em recursos para acesso entre contas, consulte Acesso a recursos entre contas IAM no Guia do IAM usuário.

• Acesso entre serviços — Alguns Serviços da AWS usam recursos em outros Serviços da AWS. Por exemplo, quando você faz uma chamada em um serviço, é comum que esse serviço execute aplicativos na Amazon EC2 ou armazene objetos no Amazon S3. Um serviço pode fazer isso usando as permissões do principal de chamada, usando um perfil de serviço ou um perfil vinculado a serviço.

  • Sessões de acesso direto (FAS) — Quando você usa um IAM usuário ou uma função para realizar ações em AWS, você é considerado principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. FASusa as permissões do diretor chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) para fazer solicitações aos serviços posteriores. FASas solicitações são feitas somente quando um serviço recebe uma solicitação que requer interações com outros Serviços da AWS ou com recursos para ser concluída. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer FAS solicitações, consulte Encaminhar sessões de acesso.

  • Função de serviço — Uma função de serviço é uma IAMfunção que um serviço assume para realizar ações em seu nome. Um IAM administrador pode criar, modificar e excluir uma função de serviço internamenteIAM. Para obter mais informações, consulte Criação de uma função para delegar permissões a uma AWS service (Serviço da AWS) no Guia do IAM usuário.

  • Função vinculada ao serviço — Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir a função de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um IAM administrador pode visualizar, mas não editar, as permissões das funções vinculadas ao serviço.

• Aplicativos em execução na Amazon EC2 — Você pode usar uma IAM função para gerenciar credenciais temporárias para aplicativos que estão sendo executados em uma EC2 instância e fazendo AWS CLI AWS API solicitações. Isso é preferível a armazenar chaves de acesso na EC2 instância. Para atribuir uma AWS função a uma EC2 instância e disponibilizá-la para todos os aplicativos, você cria um perfil de instância anexado à instância. Um perfil de instância contém a função e permite que os programas em execução na EC2 instância recebam credenciais temporárias. Para obter mais informações, consulte Como usar uma IAM função para conceder permissões a aplicativos executados em EC2 instâncias da Amazon no Guia IAM do usuário.

Para saber se usar IAM funções ou IAM usuários, consulte Quando criar uma IAM função (em vez de um usuário) no Guia do IAM usuário.

Gerenciando acesso usando políticas

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política é um objeto AWS que, quando associada a uma identidade ou recurso, define suas permissões. AWS avalia essas políticas quando um principal (usuário, usuário raiz ou sessão de função) faz uma solicitação. As permissões nas políticas determinam se a solicitação será permitida ou negada. A maioria das políticas é armazenada AWS como JSON documentos. Para obter mais informações sobre a estrutura e o conteúdo dos documentos de JSON política, consulte Visão geral das JSON políticas no Guia IAM do usuário.

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.

Por padrão, usuários e funções não têm permissões. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

IAMas políticas definem permissões para uma ação, independentemente do método usado para realizar a operação. Por exemplo, suponha que você tenha uma política que permite a ação iam:GetRole. Um usuário com essa política pode obter informações de função do AWS Management Console AWS CLI, do ou do AWS API.

Políticas baseadas em identidade

Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Criação de IAM políticas no Guia do IAMusuário.

As políticas baseadas em identidade podem ser categorizadas ainda adicionalmente como políticas em linha ou políticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo ou perfil. As políticas gerenciadas são políticas autônomas que você pode associar a vários usuários, grupos e funções em seu Conta da AWS. As políticas AWS gerenciadas incluem políticas gerenciadas e políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolha entre políticas gerenciadas e políticas em linha no Guia do IAMusuário.

Políticas baseadas no recurso

Políticas baseadas em recursos são documentos JSON de política que você anexa a um recurso. Exemplos de políticas baseadas em recursos são políticas de confiança de IAM funções e políticas de bucket do Amazon S3. Em serviços que suportem políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o recurso ao qual a política está anexada, a política define quais ações um principal especificado pode executar nesse recurso e em que condições. Você deve especificar uma entidade principal em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas de uma política baseada IAM em recursos.

Listas de controle de acesso (ACLs)

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLssão semelhantes às políticas baseadas em recursos, embora não usem o formato de documento JSON de política.

Amazon S3, AWS WAF, e Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber maisACLs, consulte a visão geral da lista de controle de acesso (ACL) no Guia do desenvolvedor do Amazon Simple Storage Service.

Outros tipos de política

AWS oferece suporte a tipos de políticas adicionais menos comuns. Esses tipos de política podem definir o máximo de permissões concedidas a você pelos tipos de política mais comuns.

• Limites de permissões — Um limite de permissões é um recurso avançado no qual você define as permissões máximas que uma política baseada em identidade pode conceder a uma IAM entidade (IAMusuário ou função). É possível definir um limite de permissões para uma entidade. As permissões resultantes são a interseção das políticas baseadas em identidade de uma entidade com seus limites de permissões. As políticas baseadas em recurso que especificam o usuário ou o perfil no campo Principal não são limitadas pelo limite de permissões. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações sobre limites de permissões, consulte Limites de permissões para IAM entidades no Guia IAM do usuário.

• Políticas de controle de serviço (SCPs) — SCPs são JSON políticas que especificam as permissões máximas para uma organização ou unidade organizacional (OU) em AWS Organizations. AWS Organizations é um serviço para agrupar e gerenciar centralmente vários Contas da AWS que sua empresa possui. Se você habilitar todos os recursos em uma organização, poderá aplicar políticas de controle de serviço (SCPs) a qualquer uma ou a todas as suas contas. Os SCP limites de permissões para entidades nas contas dos membros, incluindo cada uma Usuário raiz da conta da AWS. Para obter mais informações sobre Organizations eSCPs, consulte Políticas de controle de serviços no Guia AWS Organizations do Usuário.

• Políticas de sessão: são políticas avançadas que você transmite como um parâmetro quando cria de forma programática uma sessão temporária para um perfil ou um usuário federado. As permissões da sessão resultante são a interseção das políticas baseadas em identidade do usuário ou do perfil e das políticas de sessão. As permissões também podem ser provenientes de uma política baseada em atributo. Uma negação explícita em qualquer uma dessas políticas substitui a permissão. Para obter mais informações, consulte Políticas de sessão no Guia IAM do usuário.

Vários tipos de política

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de política estão envolvidos, consulte Lógica de avaliação de políticas no Guia IAM do usuário.

Como AWS Cloud9 funciona com IAM

Antes de usar IAM para gerenciar o acesso ao AWS Cloud9, saiba quais IAM recursos estão disponíveis para uso AWS Cloud9.

IAMrecursos que você pode usar com AWS Cloud9
IAMrecurso	AWS Cloud9 apoio
Políticas baseadas em identidade	Sim
Políticas baseadas em recursos	Não
Ações das políticas	Sim
Atributos de políticas	Sim
Chaves de condição de política (específicas do serviço)	Sim
ACLs	Não
ABAC(tags nas políticas)	Sim
Credenciais temporárias	Sim
Sessões de acesso direto (FAS)	Sim
Perfis de serviço	Sim
Funções vinculadas a serviço	Sim

Para obter uma visão geral de como AWS Cloud9 e outros AWS serviços funcionam com a maioria dos IAM recursos, consulte AWS os serviços que funcionam com IAM no Guia do IAM usuário.

Políticas baseadas em identidade para AWS Cloud9

Compatível com políticas baseadas em identidade: Sim

Políticas baseadas em identidade são documentos de políticas de JSON permissões que você pode anexar a uma identidade, como um IAM usuário, grupo de usuários ou função. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Criação de IAM políticas no Guia do IAMusuário.

Com políticas IAM baseadas em identidade, você pode especificar ações e recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. Você não pode especificar a entidade principal em uma política baseada em identidade porque ela se aplica ao usuário ou perfil ao qual ela está anexada. Para saber mais sobre todos os elementos que você pode usar em uma JSON política, consulte a referência IAM JSON de elementos de política no Guia IAM do usuário.

Exemplos de políticas baseadas em identidade para AWS Cloud9

Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9

Políticas baseadas em recursos dentro AWS Cloud9

Suporte a políticas baseadas em recursos: não

Políticas baseadas em recursos são documentos JSON de política que você anexa a um recurso. Exemplos de políticas baseadas em recursos são políticas de confiança de IAM funções e políticas de bucket do Amazon S3. Em serviços que suportem políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o recurso ao qual a política está anexada, a política define quais ações um principal especificado pode executar nesse recurso e em que condições. Você deve especificar uma entidade principal em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Para habilitar o acesso entre contas, você pode especificar uma conta ou IAM entidades inteiras em outra conta como principal em uma política baseada em recursos. Adicionar uma entidade principal entre contas à política baseada em recurso é apenas metade da tarefa de estabelecimento da relação de confiança. Quando o principal e o recurso são diferentes Contas da AWS, um IAM administrador na conta confiável também deve conceder permissão à entidade principal (usuário ou função) para acessar o recurso. Eles concedem permissão ao anexar uma política baseada em identidade para a entidade. No entanto, se uma política baseada em recurso conceder acesso a uma entidade principal na mesma conta, nenhuma política baseada em identidade adicional será necessária. Para obter mais informações, consulte Acesso a recursos entre contas IAM no Guia do IAM usuário.

AWS Cloud9 não oferece suporte a políticas baseadas em recursos, mas você ainda pode controlar as permissões de recursos AWS Cloud9 ambientais para membros do AWS Cloud9 ambiente por meio do e. AWS Cloud9 API AWS Cloud9 IDE

Ações políticas para AWS Cloud9

Compatível com ações de políticas: Sim

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.

O Action elemento de uma JSON política descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de política geralmente têm o mesmo nome da AWS API operação associada. Há algumas exceções, como ações somente de permissão que não têm uma operação correspondente. API Algumas operações também exigem várias ações em uma política. Essas ações adicionais são chamadas de ações dependentes.

Incluem ações em uma política para conceder permissões para executar a operação associada.

Para ver uma lista de AWS Cloud9 ações, consulte Ações definidas por AWS Cloud9 na Referência de Autorização de Serviço.

As ações de política AWS Cloud9 usam o seguinte prefixo antes da ação:

account

Para especificar várias ações em uma única instrução, separe-as com vírgulas.

"Action": [
      "account:action1",
      "account:action2"
         ]

Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9

Recursos políticos para AWS Cloud9

Compatível com recursos de políticas: Sim

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.

O elemento Resource JSON de política especifica o objeto ou objetos aos quais a ação se aplica. As instruções devem incluir um elemento Resource ou NotResource. Como prática recomendada, especifique um recurso usando seu Amazon Resource Name (ARN). Isso pode ser feito para ações que oferecem compatibilidade com um tipo de recurso específico, conhecido como permissões em nível de recurso.

Para ações que não oferecem compatibilidade com permissões em nível de recurso, como operações de listagem, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.

"Resource": "*"

Para ver uma lista dos tipos de AWS Cloud9 recursos e seusARNs, consulte Recursos definidos por AWS Cloud9 na Referência de Autorização de Serviço. Para saber com quais ações você pode especificar cada recurso, consulte Ações definidas por AWS Cloud9. ARN

Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9

Chaves de condição de política para AWS Cloud9

Compatível com chaves de condição de política específicas de serviço: Sim

Os administradores podem usar AWS JSON políticas para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.

O elemento Condition (ou bloco Condition) permite que você especifique condições nas quais uma instrução estiver em vigor. O elemento Condition é opcional. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação.

Se você especificar vários elementos Condition em uma instrução ou várias chaves em um único Condition elemento, a AWS os avaliará usando uma operação lógica AND. Se você especificar vários valores para uma única chave de condição, AWS avalia a condição usando uma OR operação lógica. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, você pode conceder permissão a um IAM usuário para acessar um recurso somente se ele estiver marcado com o nome de IAM usuário. Para obter mais informações, consulte elementos de IAM política: variáveis e tags no Guia IAM do usuário.

AWS suporta chaves de condição globais e chaves de condição específicas do serviço. Para ver todas as chaves de condição AWS globais, consulte as chaves de contexto de condição AWS global no Guia IAM do usuário.

Para ver uma lista de chaves de AWS Cloud9 condição, consulte Chaves de condição AWS Cloud9 na Referência de autorização de serviço. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte Ações definidas por AWS Cloud9.

Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9

ACLsem AWS Cloud9

SuportesACLs: Não

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLssão semelhantes às políticas baseadas em recursos, embora não usem o formato de documento JSON de política.

ABACcom AWS Cloud9

Suportes ABAC (tags nas políticas): Sim

O controle de acesso baseado em atributos (ABAC) é uma estratégia de autorização que define permissões com base em atributos. Em AWS, esses atributos são chamados de tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a muitos AWS recursos. Marcar entidades e recursos é a primeira etapa doABAC. Em seguida, você cria ABAC políticas para permitir operações quando a tag do diretor corresponde à tag do recurso que ele está tentando acessar.

ABACé útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna complicado.

Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as aws:ResourceTag/key-name, aws:RequestTag/key-name ou chaves de condição aws:TagKeys.

Se um serviço oferecer suporte às três chaves de condição para cada tipo de recurso, o valor será Sim para o serviço. Se um serviço oferecer suporte às três chaves de condição somente para alguns tipos de recursos, o valor será Parcial

Para obter mais informações sobreABAC, consulte O que éABAC? no Guia do IAM usuário. Para ver um tutorial com etapas de configuraçãoABAC, consulte Usar controle de acesso baseado em atributos (ABAC) no Guia do IAMusuário.

Usando credenciais temporárias com AWS Cloud9

Compatível com credenciais temporárias: Sim

Alguns Serviços da AWS não funcionam quando você faz login usando credenciais temporárias. Para obter informações adicionais, incluindo quais Serviços da AWS funcionam com credenciais temporárias, consulte Serviços da AWS esse trabalho IAM no Guia do IAM usuário.

Você está usando credenciais temporárias se fizer login AWS Management Console usando qualquer método, exceto um nome de usuário e senha. Por exemplo, quando você acessa AWS usando o link de login único (SSO) da sua empresa, esse processo cria automaticamente credenciais temporárias. Você também cria automaticamente credenciais temporárias quando faz login no console como usuário e, em seguida, alterna perfis. Para obter mais informações sobre a troca de funções, consulte Alternando para uma função (console) no Guia IAM do usuário.

Você pode criar manualmente credenciais temporárias usando o AWS CLI ou AWS API. Em seguida, você pode usar essas credenciais temporárias para acessar AWS. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para obter mais informações, consulte Credenciais de segurança temporárias emIAM.

Sessões de acesso direto para AWS Cloud9

Suporta sessões de acesso direto (FAS): Sim

Quando você usa um IAM usuário ou uma função para realizar ações em AWS, você é considerado principal. Ao usar alguns serviços, você pode executar uma ação que inicia outra ação em um serviço diferente. FASusa as permissões do diretor chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) para fazer solicitações aos serviços posteriores. FASas solicitações são feitas somente quando um serviço recebe uma solicitação que requer interações com outros Serviços da AWS ou com recursos para ser concluída. Nesse caso, você precisa ter permissões para executar ambas as ações. Para obter detalhes da política ao fazer FAS solicitações, consulte Encaminhar sessões de acesso.

Funções de serviço para AWS Cloud9

Compatível com perfis de serviço: Sim

Uma função de serviço é uma IAMfunção que um serviço assume para realizar ações em seu nome. Um IAM administrador pode criar, modificar e excluir uma função de serviço internamenteIAM. Para obter mais informações, consulte Criação de uma função para delegar permissões a uma AWS service (Serviço da AWS) no Guia do IAM usuário.

Atenção

Alterar as permissões de uma função de serviço pode interromper AWS Cloud9 a funcionalidade. Edite as funções de serviço somente quando AWS Cloud9 fornecer orientação para fazer isso.

Funções vinculadas a serviços para AWS Cloud9

Suporte a perfis vinculados a serviços: sim

Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir a função de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um IAM administrador pode visualizar, mas não editar, as permissões das funções vinculadas ao serviço.

Para obter detalhes sobre como criar ou gerenciar funções vinculadas a serviços, consulte AWS serviços que funcionam com. IAM Encontre um serviço na tabela que inclua um Yes na coluna Função vinculada ao serviço. Escolha o link Sim para visualizar a documentação do perfil vinculado a esse serviço .

Exemplos de políticas baseadas em identidade para o AWS Cloud9

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do AWS Cloud9 . Eles também não podem realizar tarefas usando o AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos de JSON política, consulte Criação de IAM políticas no Guia do IAMusuário.

Para obter detalhes sobre ações e tipos de recursos definidos por AWS Cloud9, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição AWS Cloud9 na Referência de Autorização de Serviço.

Tópicos

• Melhores práticas de política
• Usar o console do AWS Cloud9
• Permitir que usuários visualizem suas próprias permissões

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Cloud9 recursos em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

• Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte políticas AWS gerenciadas ou políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.

• Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.

• Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos IAM JSON da política: Condição no Guia IAM do usuário.

• Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação da política do IAM Access Analyzer no Guia do IAM Usuário.

• Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte Configurando o API acesso MFA protegido no Guia do IAMusuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Usar o console do AWS Cloud9

Para acessar o AWS Cloud9 console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Cloud9 recursos em seu Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que eles estão tentando realizar.

Para garantir que usuários e funções ainda possam usar o AWS Cloud9 console, anexe também a política AWS Cloud9 ConsoleAccess ou a política ReadOnly AWS gerenciada às entidades. Para obter mais informações, consulte Adicionar permissões a um usuário no Guia do IAM usuário.

Permitir que usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Solução de problemas AWS Cloud9 de identidade e acesso

Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Cloud9 e. IAM

Tópicos

• Não estou autorizado a realizar uma ação em AWS Cloud9
• Não estou autorizado a realizar iam: PassRole
• Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Cloud9 recursos

Não estou autorizado a realizar uma ação em AWS Cloud9

Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, é preciso atualizar suas políticas para permitir que você realize a ação.

O exemplo de erro a seguir ocorre quando o mateojackson IAM usuário tenta usar o console para ver detalhes sobre um my-example-widget recurso fictício, mas não tem as permissões fictíciasawes:GetWidget.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidget on resource: my-example-widget

Nesse caso, a política do usuário mateojackson deve ser atualizada para permitir o acesso ao recurso my-example-widget usando a ação awes:GetWidget.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

Não estou autorizado a realizar iam: PassRole

Se você receber uma mensagem de erro informando que não está autorizado a executar a ação iam:PassRole, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS Cloud9.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O exemplo de erro a seguir ocorre quando um IAM usuário chamado marymajor tenta usar o console para realizar uma ação no AWS Cloud9. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação iam:PassRole.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Cloud9 recursos

Você pode criar um perfil que os usuários de outras contas ou pessoas fora da sua organização podem usar para acessar seus recursos. Você pode especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:

• Para saber se é AWS Cloud9 compatível com esses recursos, consulteComo AWS Cloud9 funciona com IAM.

• Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Fornecer acesso a um IAM usuário em outro Conta da AWS de sua propriedade no Guia do IAM usuário.

• Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Fornecer Contas da AWS acesso a terceiros no Guia do IAM usuário.

• Para saber como fornecer acesso por meio da federação de identidades, consulte Fornecendo acesso a usuários autenticados externamente (federação de identidades) no Guia do IAMusuário.

• Para saber a diferença entre usar funções e políticas baseadas em recursos para acesso entre contas, consulte Acesso a recursos entre contas IAM no Guia do IAM usuário.

Como AWS Cloud9 funciona com IAM recursos e operações

AWS Identity and Access Management é usado para gerenciar as permissões que permitem que você trabalhe com ambientes de AWS Cloud9 desenvolvimento Serviços da AWS e outros recursos.

AWS Cloud9 recursos e operações

Em AWS Cloud9, o recurso principal é um ambiente AWS Cloud9 de desenvolvimento. Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica. A tabela a seguir lista o ambienteARNs. Para obter mais informações, consulte Amazon Resource Names (ARNs) e AWS Service Namespaces no. Referência geral da Amazon Web Services

Tipo de recurso	ARNformato
Ambiente	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
Todo ambiente de propriedade da conta especificada na Região da AWS especificada	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:*
Todo ambiente de propriedade da conta determinada na região especificada	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:*
Todos os AWS Cloud9 recursos, independentemente da conta e da região	arn:aws:cloud9:*

Por exemplo, você pode indicar um ambiente específico em sua declaração usando o Amazon Resource Name (ARN), da seguinte forma.

"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"

Para especificar todos os recursos, use o caractere curinga (*) no elemento Resource.

"Resource": "*"

Para especificar vários recursos em uma única declaração, separe seus nomes de recursos da Amazon (ARNs) com vírgulas.

"Resource": [
  "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX",
  "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
]

AWS Cloud9 fornece um conjunto de operações para trabalhar com AWS Cloud9 recursos. Para obter uma lista, consulte AWS Cloud9 referência de permissões.

Informações sobre propriedade de recursos

A Conta da AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos.

Considere os seguintes casos de uso e cenários:

• Suponha que você use as credenciais da sua conta raiz Conta da AWS para criar um ambiente de AWS Cloud9 desenvolvimento. Embora seja possível, isso não é recomendado. Nesse caso, você Conta da AWS é o proprietário do ambiente.

• Suponha que você crie um IAM usuário no seu Conta da AWS e conceda permissões para criar um ambiente para esse usuário. O usuário poderá criar um ambiente. No entanto, o seu Conta da AWS, ao qual o usuário pertence, ainda é dono do ambiente.

• Suponha que você crie uma IAM função na sua Conta da AWS com permissões para criar um ambiente. Qualquer pessoa capaz de assumir o perfil poderá criar um ambiente. Sua Conta da AWS, à qual a função pertence, é a proprietária do ambiente.

nota

Se você excluir uma conta de usuário que seja ARN proprietária de um ou mais AWS Cloud9 ambientes, esses ambientes não terão proprietário. Uma solução alternativa para esse cenário é usar o AWS Cloud9 SDK para adicionar outro IAM usuário com privilégios de leitura e gravação usando a CreateEnvironmentMembership ação e o tipo de EnvironmentMember dados. Depois de adicionar esse IAM usuário, você pode copiar os arquivos do ambiente para novos AWS Cloud9 ambientes e tornar esse proprietário o ARN proprietário. Para obter mais informações sobre essa ação, consulte e CreateEnvironmentMembership, para obter mais informações sobre esse tipo de dados, consulte EnvironmentMembero Guia de AWS Cloud9 API referência.

Gerenciar acesso aos recursos da

A política de permissões descreve quem possui acesso a quais recursos.

nota

Esta seção discute o uso de IAM in AWS Cloud9. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a sintaxe e as descrições das IAM políticas, consulte a Referência IAM JSON de políticas no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas (ou IAMpolíticas) baseadas em identidade. As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Cloud9 oferece suporte a políticas baseadas em identidade e em recursos.

Cada uma das API ações a seguir exige que somente uma IAM política seja anexada à IAM identidade que deseja chamar essas API ações:

• CreateEnvironmentEC2

• DescribeEnvironments

As API ações a seguir exigem uma política baseada em recursos. Uma IAM política não é necessária, mas AWS Cloud9 usa uma IAM política se ela estiver vinculada à IAM identidade que deseja chamar essas API ações. A política baseada em recursos deve ser aplicada ao recurso desejado AWS Cloud9 :

• CreateEnvironmentMembership

• DeleteEnvironment

• DeleteEnvironmentMembership

• DescribeEnvironmentMemberships

• DescribeEnvironmentStatus

• UpdateEnvironment

• UpdateEnvironmentMembership

Para obter mais informações sobre o que cada uma dessas API ações faz, consulte a AWS Cloud9 APIReferência.

Você não pode anexar uma política baseada em recursos diretamente a um AWS Cloud9 recurso. Em vez disso, AWS Cloud9 anexa as políticas apropriadas baseadas em AWS Cloud9 recursos aos recursos à medida que você adiciona, modifica, atualiza ou exclui membros do ambiente.

Para conceder a um usuário permissões para realizar ações em AWS Cloud9 recursos, você anexa uma política de permissões a um IAM grupo ao qual o usuário pertence. Recomendamos que você anexe uma política AWS gerenciada (predefinida) AWS Cloud9 sempre que possível. AWS as políticas gerenciadas contêm conjuntos predefinidos de permissões de acesso para cenários de uso e tipos de usuários comuns, como administração completa de um ambiente, usuários do ambiente e usuários que têm acesso somente de leitura a um ambiente. Para obter uma lista de políticas AWS gerenciadas para AWS Cloud9, consulteAWS políticas gerenciadas para AWS Cloud9.

Para obter mais detalhes sobre os cenários de uso e os tipos de usuário exclusivos, crie e anexe suas próprias políticas gerenciadas pelo cliente. Consulte Opções adicionais de configuração para AWS Cloud9 e Criação de políticas gerenciadas pelo cliente para AWS Cloud9.

Para anexar uma IAM política (AWS gerenciada ou gerenciada pelo cliente) a uma IAM identidade, consulte Anexando IAM políticas (console) no Guia do IAM usuário.

Permissões de sessão para API operações

Ao usar o AWS CLI ou AWS API para criar programaticamente uma sessão temporária para uma função ou usuário federado, você pode passar políticas de sessão como um parâmetro para ampliar o escopo da sessão de função. Isso significa que as permissões efetivas da sessão são a interseção das políticas baseadas em identidade da função e das políticas de sessão.

Quando uma solicitação é feita para acessar um recurso durante uma sessão, se não houver uma declaração Deny, nem uma declaração Allow aplicável na política da sessão, o resultado da avaliação da política será uma negação implícita. (Para obter mais informações, consulte Determinar se uma solicitação é permitida ou negada em uma conta no Guia IAM do usuário.)

Porém, para AWS Cloud9 API operações que exigem uma política baseada em recursos (veja acima), as permissões são concedidas à IAM entidade que está chamando se ela for especificada como Principal na política de recursos. Essa permissão explícita tem precedência sobre a negação implícita da política de sessão, permitindo que a sessão chame a operação com êxito. AWS Cloud9 API

AWS políticas gerenciadas para AWS Cloud9

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas API operações são disponibilizadas para os serviços existentes.

Para obter mais informações, consulte políticas AWS gerenciadas no Guia IAM do usuário.

AWS política gerenciada: AWSCloud9Administrator

Você pode anexar a AWSCloud9Administrator política às suas IAM identidades.

Esta política concede administrative permissões que fornecem acesso ao administrador AWS Cloud9 a.

Detalhes das permissões

Esta política inclui as seguintes permissões:

• AWS Cloud9 — Todas as AWS Cloud9 ações em suas Conta da AWS.

• Amazon EC2 — Obtenha informações sobre vários recursos da Amazon VPC e de sub-rede em seus. Conta da AWS

• IAM— obtenha informações sobre IAM os usuários e crie a função AWS Cloud9 vinculada ao serviço neles, Conta da AWS conforme necessário. Conta da AWS

• Systems Manager— Permite que o usuário chame StartSession para iniciar uma conexão com uma instância para uma sessão do Session Manager. Essa permissão é necessária para usuários que abrem um ambiente que se comunica com sua EC2 instância por meio do Systems Manager. Para ter mais informações, consulte Acessando instâncias sem entrada EC2 com AWS Systems Manager

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:*",
                "iam:GetUser",
                "iam:ListUsers",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:GetConnectionStatus"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        }
    ]
}

AWS política gerenciada: AWSCloud9User

Você pode anexar a AWSCloud9User política às suas IAM identidades.

Esta política concede user permissões para criar ambientes de AWS Cloud9 desenvolvimento e gerenciar ambientes próprios.

Detalhes das permissões

Esta política inclui as seguintes permissões:

• AWS Cloud9 — crie e obtenha informações sobre seus ambientes e obtenha e altere as configurações do usuário em seus ambientes.

• Amazon EC2 — Obtenha informações sobre vários recursos da Amazon VPC e de sub-rede em seus. Conta da AWS

• IAM— obtenha informações sobre IAM os usuários e crie a função AWS Cloud9 vinculada ao serviço neles, Conta da AWS conforme necessário. Conta da AWS

• Systems Manager— Permite que o usuário chame StartSession para iniciar uma conexão com uma instância para uma sessão do Session Manager. Essa permissão é necessária para usuários que abrem um ambiente que se comunica com sua EC2 instância por meio do Systems Manager. Para ter mais informações, consulte Acessando instâncias sem entrada EC2 com AWS Systems Manager

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:UpdateUserSettings",
                "cloud9:GetUserSettings",
                "iam:GetUser",
                "iam:ListUsers",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:CreateEnvironmentEC2",
                "cloud9:CreateEnvironmentSSH"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:OwnerArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserPublicKey"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:GetConnectionStatus"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        }
    ]
}

AWS política gerenciada: AWSCloud9EnvironmentMember

Você pode anexar a AWSCloud9EnvironmentMember política às suas IAM identidades.

Esta política concede membership permissões que fornecem a capacidade de ingressar em um ambiente AWS Cloud9 compartilhado.

Detalhes de permissão

Esta política inclui as seguintes permissões:

• AWS Cloud9 — obtenha informações sobre seus ambientes e obtenha e altere as configurações do usuário para seus ambientes.

• IAM— obtenha informações sobre IAM os usuários e crie a função AWS Cloud9 vinculada ao serviço neles, Conta da AWS conforme necessário. Conta da AWS

• Systems Manager— Permite que o usuário chame StartSession para iniciar uma conexão com uma instância para uma sessão do Session Manager. Essa permissão é necessária para usuários que abrem um ambiente que se comunica com sua EC2 instância por meio do Systems Manager. Para ter mais informações, consulte Acessando instâncias sem entrada EC2 com AWS Systems Manager

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserSettings",
                "cloud9:UpdateUserSettings",
                "iam:GetUser",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:GetConnectionStatus"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        }
    ]
}

AWS política gerenciada: AWSCloud9ServiceRolePolicy

A função vinculada ao serviço AWSServiceRoleForAWSCloud9usa essa política para permitir que o AWS Cloud9 ambiente interaja com a Amazon EC2 e AWS CloudFormation os recursos.

Detalhes da permissão

Isso AWSCloud9ServiceRolePolicyconcede aos AWSServiceRoleForAWSCloud 9 as permissões necessárias AWS Cloud9 para permitir a interação com a Serviços da AWS (Amazon EC2 e AWS CloudFormation) que são necessárias para criar e executar ambientes de desenvolvimento.

AWS Cloud9 define as permissões de suas funções vinculadas ao serviço e só AWS Cloud9 pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.

Para obter mais informações sobre como AWS Cloud9 usa funções vinculadas a serviços, consulte. Usar perfis vinculados ao serviço do AWS Cloud9

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateSecurityGroup",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceStatus",
				"cloudformation:CreateStack",
				"cloudformation:DescribeStacks",
				"cloudformation:DescribeStackEvents",
				"cloudformation:DescribeStackResources"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:TerminateInstances",
				"ec2:DeleteSecurityGroup",
				"ec2:AuthorizeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStack"
			],
			"Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringLike": {
					"aws:RequestTag/Name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": [
				"arn:aws:license-manager:*:*:license-configuration:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListInstanceProfiles",
				"iam:GetInstanceProfile"
			],
			"Resource": [
				"arn:aws:iam::*:instance-profile/cloud9/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"
			],
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com"
				}
			}
		}
	]
}

AWS Cloud9 atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Cloud9 desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do AWS Cloud9 documento.

Alteração	Descrição	Data
Uma nova ação AWSCloud9Administratore AWSCloud9EnvironmentMemberpolíticas foram AWSCloud9Useradicionadas.	A ssm:GetConnectionStatus ação foi adicionada AWSCloud9UserAWSCloud9Administratoràs AWSCloud9EnvironmentMemberpolíticas. Essa ação concederá aos usuários as permissões para verificar o status da SSM conexão. O cloud9:ValidateEnvironmentName API foi removido da AWSCloud9Userpolítica porque está obsoleto.	12 de outubro de 2023
APIfoi adicionado às AWSCloud9Administratorpolíticas AWSCloud9Usere.	Duas novas API políticas foram adicionadas às AWSCloud9Administratorpolíticas AWSCloud9Usere, essas API são ec2:DescribeInstanceTypeOfferings ec2:DescribeRouteTables e. O objetivo disso API é permitir validar AWS Cloud9 se a sub-rede padrão é compatível com o tipo de instância escolhido pelo cliente ao criar um AWS Cloud9 ambiente.	2 de agosto de 2023
Atualizar para AWSCloud9ServiceRolePolicy	AWSCloud9ServiceRolePolicyfoi atualizado AWS Cloud9 para permitir iniciar e interromper EC2 instâncias da Amazon que são gerenciadas pelas configurações de licença do License Manager.	12 de janeiro de 2022
AWS Cloud9 começou a rastrear alterações	AWS Cloud9 começou a rastrear as mudanças em suas políticas AWS gerenciadas.	15 de março de 2021

Criação de políticas gerenciadas pelo cliente para AWS Cloud9

Se nenhuma das políticas AWS gerenciadas atender aos seus requisitos de controle de acesso, você poderá criar e anexar suas próprias políticas gerenciadas pelo cliente.

Para criar uma política gerenciada pelo cliente, consulte Criar uma IAM política (console) no Guia IAM do usuário.

Tópicos

• Especificar elementos da política: efeitos, principais, ações e recursos
• Exemplos de política gerenciada pelo cliente

Especificar elementos da política: efeitos, principais, ações e recursos

Para cada AWS Cloud9 recurso, o serviço define um conjunto de API operações. Para conceder permissões para essas API operações, AWS Cloud9 define um conjunto de ações que você pode especificar em uma política.

Estes são os elementos de política básicos:

• Effect – Especifique o efeito, permitir ou negar, quando o usuário solicitar a ação. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Faça isso para garantir que um usuário não acesse um recurso, mesmo quando uma política diferente conceder o acesso.

• Principal— Nas políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica o usuário, conta, serviço ou outra entidade a receber permissões.

• Resource— Use um nome de recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica.

• Action – Use palavras-chave para identificar as operações de recurso que você quer permitir ou negar. Por exemplo, a permissão cloud9:CreateEnvironmentEC2 permite que o usuário execute a operação CreateEnvironmentEC2.

Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência IAM JSON de políticas no Guia do IAM usuário.

Para ver uma tabela mostrando todas as AWS Cloud9 API ações e os recursos aos quais elas se aplicam, consulte AWS Cloud9 referência de permissões o.

Exemplos de política gerenciada pelo cliente

Nesta seção, encontre exemplos de políticas que concedem permissões para ações do AWS Cloud9 . Você pode adaptar os exemplos de IAM políticas a seguir para permitir ou negar explicitamente o AWS Cloud9 acesso às suas IAM identidades.

Para criar ou anexar uma política gerenciada pelo cliente a uma IAM identidade, consulte Criar uma IAM política (console) e Anexar IAM políticas (console) no Guia do IAM usuário.

nota

Os exemplos a seguir usam a região Leste dos EUA (Ohio) (us-east-2), uma ID fictícia (123456789012) e uma Conta da AWS ID de ambiente de AWS Cloud9 desenvolvimento fictícia (). 81e900317347585a0601e04c8d52eaEX

Tópicos

• Obter informações sobre ambientes
• Crie EC2 ambientes
• Crie EC2 ambientes com tipos específicos de EC2 instância da Amazon
• Crie EC2 ambientes em VPC sub-redes específicas da Amazon
• Crie EC2 ambientes com um nome de ambiente específico
• Crie somente SSH ambientes
• Atualizar ambientes ou impedir a atualização de um ambiente
• Obter listas de membros do ambiente
• Compartilhar ambientes somente com um usuário específico
• Impedir o compartilhamento de ambientes
• Alterar ou impedir a alteração das configurações de membros do ambiente
• Remover ou impedir a remoção de membros do ambiente
• Excluir ou impedir a exclusão de um ambiente
• IAMPolítica personalizada para criação de SSM ambiente

Obter informações sobre ambientes

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade obtenha informações sobre qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DescribeEnvironments",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída nas políticas AWS gerenciadas AWSCloud9Administrator e. AWSCloud9User

Crie EC2 ambientes

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade crie ambientes de AWS Cloud9 EC2 desenvolvimento em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída nas políticas AWS gerenciadas AWSCloud9Administrator e. AWSCloud9User

Crie EC2 ambientes com tipos específicos de EC2 instância da Amazon

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade crie ambientes de AWS Cloud9 EC2 desenvolvimento em sua conta. No entanto, EC2 os ambientes podem usar somente a classe especificada dos tipos de EC2 instância da Amazon.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t3.*"
        }
      }
    }
  ]
}

nota

Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à IAM entidade, essa política AWS gerenciada substituirá o comportamento da declaração de política anteriorIAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.

Crie EC2 ambientes em VPC sub-redes específicas da Amazon

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade crie ambientes de AWS Cloud9 EC2 desenvolvimento em sua conta. No entanto, EC2 os ambientes podem usar somente as VPC sub-redes especificadas da Amazon.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:SubnetId": [
            "subnet-12345678",
            "subnet-23456789"
          ]
        }
      }
    }
  ]
}

nota

Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à IAM entidade, essa política AWS gerenciada substituirá o comportamento da declaração de política anteriorIAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.

Crie EC2 ambientes com um nome de ambiente específico

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade crie um ambiente de AWS Cloud9 EC2 desenvolvimento em sua conta. No entanto, o EC2 ambiente pode usar somente o nome especificado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    }
  ]
}

nota

Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à IAM entidade, essa política AWS gerenciada substituirá o comportamento da declaração de política anteriorIAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.

Crie somente SSH ambientes

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade crie ambientes de AWS Cloud9 SSH desenvolvimento em sua conta. No entanto, a entidade não pode criar ambientes AWS Cloud9 EC2 de desenvolvimento.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentSSH",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

Atualizar ambientes ou impedir a atualização de um ambiente

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade altere as informações sobre qualquer ambiente de AWS Cloud9 desenvolvimento em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:UpdateEnvironment",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, impede explicitamente que essa entidade altere as informações sobre o ambiente com o Amazon Resource Name (ARN) especificado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:UpdateEnvironment",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

Obter listas de membros do ambiente

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade obtenha uma lista de membros para qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DescribeEnvironmentMemberships",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada. Além disso, a permissão de acesso anterior é mais permissiva do que a permissão de acesso equivalente na política gerenciada AWS . AWSCloud9User

Compartilhar ambientes somente com um usuário específico

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade compartilhe qualquer ambiente em sua conta somente com o usuário especificado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentMembership"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser"
        }
      }
    }
  ]
}

nota

Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à IAM entidade, essas políticas AWS gerenciadas substituirão o comportamento da declaração de política anteriorIAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.

Impedir o compartilhamento de ambientes

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, impede que essa entidade compartilhe qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentMembership",
        "cloud9:UpdateEnvironmentMembership"
      ],
      "Resource": "*"
    }
  ]
}

Alterar ou impedir a alteração das configurações de membros do ambiente

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade altere as configurações dos membros em qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:UpdateEnvironmentMembership",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, impede explicitamente que essa entidade altere as configurações dos membros no ambiente com o Amazon Resource Name (ARN) especificado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:UpdateEnvironmentMembership",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

Remover ou impedir a remoção de membros do ambiente

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade remova qualquer membro de qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DeleteEnvironmentMembership",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, impede explicitamente que essa entidade remova qualquer membro do ambiente com o Amazon Resource Name (ARN) especificado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:DeleteEnvironmentMembership",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

Excluir ou impedir a exclusão de um ambiente

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, permite que essa entidade exclua qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DeleteEnvironment",
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.

O exemplo de declaração IAM de política a seguir, anexado a uma IAM entidade, impede explicitamente que essa entidade exclua o ambiente com o Amazon Resource Name () ARN especificado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:DeleteEnvironment",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

IAMPolítica personalizada para criação de SSM ambiente

Há um problema de permissões atual que ocorre ao criar um SSM ambiente com as AWSCloud9User políticas AWSCloud9Administrator ou anexadas. O exemplo de declaração IAM de política a seguir, quando anexado a uma IAM entidade, permite que os usuários anexem e usem a política AWS gerenciada AWSCloud9Administrator ouAWSCloud9User.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:UpdateUserSettings",
                "cloud9:GetUserSettings",
                "iam:GetUser",
                "iam:ListUsers",
                "iam:ListRoles",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:CreateEnvironmentEC2",
                "cloud9:CreateEnvironmentSSH"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:OwnerArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserPublicKey"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"],
            "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"]
        },
        {
            "Effect": "Allow",
            "Action": ["iam:AttachRolePolicy"],
            "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"],
            "Condition": {
                "StringEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": [
                "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile"
            ]
        }
    ]
}

AWS Cloud9 referência de permissões

Você pode usar chaves AWS de condição amplas em suas AWS Cloud9 políticas para expressar condições. Para obter uma lista, consulte Elementos da IAM JSON política: condição no Guia IAM do usuário.

Você especifica as ações no campo Action das políticas. Para especificar uma ação, use o cloud9: prefixo seguido pelo nome da API operação (por exemplo,"Action": "cloud9:DescribeEnvironments"). Para especificar várias ações em uma única declaração, separe-as com vírgulas (por exemplo, "Action": [ "cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).

Usando caracteres curinga

Você especifica umARN, com ou sem um caractere curinga (*), como o valor do recurso no Resource campo da política. Você pode usar um curinga para especificar várias ações ou recursos. Por exemplo, cloud9:* especifica todas as AWS Cloud9 ações e cloud9:Describe* especifica todas as AWS Cloud9 ações que começam com. Describe

O exemplo a seguir permite que uma IAM entidade obtenha informações sobre ambientes e associações ambientais para qualquer ambiente em sua conta.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

nota

A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada. Além disso, a permissão de acesso anterior é mais permissiva do que a permissão de acesso equivalente na política gerenciada AWS . AWSCloud9User

AWS Cloud9 APIoperações e permissões necessárias para ações

nota

Você pode usar as tabelas abaixo como referência ao configurar o controle de acesso e escrever políticas de permissões para anexar a uma IAM identidade (políticas baseadas em identidade).

A Public API operations tabela lista API as operações que podem ser chamadas pelos clientes usando SDKs AWS Command Line Interface e.

A Permission-only API operations lista API as operações que não podem ser chamadas diretamente pelo código do cliente ou pelo AWS Command Line Interface. Mas IAM os usuários precisam de permissões para essas operações, que são chamadas quando AWS Cloud9 as ações são executadas usando o console.

APIOperações públicas
AWS Cloud9 operação	Permissão necessária (APIação)	Recurso
CreateEnvironmentEC2	cloud9:CreateEnvironmentEC2 Necessário para criar um ambiente de AWS Cloud9 EC2 desenvolvimento.	*
CreateEnvironmentMembership	cloud9:CreateEnvironmentMembership Necessário para adicionar um membro a um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
DeleteEnvironment	cloud9:DeleteEnvironment Necessário para excluir um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
DeleteEnvironmentMembership	cloud9:DeleteEnvironmentMembership Necessário para remover um membro de um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
DescribeEnvironmentMemberships	cloud9:DescribeEnvironmentMemberships Necessário para obter uma lista de membros em um ambiente.	*
DescribeEnvironments	cloud9:DescribeEnvironments Necessário para obter informações sobre um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
DescribeEnvironmentStatus	cloud9:DescribeEnvironmentStatus Necessário para obter informações sobre o status de um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
UpdateEnvironment	cloud9:UpdateEnvironment Necessário para atualizar as configurações de um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID
UpdateEnvironmentMembership	cloud9:UpdateEnvironmentMembership Necessário para atualizar as configurações de um membro em um ambiente.	arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

Operações somente com permissão API
AWS Cloud9 operação	Descrição	Documentação do console
ActivateEC2Remote	cloud9:ActivateEC2Remote Inicia a EC2 instância da Amazon à qual você AWS Cloud9 IDE se conecta.	Abrir um ambiente no AWS Cloud9
CreateEnvironmentSSH	cloud9:CreateEnvironmentSSH Cria um ambiente AWS Cloud9 SSH de desenvolvimento.	Criar um ambiente do SSH
CreateEnvironmentToken	cloud9:CreateEnvironmentToken Cria um token de autenticação que permite uma conexão entre o ambiente AWS Cloud9 IDE e o do usuário.	Criar um ambiente do EC2
DescribeEC2Remote	cloud9:DescribeEC2Remote Obtém detalhes sobre a conexão com o ambiente de EC2 desenvolvimento, incluindo host, usuário e porta.	Criar um ambiente do EC2
DescribeSSHRemote	cloud9:DescribeSSHRemote Obtém detalhes sobre a conexão com o ambiente de SSH desenvolvimento, incluindo host, usuário e porta.	Criar um ambiente do SSH
GetEnvironmentConfig	cloud9:GetEnvironmentConfig Obtém informações de configuração usadas para inicializar o. AWS Cloud9 IDE	Trabalhando com o AWS Cloud9 IDE
GetEnvironmentSettings	cloud9:GetEnvironmentSettings Obtém as AWS Cloud9 IDE configurações de um ambiente de desenvolvimento específico.	Trabalhando com o AWS Cloud9 IDE
GetMembershipSettings	cloud9:GetMembershipSettings Obtém as AWS Cloud9 IDE configurações de um membro do ambiente especificado.	Trabalhando com ambiente compartilhado em AWS Cloud9
GetUserPublicKey	cloud9:GetUserPublicKey Obtém a SSH chave pública do usuário, que é usada AWS Cloud9 para se conectar aos ambientes de SSH desenvolvimento.	Criar um ambiente do SSH
GetUserSettings	cloud9:GetUserSettings Obtém as AWS Cloud9 IDE configurações de um usuário especificado.	Trabalhando com o AWS Cloud9 IDE
ModifyTemporaryCredentialsOnEnvironmentEC2	cloud9:ModifyTemporaryCredentialsOnEnvironmentEC2 Define credenciais temporárias AWS gerenciadas na EC2 instância da Amazon que é usada pelo ambiente de desenvolvimento AWS Cloud9 integrado (IDE).	AWS credenciais temporárias gerenciadas
UpdateEnvironmentSettings	cloud9:UpdateEnvironmentSettings Atualiza as AWS Cloud9 IDE configurações de um ambiente de desenvolvimento específico.	Trabalhando com o AWS Cloud9 IDE
UpdateMembershipSettings	cloud9:UpdateMembershipSettings Atualiza as AWS Cloud9 IDE configurações de um membro do ambiente especificado.	Trabalhando com ambiente compartilhado em AWS Cloud9
UpdateSSHRemote	cloud9:UpdateSSHRemote Atualiza detalhes sobre a conexão com o ambiente de SSH desenvolvimento, incluindo host, usuário e porta.	Criar um ambiente do SSH
UpdateUserSettings	cloud9:UpdateUserSettings Atualiza as AWS Cloud9 IDE configurações de um usuário especificado.	Trabalhando com o AWS Cloud9 IDE
GetMigrationExperiences	cloud9:GetMigrationExperiences Concede permissão a um AWS Cloud9 usuário para obter a experiência de migração de AWS Cloud9 para CodeCatalyst.

AWS credenciais temporárias gerenciadas

Se você está apenas procurando a lista de ações que as credenciais temporárias AWS gerenciadas suportam, vá para. Ações suportadas por credenciais temporárias AWS gerenciadas

Para um ambiente de AWS Cloud9 EC2 desenvolvimento, AWS Cloud9 disponibiliza credenciais de AWS acesso temporário para você no ambiente. Elas são chamadas de credenciais temporárias gerenciadas pela AWS . Isso oferece os seguintes benefícios:

• Você não precisa armazenar as credenciais de AWS acesso permanentes de uma AWS entidade (por exemplo, um IAM usuário) em nenhum lugar do ambiente. Isso evita que essas credenciais sejam acessadas pelos membros do ambiente sem o seu conhecimento e aprovação.

• Você não precisa configurar, gerenciar ou anexar manualmente um perfil de instância à EC2 instância da Amazon que se conecta ao ambiente. Um perfil de instância é outra abordagem para gerenciar credenciais de AWS acesso temporário.

• AWS Cloud9 renova continuamente suas credenciais temporárias, portanto, um único conjunto de credenciais só pode ser usado por um tempo limitado. Essa é uma prática recomendada de AWS segurança. Para obter mais informações, consulte Criação e atualização de credenciais temporárias AWS gerenciadas.

• AWS Cloud9 impõe restrições adicionais sobre como suas credenciais temporárias podem ser usadas para acessar AWS ações e recursos do ambiente. Essa também é uma prática recomendada de AWS segurança.

Importante

Atualmente, se a EC2 instância do seu ambiente for iniciada em uma sub-rede privada, você não poderá usar credenciais temporárias AWS gerenciadas para permitir que o EC2 ambiente acesse um AWS serviço em nome de uma AWS entidade (por exemplo, um IAM usuário).

Para obter mais informações sobre quando você pode executar uma EC2 instância em uma sub-rede privada, consulteCrie uma sub-rede para AWS Cloud9.

nota

Considere usar uma política AWS gerenciada em vez de uma política embutida ao usar credenciais temporárias AWS gerenciadas.

Veja como as credenciais temporárias AWS gerenciadas funcionam sempre que um EC2 ambiente tenta acessar uma AWS service (Serviço da AWS) em nome de uma AWS entidade (por exemplo, um IAM usuário):

1. AWS Cloud9 verifica se a AWS entidade chamadora (por exemplo, o IAM usuário) tem permissões para realizar a ação solicitada para o recurso solicitado em AWS. Se a permissão não existir ou for explicitamente negada, a solicitação falhará.

2. AWS Cloud9 verifica as credenciais temporárias AWS gerenciadas para ver se suas permissões permitem a entrada da ação solicitada para o recurso solicitado. AWS Se a permissão não existir ou for explicitamente negada, a solicitação falhará. Para obter uma lista de permissões que AWS gerenciaram o suporte de credenciais temporárias, consulteAções suportadas por credenciais temporárias AWS gerenciadas.

• Se a AWS entidade e as credenciais temporárias AWS gerenciadas permitirem a ação solicitada para o recurso solicitado, a solicitação será bem-sucedida.

• Se a AWS entidade ou as credenciais temporárias AWS gerenciadas negarem explicitamente ou falharem em permitir explicitamente a ação solicitada para o recurso solicitado, a solicitação falhará. Isso significa que, mesmo que a AWS entidade chamadora tenha as permissões corretas, a solicitação falhará se também AWS Cloud9 não for explicitamente permitida. Da mesma forma, se AWS Cloud9 permitir que uma ação específica seja executada para um recurso específico, a solicitação falhará se a AWS entidade também não permitir explicitamente.

O proprietário de um EC2 ambiente pode ativar ou desativar as credenciais temporárias AWS gerenciadas para esse ambiente a qualquer momento, da seguinte maneira:

1. Com o ambiente aberto, em AWS Cloud9 IDE, na barra de menu AWS Cloud9, escolha Preferências.

2. No painel de navegação da guia Preferências, selecione Configurações da AWS , Credenciais.

3. Usar as credenciais temporárias gerenciadas pela AWS para ativar e desativar as credenciais temporárias gerenciadas pela AWS .

nota

Você também pode ativar ou desativar as credenciais temporárias AWS gerenciadas chamando a AWS Cloud9 API operação UpdateEnvironmente atribuindo um valor ao managedCredentialsAction parâmetro. Você pode solicitar essa API operação usando AWS ferramentas padrão, como AWS SDKs AWS CLI e.

Se você desativar as credenciais temporárias AWS gerenciadas, o ambiente não poderá acessar nenhuma Serviços da AWS, independentemente da AWS entidade que faz a solicitação. Porém, suponha que você não possa ou não queira ativar as credenciais temporárias AWS gerenciadas para um ambiente e ainda precise que o ambiente acesse Serviços da AWS. Considere as seguintes alternativas:

• Anexe um perfil de instância à EC2 instância da Amazon que se conecta ao ambiente. Para obter instruções, consulte Criar e usar um perfil de instância para gerenciar credenciais temporárias.

• Armazene suas credenciais de AWS acesso permanentes no ambiente, por exemplo, definindo variáveis de ambiente especiais ou executando o aws configure comando. Para obter instruções, consulte Crie e armazene as credenciais de acesso permanentes em um ambiente.

As alternativas anteriores substituem todas as permissões permitidas (ou negadas) pelas credenciais temporárias AWS gerenciadas em um ambiente. EC2

Ações suportadas por credenciais temporárias AWS gerenciadas

Para um ambiente de AWS Cloud9 EC2 desenvolvimento, as credenciais temporárias AWS gerenciadas permitem todas as AWS ações de todos os AWS recursos do chamador Conta da AWS, com as seguintes restrições:

• Pois AWS Cloud9, somente as seguintes ações são permitidas:

  • cloud9:CreateEnvironmentEC2

  • cloud9:CreateEnvironmentSSH

  • cloud9:DescribeEnvironmentMemberships

  • cloud9:DescribeEnvironments

  • cloud9:DescribeEnvironmentStatus

  • cloud9:UpdateEnvironment

• PoisIAM, somente as seguintes ações são permitidas:

  • iam:AttachRolePolicy

  • iam:ChangePassword

  • iam:CreatePolicy

  • iam:CreatePolicyVersion

  • iam:CreateRole

  • iam:CreateServiceLinkedRole

  • iam:DeletePolicy

  • iam:DeletePolicyVersion

  • iam:DeleteRole

  • iam:DeleteRolePolicy

  • iam:DeleteSSHPublicKey

  • iam:DetachRolePolicy

  • iam:GetInstanceProfile

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:GetRolePolicy

  • iam:GetSSHPublicKey

  • iam:GetUser

  • iam:List*

  • iam:PassRole

  • iam:PutRolePolicy

  • iam:SetDefaultPolicyVersion

  • iam:UpdateAssumeRolePolicy

  • iam:UpdateRoleDescription

  • iam:UpdateSSHPublicKey

  • iam:UploadSSHPublicKey

• Todas as IAM ações que interagem com funções são permitidas somente para nomes de funções que começam comCloud9-. No entanto, iam:PassRole funciona com todos os nomes de função.

• Para AWS Security Token Service (AWS STS), somente as seguintes ações são permitidas:

  • sts:GetCallerIdentity

  • sts:DecodeAuthorizationMessage

• Todas as AWS ações suportadas são restritas ao endereço IP do ambiente. Essa é uma prática recomendada de AWS segurança.

Se AWS Cloud9 não oferecer suporte a uma ação ou recurso que você precisa de um EC2 ambiente para acessar, ou se as credenciais temporárias AWS gerenciadas estiverem desativadas para um EC2 ambiente e você não puder ativá-las novamente, considere as seguintes alternativas:

• Anexe um perfil de instância à EC2 instância da Amazon que se conecta ao EC2 ambiente. Para obter instruções, consulte Crie e use um perfil da instância para gerenciar as credenciais temporárias.

• Armazene suas credenciais de AWS acesso permanentes no EC2 ambiente, por exemplo, definindo variáveis de ambiente especiais ou executando o aws configure comando. Para obter instruções, consulte Crie e armazene as credenciais de acesso permanentes em um ambiente.

As alternativas anteriores substituem todas as permissões permitidas (ou negadas) pelas credenciais temporárias AWS gerenciadas em um ambiente. EC2

Criação e atualização de credenciais temporárias AWS gerenciadas

Para um ambiente de AWS Cloud9 EC2 desenvolvimento, as credenciais temporárias AWS gerenciadas são criadas na primeira vez que você abre o ambiente.

AWS as credenciais temporárias gerenciadas são atualizadas sob qualquer uma das seguintes condições:

• Sempre que um determinado período passar. Atualmente, isso ocorre a cada cinco minutos.

• Sempre que você recarrega a guia do navegador da web que exibe o IDE para o ambiente.

• Quando o carimbo de hora listado no arquivo ~/.aws/credentials do ambiente for alcançado.

• Se a configuração das credenciais temporárias gerenciadas pela AWS for definida como desativada toda vez que você a reativa. (Para visualizar ou alterar essa configuração AWS Cloud9, escolha Preferências na barra de menu doIDE. Na guia Preferências, no painel de navegação, escolha AWS Configurações, Credenciais.)

• Por motivos de segurança, as credenciais temporárias AWS gerenciadas expiram automaticamente após 15 minutos. Para que as credenciais sejam atualizadas, o proprietário do ambiente deve estar conectado ao AWS Cloud9 ambiente por meio do. IDE Para obter mais informações sobre as funções do proprietário do ambiente, consulte Controlar o acesso às credenciais temporárias gerenciadas pela AWS.

Controlar o acesso às credenciais temporárias gerenciadas pela AWS

Um colaborador com credenciais temporárias AWS gerenciadas pode usar AWS Cloud9 para interagir com outros. Serviços da AWS Para garantir que apenas colaboradores confiáveis recebam as credenciais temporárias gerenciadas pela AWS , essas credenciais serão desativadas se um novo membro for adicionado por qualquer pessoa que não seja o proprietário do ambiente. As credenciais são desativadas pela exclusão do arquivo ~/.aws/credentials.

Importante

AWS as credenciais temporárias gerenciadas também expiram automaticamente a cada 15 minutos. Para que as credenciais sejam atualizadas para que os colaboradores possam continuar a usá-las, o proprietário do ambiente deve estar conectado ao AWS Cloud9 ambiente por meio do. IDE

Somente o proprietário do ambiente pode reativar as credenciais temporárias AWS gerenciadas para que elas possam ser compartilhadas com outros membros. Quando o proprietário do ambiente abre oIDE, uma caixa de diálogo confirma que as credenciais temporárias AWS gerenciadas estão desativadas. O proprietário do ambiente pode reativar as credenciais para todos os membros ou mantê-las desabilitadas para todos os membros.

Atenção

Para manter a conformidade com as práticas recomendadas de segurança, mantenha as credenciais temporárias gerenciadas desativadas se você não tiver certeza sobre a identidade do último usuário adicionado ao ambiente. Você pode verificar a lista de membros com permissões de leitura/gravação na janela Collaborate (Colaborar).