AWS Cloud9 não está mais disponível para novos clientes. Os clientes atuais do AWS Cloud9 podem continuar usando o serviço normalmente. Saiba mais
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Opções adicionais de configuração para AWS Cloud9
Este tópico pressupõe que você já concluiu as etapas de configuração em Configuração de equipe ou Configuração de empresa.
Em Team Setup ou Enterprise Setup, você criou grupos e adicionou permissões de AWS Cloud9 acesso diretamente a esses grupos. Isso serve para garantir que os usuários desses grupos possam acessar o AWS Cloud9. Neste tópico, você adicionará mais permissões de acesso para restringir os tipos de ambientes que os usuários desses grupos podem criar. Isso pode ajudar a controlar os custos relacionados às AWS Cloud9 AWS contas e organizações.
Para adicionar essas permissões de acesso, crie seu próprio conjunto de políticas que definam as permissões de acesso à AWS que você deseja impor. Chamamos cada uma dessas de política gerenciada pelo cliente. Depois, você anexa essas políticas gerenciadas pelo cliente aos grupos aos quais os usuários pertencem. Em alguns cenários, você também deve separar as políticas AWS gerenciadas existentes que já estão anexadas a esses grupos. Para configurar isso, siga os procedimentos deste tópico.
nota
Os procedimentos a seguir abrangem a anexação e desanexação de políticas somente para AWS Cloud9 usuários. Esses procedimentos pressupõem que você já tenha um grupo de AWS Cloud9 usuários e um grupo de AWS Cloud9 administradores separados. Eles também presumem que você tem apenas um número limitado de usuários no grupo de administradores do AWS Cloud9 . Essa prática recomendada de AWS segurança pode ajudá-lo a controlar, rastrear e solucionar melhor os problemas de acesso a AWS recursos.
Etapa 1: Criar uma política gerenciada pelo cliente
Crie uma política gerenciada pelo cliente usando o AWS Management Console ou a ou a interface da linha de comando da AWS (AWS CLI).
nota
Esta etapa abrange a criação de uma política gerenciada pelo cliente somente para IAM grupos. Para criar um conjunto de permissões personalizado para grupos em AWS IAM Identity Center, pule esta etapa e siga as instruções em Criar conjunto de permissões no Guia do AWS IAM Identity Center usuário. Neste tópico, siga as instruções para criar um conjunto de permissões personalizado. Para obter as políticas de permissões personalizadas relacionadas, consulte Exemplos de políticas gerenciadas pelo cliente para equipes usando o AWS Cloud9 mais adiante neste tópico.
Criar uma política gerenciada pelo cliente usando o console
-
Faça login no AWS Management Console, se você ainda não estiver conectado.
Recomendamos que você faça login usando as credenciais de um usuário administrador em sua Conta da AWS. Se você não conseguir fazer isso, verifique com seu Conta da AWS administrador.
-
Abra o IAM console. Para fazer isso, na barra de navegação do console, selecione Serviços. Em seguida, escolha IAM.
-
No painel de navegação do serviço, selecione Policies (Políticas).
-
Escolha Criar política.
-
Na JSONguia, cole um dos nossos exemplos sugeridos de políticas gerenciadas pelo cliente.
nota
Você também pode criar suas próprias políticas gerenciadas pelo usuário. Para obter mais informações, consulte a Referência IAM JSON de política no Guia do IAM usuário e na documentação AWS service (Serviço da AWS) do mesmo
. -
Escolha Revisar política.
-
Na página Review policy (Revisar política), digite um Name (Nome) e uma Description (Descrição) opcional para a política e, em seguida, selecione Create policy (Criar política).
Repita essa etapa para cada política adicional gerenciada pelo cliente que você quiser criar. Depois, avance até Adicionar políticas gerenciadas pelo cliente a um grupo usando o console.
Crie uma política gerenciada pelo cliente usando a AWS CLI
-
No computador em que você executa o AWS CLI, crie um arquivo para descrever a política (por exemplo,
policy.json
).Se criar o arquivo com um nome de arquivo diferente, substitua-o ao longo deste procedimento.
-
Cole uma das nossas sugestões de exemplos de políticas gerenciadas pelo cliente no arquivo
policy.json
.nota
Você também pode criar suas próprias políticas gerenciadas pelo usuário. Para obter mais informações, consulte a Referência IAM JSON de política no Guia do IAM usuário e na documentação AWS
dos serviços. -
No terminal ou no prompt de comando, mude para o diretório que contém o arquivo
policy.json
. -
Execute o IAM
create-policy
comando, especificando um nome para a política e opolicy.json
arquivo.aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
No comando anterior, substitua
MyPolicy
por um nome para a política.
Vá em frente para adicionar políticas gerenciadas pelo cliente a um grupo usando o. AWS CLI
Etapa 2: Adicionar políticas gerenciadas pelo cliente a um grupo
Adicione políticas gerenciadas pelo cliente a um grupo usando o AWS Management Console ou a AWS Command Line Interface (AWS CLI).
nota
Esta etapa abrange a adição de políticas gerenciadas pelo cliente somente a IAM grupos. Para adicionar conjuntos de permissões personalizados aos grupos em AWS IAM Identity Center, pule esta etapa e, em vez disso, siga as instruções em Atribuir acesso ao AWS IAM Identity Center usuário no Guia do usuário.
Adicione políticas gerenciadas pelo cliente a um grupo usando o console
-
Com o IAM console aberto do procedimento anterior, no painel de navegação do serviço, escolha Grupos.
-
Selecione o nome do grupo.
-
Na guia Permssões, em Políticas gerenciadas, selecione Anexar política.
-
Na lista de nomes de políticas, selecione a caixa ao lado de cada política gerenciada pelo cliente que você deseja anexar ao grupo. Se não encontrar um nome de política específico na lista, insira o nome da política na caixa Filter (Filtrar) para exibi-la.
-
Escolha Attach Policy.
Adicione políticas gerenciadas pelo cliente a um grupo usando o AWS CLI
nota
Se você estiver usando credenciais temporárias AWS gerenciadas, não poderá usar uma sessão de terminal no AWS Cloud9 IDE para executar alguns ou todos os comandos desta seção. Para abordar as melhores práticas de AWS segurança, as credenciais temporárias AWS gerenciadas não permitem que alguns comandos sejam executados. Em vez disso, você pode executar esses comandos a partir de uma instalação separada do AWS Command Line Interface (AWS CLI).
Execute o IAM attach-group-policy
comando, especificando o nome do grupo e o Amazon Resource Name (ARN) da política.
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
No comando anterior, substitua MyGroup
pelo nome do grupo. 123456789012
Substitua pelo ID AWS da conta. Substitua MyPolicy
pelo nome da política gerenciada pelo cliente.
Exemplos de políticas gerenciadas pelo cliente para equipes que usam o AWS Cloud9
Veja a seguir alguns exemplos de políticas que podem ser usadas para restringir os ambientes que os usuários de um grupo podem criar em uma Conta da AWS.
Impedir que os usuários de um grupo criem ambientes
A seguinte política gerenciada pelo cliente, quando vinculada a um grupo de AWS Cloud9 usuários, impede que esses usuários criem ambientes em um Conta da AWS. Isso é útil se você quiser que um usuário administrador gerencie Conta da AWS a criação de ambientes. Caso contrário, os usuários de um grupo de AWS Cloud9 usuários fazem isso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
A política gerenciada pelo cliente anterior substitui "Effect":
"Allow"
explicitamente a política AWSCloud9User
gerenciada que já está anexada ao grupo de usuários. "Action": "cloud9:CreateEnvironmentEC2"
"cloud9:CreateEnvironmentSSH"
"Resource": "*"
AWS Cloud9
Impedir que usuários de um grupo EC2 criem ambientes
A seguinte política gerenciada pelo cliente, quando vinculada a um grupo de AWS Cloud9 usuários, impede que esses usuários criem EC2 ambientes em um Conta da AWS. Isso é útil se você quiser que um usuário administrador gerencie Conta da AWS a criação de EC2 ambientes. Caso contrário, os usuários de um grupo de AWS Cloud9 usuários fazem isso. Isso pressupõe que você também não tenha anexado uma política que impeça os usuários desse grupo de criar SSH ambientes. Caso contrário, esses usuários não poderão criar ambientes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
A política gerenciada pelo cliente anterior substitui "Effect":
"Allow"
explicitamente a política AWSCloud9User
gerenciada que já está anexada ao grupo de usuários. "Action": "cloud9:CreateEnvironmentEC2"
"Resource": "*"
AWS Cloud9
Permita que os usuários de um grupo criem EC2 ambientes somente com tipos específicos de EC2 instância da Amazon
A política gerenciada pelo cliente a seguir, quando vinculada a um AWS Cloud9 grupo de usuários, permite que os usuários do grupo de usuários criem EC2 ambientes que usam apenas tipos de instância começando com t2
um Conta da AWS. Essa política pressupõe que você também não anexou uma política que impeça os usuários desse grupo de criar EC2 ambientes. Caso contrário, esses usuários não poderão criar EC2 ambientes.
É possível substituir "t2.*"
na política a seguir por uma classe de instância diferente (por exemplo, "m4.*"
). Ou você pode restringir para várias classes de instância ou tipos de instância (por exemplo, [ "t2.*", "m4.*" ]
ou [
"t2.micro", "m4.large" ]
).
Para um grupo de AWS Cloud9 usuários, separe a política AWSCloud9User
gerenciada do grupo. Depois, adicione a seguinte política gerenciada pelo cliente em seu lugar. Se você não desanexar a política gerenciada AWSCloud9User
, a política gerenciada pelo cliente a seguir não terá nenhum efeito.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
A política anterior gerenciada pelo cliente também permite que esses usuários criem SSH ambientes. Para evitar que esses usuários criem SSH ambientes por completo, "cloud9:CreateEnvironmentSSH",
remova a política anterior gerenciada pelo cliente.
Permita que os usuários de um grupo criem apenas um único EC2 ambiente em cada Região da AWS
A seguinte política gerenciada pelo cliente, quando anexada a um grupo de AWS Cloud9 usuários, permite que cada um desses usuários crie no máximo um EC2 ambiente em cada um Região da AWS que AWS Cloud9 esteja disponível em. Isso é feito ao restringir o nome do ambiente para um nome específico nessa Região da AWS. Neste exemplo, o ambiente é restrito a my-demo-environment
.
nota
AWS Cloud9 não permite restringir a criação Regiões da AWS de ambientes específicos. AWS Cloud9 também não permite restringir o número geral de ambientes que podem ser criados. A única exceção são os limites de serviço publicados.
Para um grupo de AWS Cloud9 usuários, separe a política AWSCloud9User
gerenciada do grupo e adicione a seguinte política gerenciada pelo cliente em seu lugar. Se você não desanexar a política gerenciada AWSCloud9User
, a política gerenciada pelo cliente a seguir não terá nenhum efeito.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
A política anterior gerenciada pelo cliente permite que esses usuários criem SSH ambientes. Para evitar que esses usuários criem SSH ambientes por completo, "cloud9:CreateEnvironmentSSH",
remova a política anterior gerenciada pelo cliente.
Para obter mais exemplos, consulte Exemplos de política gerenciada pelo cliente.
Próximas etapas
Tarefa | Consulte este tópico |
---|---|
Crie um ambiente de AWS Cloud9 desenvolvimento e, em seguida, use o AWS Cloud9 IDE para trabalhar com código em seu novo ambiente. |
|
Aprenda a usar o AWS Cloud9 IDE. |
|
Convide outras pessoas para usar o novo ambiente junto com você, em tempo real e com suporte para conversa por texto. |