本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Cloud9 的企業設定
此主題說明如何使用 AWS IAM Identity Center
警告
為避免安全風險,在開發專用軟體或使用真實資料時,請勿使用 IAM 使用者進行身分驗證。相反地,搭配使用聯合功能和身分提供者,例如 AWS IAM Identity Center。
這些指示假設您在 AWS Organizations 中具有或將具有組織的管理存取權。如果您在 AWS Organizations 中還沒有組織的管理存取權,請洽詢您的 AWS 帳戶管理員。如需詳細資訊,請參閱下列資源:
-
在 AWS 組織使用者指南中 (IAM Identity Center 需要使用 AWS Organizations),為您的 AWS 組織管理存取許可
-
AWS IAM Identity Center 使用者指南中的管理 IAM Identity Center 資源存取許可概觀
-
使用 AWS Control Tower,這是一項您可以用來設定和控管 AWS 多帳戶環境的服務。AWS Control Tower 配合其他 AWS 服務的功能 (包括 AWS Organizations、AWS Service Catalog 和 AWS IAM Identity Center),在不到一小時的時間內建置登陸區域。
如需本主題相關的簡介資訊,請參閱下列資源:
-
AWS Organizations 使用者指南 (IAM Identity Center 需要使用 AWS Organizations) 中的 AWS Organizations 是什麼
-
《AWS IAM Identity Center 使用者指南》中的什麼是 AWS IAM Identity Center
-
AWS Control Tower 使用者指南中的開始使用 AWS Control Tower
-
:如何開 OrganAWS izations 使用AWS
YouTube
以下概念圖顯示您最後得到的結果。
若要讓一或多個 AWS 帳戶可在企業內開始使用 AWS Cloud9,請根據您已有的 AWS 資源遵循步驟。
| 您在 AWS Organizations 中是否有 AWS 帳戶可以或已經做為組織的管理帳戶? | 您在 AWS Organizations 中是否已有所屬該管理帳戶的組織? | 所有所需 AWS 帳戶都是該組織的成員嗎? | 該組織是否設定為使用 IAM Identity Center? | 該組織是否已設定所有想要使用 AWS Cloud9 的必要群組和使用者? | 由此步驟開始 |
|---|---|---|---|---|---|
|
否 |
— |
— |
— |
— |
|
|
是 |
否 |
— |
— |
— |
|
|
是 |
是 |
否 |
— |
— |
|
|
是 |
是 |
是 |
否 |
— |
|
|
是 |
是 |
是 |
是 |
否 |
|
|
是 |
是 |
是 |
是 |
是 |
步驟 1:建立組織的管理帳戶
注意
您的企業可能已為您設定管理帳戶。如果您的企業有 AWS 帳戶管理員,在開始進行以下程序前,請先洽詢該管理員。如果您已經有管理帳戶,請跳到步驟 2:為管理帳戶建立組織。
若要使用 AWS IAM Identity Center (IAM Identity Center),您必須具有 AWS 帳戶。您的 AWS 帳戶充當 AWS Organizations 中組織的管理帳戶。如需詳細資訊,請參閱 AWS Organizations 使用者指南中 AWS Organizations 詞彙與概念的管理帳戶相關討論。
若要觀看與以下程序相關的 4 分鐘示範影片,請參閱上的建立 Amazon Web Services 帳戶
如何建立管理帳戶:
-
選擇 Sign In to the Console (登入主控台)。
-
選擇 Create a new (建立新的) AWS 帳戶。
-
依照螢幕上的指示完成整個流程,步驟包括向 AWS 提供您的電子郵件地址和信用卡資訊。您還必須使用手機輸入 AWS 傳給您的驗證碼。
帳戶建立完成後,AWS 會傳送確認電子郵件給您。未收到該項確認前切勿前往下一個步驟。
步驟 2:為管理帳戶建立組織
注意
您的企業可能已設定 AWS Organizations 來使用管理帳戶。如果您的企業有 AWS 帳戶管理員,在開始進行以下程序前,請先洽詢該管理員。如果您已設定 AWS Organizations 來使用管理帳戶,請跳到步驟 3:將成員帳戶新增至組織。
若要使用 IAM Identity Center,您在 AWS Organizations 中必須有使用管理帳戶的組織。如需詳細資訊,請參閱 AWS Organizations 使用者指南中 AWS Organizations 詞彙與概念的組織相關討論。
若要在 AWS Organizations 中為管理 AWS 帳戶建立組織,請按照《AWS Organizations 使用者指南》中的這些指示進行:
若要觀看與這些程序相關的 4 分鐘示範影片知識中心影片AWS知識中心影片知識中心影片知識中心影片知 OrganAWS izations
步驟 3:將成員帳戶新增至組織
注意
您的企業可能已在 AWS Organizations 中設定需要的成員帳戶。如果您的企業有 AWS 帳戶管理員,在開始進行以下程序前,請先洽詢該管理員。如果您已在 AWS Organizations 中設定需要的成員帳戶,請跳到步驟 4:在整個組織啟用 IAM Identity Center。
在此步驟中,您會在 AWS Organizations 中新增任何 AWS 帳戶來充當組織的成員帳戶。如需詳細資訊,請參閱 AWS Organizations 使用者指南中 AWS Organizations 詞彙與概念的成員帳戶相關討論。
注意
您不需要將任何成員帳戶新增至組織。您在組織中只需要單一管理帳戶就可以使用 IAM Identity Center。之後,需要的話,您可以將成員帳戶新增至組織。如果您現在不想新增任何成員帳戶,請跳到步驟 4:在整個組織啟用 IAM Identity Center。
若要在 AWS Organizations 中將成員帳戶新增至組織,請按照以下一組或兩組 AWS Organizations 使用者指南中的指示操作。視需要不斷重複操作這些指示,直到您需要的所有 AWS 帳戶都成為組織的成員為止:
步驟 4:在整個組織啟用 IAM Identity Center
注意
您的企業可能已設定 AWS Organizations 來使用 IAM Identity Center。如果您的企業有 AWS 帳戶管理員,在開始進行以下程序前,請先洽詢該管理員。如果您已設定 AWS Organizations 來使用 IAM Identity Center,請跳到步驟 5. 在組織內設定群組和使用者。
在此步驟中,您將讓組織在 AWS Organizations 中使用 IAM Identity Center。若要執行此作業,請遵循 AWS IAM Identity Center使用者指南中的這些說明:
步驟 5. 在組織內設定群組和使用者
注意
您的企業可能已在 AWS Organizations 中設定來自 IAM Identity Center 目錄,或來自 AWS Managed Microsoft AD 或 AD Connector 目錄 (在 AWS Directory Service 中管理) 的群組和使用者。如果您的企業有 AWS 帳戶管理員,在開始進行以下程序前,請先洽詢該管理員。如果您已在 AWS Organizations 中設定來自 IAM Identity Center 目錄 AWS Directory Service 的使用者和群組,請跳到步驟 6。讓組織內的群組和使用者使用 AWS Cloud9。
在此步驟中,您會在 IAM Identity Center 目錄中為組織建立群組和使用者。或者,您會連線到 AWS Directory Service 中針對組織管理的 AWS Managed Microsoft AD 或 AD Connector 目錄。在後續步驟中,您將提供必要的存取許可給群組來使用 AWS Cloud9。
-
如果您為組織使用 IAM Identity Center 目錄,請依照 AWS IAM Identity Center使用者指南中的指示進行。視需要不斷重複以下步驟,直到有您想要的所有群組和使用者為止:
-
新增群組。建議您針對整個組織的任何 AWS Cloud9 管理員建立至少一個群組。然後,重複此步驟,針對整個組織的所有 AWS Cloud9 使用者建立另一個群組。(選用) 您還可以重複此步驟,針對整個組織的所有使用者建立第三個群組,而與他們共用現有的 AWS Cloud9 開發環境。但是,不允許他們自行建立環境。為了簡單使用,我們建議將這些群組分別命名為
AWSCloud9Administrators、AWSCloud9Users和AWSCloud9EnvironmentMembers。如需詳細資訊,請參閱 AWS Cloud9 的 AWS 受管 (預先定義) 政策。 -
將使用者新增至群組。將任何 AWS Cloud9 管理員新增至
AWSCloud9Administrators群組,然後重複此步驟,將 AWS Cloud9 使用者新增至AWSCloud9Users群組。也可以選擇性地重複此步驟,將任何剩餘的使用者新增至AWSCloud9EnvironmentMembers群組。將使用者新增至群組是 AWS 安全最佳實務,可協助您進一步控制、追蹤和排除 AWS 資源存取的問題。
-
-
如果您使用的是您在 AWS Directory Service 中針對組織管理的 AWS Managed Microsoft AD 或 AD Connector 目錄,請參閱《AWS IAM Identity Center 使用者指南》中的連線至 Microsoft AD 目錄。
步驟 6:讓組織內的群組和使用者使用 AWS Cloud9
根據預設,AWS Organizations 中組織的大多數使用者和群組無法存取任何 AWS 服務,包括 AWS Cloud9。在此步驟中,您將在 AWS Organizations 中使用 IAM Identity Center 來允許整個組織的群組和使用者,在參與帳戶的任意組合內使用 AWS Cloud9。
-
在 IAM Identity Center 主控台
中,從服務導覽窗格中選擇 AWS 帳戶。 -
選擇 Permission sets (許可集合) 標籤。
-
選擇 Create permission set (建立許可集合) 設定。
-
選取 Create a custom permission set (建立自訂許可集合)。
-
輸入此許可集合的 Name (名稱)。建議您針對整個組織的任何 AWS Cloud9 管理員建立至少一個許可集合。然後,重複此程序中的步驟 3 到 10,針對組織中的所有 AWS Cloud9 使用者建立另一個許可集合。您還可以選擇性地重複此程序的步驟 3 到 10,針對整個組織的所有使用者建立第三個許可集合,而與他們共用現有的 AWS Cloud9 開發環境。但是,不允許他們自行建立環境。為了簡單使用,我們建議將這些許可集合分別命名為
AWSCloud9AdministratorsPerms、AWSCloud9UsersPerms和AWSCloud9EnvironmentMembersPerms。如需詳細資訊,請參閱 AWS Cloud9 的 AWS 受管 (預先定義) 政策。 -
輸入許可集合的選用 Description (描述)。
-
選擇許可集合的 Session duration (工作階段持續時間),或保留預設的工作階段持續時間 1 hour (1 小時)。
-
選取 Attach AWS managed policies (連接 AWS 受管政策)。
-
在政策清單中,從正確的 Policy name (政策名稱) 項目旁選取以下其中一個方塊。(請勿直接選擇政策名稱。如果您在清單中看不到某個政策名稱,請在 Search (搜尋) 方塊中輸入政策名稱讓它顯示。)
-
針對
AWSCloud9AdministratorsPerms權限集,選取AWSCloud9Administrator。 -
針對
AWSCloud9UsersPerms權限集,選取AWSCloud9User。 -
或者,針對
AWSCloud9EnvironmentMembersPerms權限集,選取AWSCloud9EnvironmentMember。
-
-
選擇 建立 。
-
當您所需的所有許可集合都完成建立時,請在 AWS organization (AWS 組織) 索引標籤上,選擇您要指派 AWS Cloud9 存取許可的 AWS 帳戶。如果看不到 AWS organization (AWS 組織) 索引標籤,請在服務導覽窗格中,選擇 AWS 帳戶。這會顯示 AWS organization (AWS 組織) 索引標籤。
-
選擇 Assign users (指派使用者)。
-
在 Groups (群組) 索引標籤中,選取您要指派 AWS Cloud9 存取許可的群組名稱旁的方塊。請勿選擇群組名稱本身。
-
如果您為組織使用 IAM Identity Center 目錄,您可能已為管理員建立名AWSCloud9Administrators為AWS Cloud9管理員的群組。
-
如果您使用的是您在 AWS Directory Service 中針對組織管理的 AWS Managed Microsoft AD 或 AD Connector 目錄,請選擇目錄的 ID。接著,輸入群組的部分或全部名稱,然後選擇 Search connected directory (搜索連線的目錄)。最後,選擇您要指派 AWS Cloud9 存取許可的群組名稱旁的方塊。
注意
我們建議指派 AWS Cloud9 存取許可給群組,而不是個別使用者。此 AWS 安全最佳實務可協助您進一步控制、追蹤 AWS 資源存取問題並進行故障診斷。
-
-
選擇 Next: Permission sets (下一步:許可集合)。
-
選取您要指派給此群組的許可集合名稱旁的方塊 (例如,AWSCloud9AdministratorsPerms為AWS Cloud9管理員選取)。請勿選擇許可集合名稱本身。
-
選擇 Finish (完成)。
-
選擇 Proceed to AWS 帳戶 (繼續前往 AWS 帳戶)。
-
如果您還要為整個組織指派任何其他 AWS Cloud9 存取許可給 AWS 帳戶,請重複此程序的步驟 11 到 17。
步驟 3:開始使用 AWS Cloud9
完成本主題的上述步驟後,您和您的使用者就可以登入 IAM Identity Center 並開始使用 AWS Cloud9。
-
如果您已登入 AWS 帳戶或 IAM Identity Center,請登出。若要執行此操作,請參閱 AWS 支援網站中的如何登出我的 AWS 帳戶
,或 AWS IAM Identity Center 使用者指南中的如何登出使用者入口網站。 -
若要登入 IAM Identity Center,請遵循 AWS IAM Identity Center使用者指南中的如何接受邀請加入 IAM Identity Center 進行操作。這包括前往唯一的登入 URL,然後以唯一的登入憑證登入。您的 AWS 帳戶管理員將以電子郵件將此資訊寄給您,或透過其他方式提供給您。
注意
請務必將提供給您的唯一登入 URL 加上書籤。如此,您稍後就可以在輕鬆返回其中。此外,請務必將此 URL 的唯一登入憑證存放在安全位置。
這個由 URL、使用者名稱和密碼形成的組合也可能不同,視 AWS 帳戶管理員提供的不同層級 AWS Cloud9 存取許可而定。例如,您可能使用一個 URL、使用者名稱和密碼,以取得某個帳戶的 AWS Cloud9 管理員存取權。您可能使用不同的 URL、使用者名稱和密碼,只允許 AWS Cloud9 使用者存取不同的帳戶。
-
在您登入 IAM Identity Center 之後,請選擇 AWS 帳戶 圖磚。
-
從顯示的下拉式清單中,選擇使用者的顯示名稱。如果出現多個名稱,請選擇您要用來開始使用 AWS Cloud9 的名稱。如果您不確定選擇哪個名稱,請洽詢您的 AWS 帳戶管理員。
-
選擇使用者的顯示名稱旁的 Management console (管理主控台) 連結。如果出現多個 Management console (管理主控台) 連結,請選擇正確許可集合旁的連結。如果您不確定選擇哪個連結,請洽詢您的 AWS 帳戶管理員。
-
從 AWS Management Console,執行以下其中一項:
-
選擇 Cloud9 (如果已顯示)。
-
展開 All services (所有服務),然後選擇 Cloud9。
-
在 Find services (尋找服務) 方塊中,輸入 Cloud9,然後按
Enter。 -
在 AWS 導覽列中,選擇 Services (服務),然後選擇 Cloud9。
-
AWS Cloud9 主控台隨即顯示,而您可以開始使用 AWS Cloud9。
後續步驟
| 任務 | 參閱此主題 |
|---|---|
|
建立 AWS Cloud9 開發環境,然後使用 AWS Cloud9 IDE 在您的新環境中使用程式碼。 |
|
|
了解如何使用 AWS Cloud9 IDE。 |
|
|
邀請其他人與您即時透過文字聊天支援功能一起使用您的新環境。 |
