Schritt 1: Erstellen einer vom Kunden verwalteten Richtlinie Schritt 2: Hinzufügen von kundenverwalteten Richtlinien zu einer Gruppe Beispiele für eine vom Kunden verwaltete Richtlinie für Teams mithilfe von AWS Cloud9 Nächste Schritte

Zusätzliche Einrichtungsoptionen für AWS Cloud9 (Team und Enterprise)

In diesem Thema wird davon ausgegangen, dass Sie die Einrichtungsschritte in Team-Einrichtung oder Enterprise-Einrichtung bereits abgeschlossen haben.

In Team-Einrichtung oder Enterprise-Einrichtung haben Sie Gruppen erstellt und AWS Cloud9-Zugriffsberechtigungen direkt zu diesen Gruppen hinzugefügt. Dadurch wird sichergestellt, dass Benutzer in diesen Gruppen auf AWS Cloud9 zugreifen können. In diesem Thema fügen Sie weitere Zugriffsberechtigungen hinzu, um die Arten von Umgebungen einzuschränken, die Benutzer in diesen Gruppen erstellen können. Dadurch können Kosten im Zusammenhang mit AWS Cloud9 in AWS-Konten und -Organisationen kontrolliert werden.

Zum Hinzufügen dieser Zugriffsberechtigungen erstellen Sie Ihre eigenen Richtlinien, die die AWS-Zugriffsberechtigungen definieren, die Sie durchsetzen möchten. Wir bezeichnen jede dieser Richtlinien als eine vom Kunden verwaltete Richtlinie. Dann fügen Sie diese vom Kunden verwalteten Richtlinien an die Gruppen an, zu denen die Benutzer gehören. In einigen Szenarien müssen Sie auch bereits bestehende AWS-verwaltete Richtlinien trennen, die bereits an diese Gruppen angefügt sind. Um dies einzurichten, führen Sie die Schritte in diesem Thema aus.

Anmerkung

Die folgenden Verfahren decken nur das Anzufügen und Trennen von Richtlinien für AWS Cloud9-Benutzer ab. Bei diesen Verfahren wird davon ausgegangen, dass Sie bereits über eine separate AWS Cloud9-Benutzer- undAWS Cloud9-Administratorgruppe verfügen. Außerdem wird vorausgesetzt, dass Sie nur eine begrenzte Anzahl von Benutzern in der AWS Cloud9-Administratorgruppe konfiguriert haben. Mit dieser Best Practice für die AWS-Sicherheit können Sie Probleme mit dem AWS-Ressourcenzugriff besser kontrollieren, verfolgen und beheben.

Schritt 1: Erstellen einer vom Kunden verwalteten Richtlinie
Schritt 2: Hinzufügen einer vom Kunden verwalteten Richtlinie zu einer Gruppe
Beispiele für eine vom Kunden verwaltete Richtlinie für Teams, die AWS Cloud9 verwenden

Schritt 1: Erstellen einer vom Kunden verwalteten Richtlinie

Sie können eine vom Kunden verwaltete Richtlinie mit der AWS Management Console oder AWS-Befehlszeilenschnittstelle (AWS CLI) erstellen.

Anmerkung

Dieser Schritt umfasst das Erstellen einer vom Kunden verwalteten Richtlinie für IAM-Gruppen. Wenn Sie einen benutzerdefinierten Berechtigungssatz für Gruppen in AWS IAM Identity Center erstellen möchten, überspringen Sie diesen Schritt und befolgen Sie stattdessen die Anweisungen unter Erstellen eines Berechtigungssatzes im Benutzerhandbuch zu AWS IAM Identity Center. Befolgen Sie in diesem Thema die Anweisungen zum Erstellen eines benutzerdefinierten Berechtigungssatzes. Weitere Informationen zu benutzerdefinierten Berechtigungsrichtlinien finden Sie unter Beispiele für vom Kunden verwaltete Richtlinien für Teams, die AWS Cloud9 verwenden später in diesem Thema.

Erstellen einer vom Kunden verwalteten Richtlinie mithilfe der Konsole

Melden Sie sich bei der AWS Management Console an, sofern Sie noch nicht angemeldet sind.

Wir empfehlen Ihnen, sich mit Anmeldeinformationen eines Administratorbenutzers bei Ihrem AWS-Konto anzumelden. Falls dies nicht möglich ist, wenden Sie sich an Ihren AWS-Konto-Administrator.
Öffnen Sie die IAM-Konsole. Wählen Sie dazu in der Navigationsleiste der Konsole die Option Services aus. Wählen Sie anschließend IAM.
Wählen Sie im Navigationsbereich des Services Policies (Richtlinien) aus.
Wählen Sie Create Policy (Richtlinie erstellen) aus.
Fügen Sie in der Registerkarte JSON eines unserer empfohlenen Beispiele für vom Kunden verwaltete Richtlinien ein.

Anmerkung
Zudem können Sie Ihre eigenen vom Kunden verwalteten Richtlinien erstellen. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch und in der Dokumentation des AWS-Services.
Wählen Sie Review policy (Richtlinie prüfen).
Geben Sie auf der Seite Review policy (Richtlinie überprüfen) einen Name (Namen) und eine optionale Description (Beschreibung) für die Richtlinie ein. Wählen Sie anschließend Create policy (Richtlinie erstellen) aus.

Wiederholen Sie diesen Schritt für jede weitere vom Kunden verwaltete Richtlinie, die Sie erstellen möchten. Fahren Sie dann mit dem Schritt Hinzufügen von vom Kunden verwaltete Richtlinien zu einer Gruppe mithilfe der Konsole fort.

Erstellen einer vom Kunden verwalteten Richtlinie mithilfe von AWS CLI

Wenn Sie auf dem Computer die AWS CLI ausführen, erstellen Sie eine Datei, um die Richtlinie zu beschreiben (zum Beispiel policy.json).

Wenn Sie die Datei mit einem anderen Dateinamen erstellen, muss dieser in dieser gesamten Anleitung verwendet werden.
Fügen Sie eines unserer vorgeschlagenen Beispiele für vom Kunden verwaltete Richtlinie in die policy.json-Datei ein.

Anmerkung
Zudem können Sie Ihre eigenen vom Kunden verwalteten Richtlinien erstellen. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienreferenz im IAM-Benutzerhandbuch und in der Dokumentation des AWS-Services.
Wechseln Sie im Terminal oder in der Eingabeaufforderung zum Verzeichnis mit der policy.json-Datei.
Führen Sie den IAM-create-policy-Befehl aus und geben Sie einen Namen für die Richtlinie und die policy.json-Datei an.
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
Ersetzen Sie im vorherigen Befehl MyPolicy durch einen Namen für die Richtlinie.

Fahren Sie fort mit Hinzufügen von vom Kunden verwalteten Richtlinien mithilfe einer AWS CLI zu einer Gruppe.

Schritt 2: Hinzufügen von kundenverwalteten Richtlinien zu einer Gruppe

Sie können vom Kunden verwaltete Richtlinie mit der AWS Management Console oder der AWS-Befehlszeilenschnittstelle (AWS CLI) zu einer Gruppe hinzufügen.

Anmerkung

Dieser Schritt umfasst nur das Hinzufügen von durch Kunden verwalteten Richtlinien zu IAM-Gruppen. Um benutzerdefinierte Berechtigungssätze für Gruppen in AWS IAM Identity Center hinzuzufügen, überspringen Sie diesen Schritt und befolgen Sie stattdessen die Anweisungen unter Benutzerzugriff zuweisen im Benutzerhandbuch zu AWS IAM Identity Center.

Hinzufügen von vom Kunden verwalteten Richtlinien mithilfe der Konsole zu einer Gruppe

Wählen Sie mit der aus dem vorherigen Schritt geöffneten IAM-Konsole im Navigationsbereich des Services Gruppen aus.
Wählen Sie den Namen der Gruppe.
Wählen Sie auf der Registerkarte Permissions (Berechtigungen) für Managed Policies (Verwaltete Richtlinien) die Option Attach Policy (Richtlinie anfügen) aus.
Aktivieren Sie in der Liste der Richtliniennamen das Kontrollkästchen neben den einzelnen vom Kunden verwalteten Richtlinien, die Sie der Gruppe anfügen möchten. Wenn Sie keinen bestimmten Richtliniennamen in der Liste sehen, geben Sie den Richtliniennamen im Feld Filter ein, um ihn anzuzeigen.
Wählen Sie Attach Policy.

Hinzufügen von vom Kunden verwalteten Richtlinien mithilfe der AWS CLI zu einer Gruppe

Anmerkung

Wenn Sie von AWS verwaltete temporäre Anmeldeinformationen verwenden, können Sie keine Terminalsitzung in der AWS Cloud9 IDE verwenden, um einige oder alle Befehle in diesem Abschnitt auszuführen. Um den bewährten Methoden der AWS-Sicherheit gerecht zu werden, können mit AWS-verwalteten temporären Anmeldeinformationen einige Befehle nicht ausgeführt werden. Sie können diese Befehle stattdessen über eine eigene Installation der AWS Command Line Interface (AWS CLI) ausführen.

Führen Sie den IAM-attach-group-policy-Befehl aus und geben Sie den Namen der Gruppe und den Amazon Resource Name (ARN) der Richtlinie an.


aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy

Ersetzen Sie im vorherigen Befehl MyGroup durch den Namen der Gruppe. Ersetzen Sie 123456789012 durch Ihre AWS-Konto-ID. Ersetzen Sie MyPolicy durch den Namen der vom Kunden verwalteten Richtlinie.

Beispiele für eine vom Kunden verwaltete Richtlinie für Teams mithilfe von AWS Cloud9

Im Folgenden finden Sie einige Beispiele für Richtlinien, die Sie verwenden können, um die Umgebungen zu beschränken, die Benutzer in einer Gruppe in einem AWS-Konto erstellen können.

Benutzer einer Gruppe am Erstellen von Umgebungen hindern
Benutzer einer Gruppe am Erstellen von EC2-Umgebungen hindern
Zulassen, dass Benutzer in einer Gruppe EC2-Umgebungen nur mit bestimmten Instance-Typen von Amazon-EC2 erstellen können
Zulassen, dass Benutzer in einer Gruppe nur eine einzelne EC2-Umgebung pro AWS-Region erstellen können

Benutzer einer Gruppe am Erstellen von Umgebungen hindern

Wenn die folgende vom Kunden verwaltete Richtlinie an eine AWS Cloud9-Benutzergruppe angefügt wird, hindert sie diese Benutzer am Erstellen von Umgebungen in einem AWS-Konto. Dies ist nützlich, wenn Sie möchten, dass ein Administratorbenutzer in Ihrem AWS-Konto das Erstellen von Umgebungen verwaltet. Andernfalls übernehmen dies die Benutzer in einer AWS Cloud9-Benutzergruppe.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}

Beachten Sie, dass die vorhergehende vom Kunden verwaltete Richtlinie explizit "Effect": "Allow" für "Action": "cloud9:CreateEnvironmentEC2" und "cloud9:CreateEnvironmentSSH" mit "Resource": "*" in der von AWSCloud9User verwalteten Richtlinie überschreibt, die bereits an die AWS Cloud9-Benutzergruppe angefügt ist.

Benutzer einer Gruppe am Erstellen von EC2-Umgebungen hindern

Wenn die folgende vom Kunden verwaltete Richtlinie an eine AWS Cloud9-Benutzergruppe angefügt wird, hindert sie diese Benutzer am Erstellen von EC2-Umgebungen in einem AWS-Konto. Dies ist nützlich, wenn Sie möchten, dass ein Administratorbenutzer in Ihrem AWS-Konto das Erstellen von EC2-Umgebungen verwaltet. Andernfalls übernehmen dies die Benutzer in einer AWS Cloud9-Benutzergruppe. Dies setzt voraus, dass Sie nicht auch eine Richtlinie angefügt haben, die Benutzer in dieser Gruppe am Erstellen von SSH-Umgebungen hindert. Andernfalls können diese Benutzer keine Umgebungen erstellen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

Die vorhergehende vom Kunden verwaltete Richtlinie überschreibt explizit "Effect": "Allow" für "Action": "cloud9:CreateEnvironmentEC2" in "Resource": "*" in der von AWSCloud9User verwalteten Richtlinie, die bereits an die AWS Cloud9-Benutzergruppe angefügt ist.

Zulassen, dass Benutzer in einer Gruppe EC2-Umgebungen nur mit bestimmten Instance-Typen von Amazon-EC2 erstellen können

Wenn die folgende vom Kunden verwaltete Richtlinie an eine AWS Cloud9-Benutzergruppe angefügt ist, können die Benutzer in dieser Gruppe EC2-Umgebungen erstellen, die nur Instance-Typen beginnend mit t2 in einem AWS-Konto verwenden. Diese Richtlinie setzt voraus, dass Sie nicht auch eine Richtlinie angefügt haben, die Benutzer in dieser Gruppe am Erstellen von EC2-Umgebungen hindert. Andernfalls können diese Benutzer keine EC2-Umgebungen erstellen.

Sie können "t2.*" in der folgenden Richtlinie mit einer anderen Instance-Klasse ersetzen (z. B. "m4.*"). Oder Sie können sie auf mehrere Instance-Klassen und Instance-Typen beschränken (z. B. [ "t2.*", "m4.*" ] oder [ "t2.micro", "m4.large" ]).

Trennen Sie für eine AWS Cloud9-Benutzergruppe die von AWSCloud9User verwaltete Richtlinie von der Gruppe. Fügen Sie dann die folgende vom Kunden verwaltete Richtlinie an ihrer Stelle hinzu. Wenn Sie die von AWSCloud9User verwaltete Richtlinie nicht trennen, hat die folgende vom Kunden verwaltete Richtlinie keine Wirkung.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

Die vorhergehende vom Kunden verwaltete Richtlinie erlaubt den Benutzern auch das Erstellen von SSH-Umgebungen. Um diese Benutzer komplett am Erstellen von SSH-Umgebungen zu hindern, entfernen Sie "cloud9:CreateEnvironmentSSH", aus der vorhergehenden vom Kunden verwalteten Richtlinie.

Zulassen, dass Benutzer in einer Gruppe nur eine einzelne EC2-Umgebung pro AWS-Region erstellen können

Wenn die folgende vom Kunden verwaltete Richtlinie an eine AWS Cloud9-Benutzergruppe angefügt ist, erlaubt sie jedem dieser Benutzer, maximal eine EC2-Umgebung pro AWS-Region zu erstellen, in der AWS Cloud9 verfügbar ist. Dies geschieht, indem der Name der Umgebung auf einen bestimmten Namen in dieser AWS-Region beschränkt wird. In diesem Beispiel ist die Umgebung auf my-demo-environment beschränkt.

Anmerkung

Mit AWS Cloud9 können Umgebungen, die erstellt werden, nicht auf bestimmte AWS-Regionen beschränkt werden. AWS Cloud9 ermöglicht auch keine Beschränkung der Gesamtanzahl der Umgebungen, die erstellt werden können. Die einzige Ausnahme sind die veröffentlichten Servicelimits.

Für eine AWS Cloud9-Benutzergruppe trennen Sie die AWSCloud9User verwaltete Richtlinie von der Gruppe und fügen Sie dann an dieser Stelle die folgende vom Benutzer verwaltete Richtlinie hinzu. Wenn Sie die von AWSCloud9User verwaltete Richtlinie nicht trennen, hat die folgende vom Kunden verwaltete Richtlinie keine Wirkung.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

Die vorhergehende vom Kunden verwaltete Richtlinie erlaubt den Benutzern das Erstellen von SSH-Umgebungen. Um diese Benutzer komplett am Erstellen von SSH-Umgebungen zu hindern, entfernen Sie "cloud9:CreateEnvironmentSSH", aus der vorhergehenden vom Kunden verwalteten Richtlinie.

Weitere Beispiele finden Sie unter Beispiele für vom Kunden verwaltete Richtlinien.

Nächste Schritte

Aufgabe	Weitere Informationen finden Sie in diesem Thema
Erstellen Sie eine AWS Cloud9 Entwicklungsumgebung, und verwenden Sie dann die AWS Cloud9 IDE, um mit dem Code in Ihrer neuen Umgebung zu arbeiten.	Erstellen einer Umgebung
Erfahren Sie, wie Sie die AWS Cloud9 IDE verwenden.	Erste Schritte: grundlegende Tutorials und Arbeiten mit der IDE
Laden Sie andere Benutzer ein, die neue Umgebung in Echtzeit und mit Text-Chat-Unterstützung mit Ihnen gemeinsam zu nutzen.	Arbeiten mit gemeinsamen Umgebungen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Enterprise-Einrichtung

Erste Schritte: grundlegende Tutorials