AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Identity and Access Management para AWS Cloud9
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede autenticarse (iniciar sesión) y quién puede autorizarse (tener permisos) para usar los recursos. AWS Cloud9 La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
Temas
Público
La forma de usar AWS Identity and Access Management (IAM) varía según el trabajo en el que se realice. AWS Cloud9
Usuario del servicio: si utiliza el AWS Cloud9 servicio para realizar su trabajo, el administrador le proporcionará las credenciales y los permisos que necesita. A medida que vaya utilizando más AWS Cloud9 funciones para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarle a solicitar los permisos correctos al administrador. Si no puede acceder a una característica en AWS Cloud9, consulte Solución de problemas de AWS Cloud9 identidad y acceso.
Administrador de servicios: si estás a cargo de AWS Cloud9 los recursos de tu empresa, probablemente tengas acceso total a ellos AWS Cloud9. Su trabajo consiste en determinar a qué AWS Cloud9 funciones y recursos deben acceder los usuarios del servicio. Luego, debe enviar solicitudes a su gestionador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar la IAM AWS Cloud9, consulte¿Cómo AWS Cloud9 funciona con IAM.
Administrador de IAM: si es un administrador de IAM, es posible que quiera conocer más detalles sobre cómo escribir políticas para administrar el acceso a AWS Cloud9. Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad que puede utilizar en IAM, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Autenticación con identidades
La autenticación es la forma de iniciar sesión AWS con sus credenciales de identidad. Debe estar autenticado (con quien haya iniciado sesión AWS) como usuario de IAM o asumiendo una función de IAM. Usuario raíz de la cuenta de AWS
Puede iniciar sesión AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (Centro de identidades de IAM), la autenticación de inicio de sesión único de su empresa y sus credenciales de Google o Facebook son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, su gestionador habrá configurado previamente la federación de identidades mediante roles de IAM. Cuando accedes AWS mediante la federación, estás asumiendo un rol de forma indirecta.
Según el tipo de usuario que sea, puede iniciar sesión en el portal AWS Management Console o en el de AWS acceso. Para obtener más información sobre cómo iniciar sesión AWS, consulte Cómo iniciar sesión Cuenta de AWS en su Guía del AWS Sign-In usuario.
Si accede AWS mediante programación, AWS proporciona un kit de desarrollo de software (SDK) y una interfaz de línea de comandos (CLI) para firmar criptográficamente sus solicitudes con sus credenciales. Si no utilizas AWS herramientas, debes firmar las solicitudes tú mismo. Para obtener más información sobre la firma de solicitudes, consulte AWS Signature Versión 4 para solicitudes API en la Guía del usuario de IAM.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, le AWS recomienda que utilice la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Autenticación multifactor en la Guía del usuario de AWS IAM Identity Center y Autenticación multifactor AWS en IAM en la Guía del usuario de IAM.
Cuenta de AWS usuario root
Al crear una Cuenta de AWS, comienza con una identidad de inicio de sesión que tiene acceso completo a todos Servicios de AWS los recursos de la cuenta. Esta identidad se denomina usuario Cuenta de AWS raíz y se accede a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizaste para crear la cuenta. Recomendamos encarecidamente que no utiliza el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulta Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.
Identidad federada
Como práctica recomendada, exija a los usuarios humanos, incluidos los que requieren acceso de administrador, que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una identidad federada es un usuario del directorio de usuarios de su empresa, un proveedor de identidades web AWS Directory Service, el directorio del Centro de Identidad o cualquier usuario al que acceda Servicios de AWS mediante las credenciales proporcionadas a través de una fuente de identidad. Cuando las identidades federadas acceden Cuentas de AWS, asumen funciones y las funciones proporcionan credenciales temporales.
Para una administración de acceso centralizada, le recomendamos que utiliza AWS IAM Identity Center. Puede crear usuarios y grupos en el Centro de identidades de IAM o puede conectarse y sincronizarse con un conjunto de usuarios y grupos de su propia fuente de identidad para usarlos en todas sus Cuentas de AWS aplicaciones. Para obtener más información, consulta ¿Qué es el Centro de identidades de IAM? en la Guía del usuario de AWS IAM Identity Center .
Usuarios y grupos de IAM
Un usuario de IAM es una identidad propia Cuenta de AWS que tiene permisos específicos para una sola persona o aplicación. Siempre que sea posible, recomendamos emplear credenciales temporales, en lugar de crear usuarios de IAM que tengan credenciales de larga duración como contraseñas y claves de acceso. No obstante, si tiene casos de uso específicos que requieran credenciales de larga duración con usuarios de IAM, recomendamos rotar las claves de acceso. Para más información, consulta Rotar las claves de acceso periódicamente para casos de uso que requieran credenciales de larga duración en la Guía del usuario de IAM.
Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puedes iniciar sesión como grupo. Puedes usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos para grandes conjuntos de usuarios. Por ejemplo, puede asignar un nombre a un grupo IAMAdminsy concederle permisos para administrar los recursos de IAM.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación, pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen credenciales de larga duración permanentes; no obstante, los roles proporcionan credenciales temporales. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.
Roles de IAM
Un rol de IAM es una identidad dentro de usted Cuenta de AWS que tiene permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Para asumir temporalmente un rol de IAM en el AWS Management Console, puede cambiar de un rol de usuario a uno de IAM (consola). Puedes asumir un rol llamando a una operación de AWS API AWS CLI o usando una URL personalizada. Para más información sobre los métodos para el uso de roles, consulta Métodos para asumir un rol en la Guía del usuario de IAM.
Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
-
Acceso de usuario federado: para asignar permisos a una identidad federada, puedes crear un rol y definir sus permisos. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información acerca de roles de federación, consulte Crear un rol para un proveedor de identidad de terceros (federación) en la Guía de usuario de IAM. Si utiliza el IAM Identity Center, debe configurar un conjunto de permisos. IAM Identity Center correlaciona el conjunto de permisos con un rol en IAM para controlar a qué puedes acceder las identidades después de autenticarse. Para obtener información acerca de los conjuntos de permisos, consulta Conjuntos de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Permisos de usuario de IAM temporales: un usuario de IAM puedes asumir un rol de IAM para recibir temporalmente permisos distintos que le permitan realizar una tarea concreta.
-
Acceso entre cuentas: puedes utilizar un rol de IAM para permitir que alguien (una entidad principal de confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principal de conceder acceso entre cuentas. Sin embargo, con algunas Servicios de AWS, puedes adjuntar una política directamente a un recurso (en lugar de usar un rol como proxy). Para obtener información acerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulta Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
-
Acceso entre servicios: algunos Servicios de AWS utilizan funciones en otros Servicios de AWS. Por ejemplo, cuando realizas una llamada en un servicio, es habitual que ese servicio ejecute aplicaciones en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado al servicio.
-
Sesiones de acceso directo (FAS): cuando utilizas un usuario o un rol de IAM para realizar acciones en AWS ellas, se te considera principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. El FAS utiliza los permisos del principal que llama Servicio de AWS y los solicita Servicio de AWS para realizar solicitudes a los servicios descendentes. Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulta Reenviar sesiones de acceso.
-
Rol de servicio: un rol de servicio es un rol de IAM que adopta un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
-
Función vinculada al servicio: una función vinculada a un servicio es un tipo de función de servicio que está vinculada a un. Servicio de AWS El servicio puedes asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puedes ver, pero no editar, los permisos de los roles vinculados a servicios.
-
-
Aplicaciones que se ejecutan en Amazon EC2: puedes usar un rol de IAM para administrar las credenciales temporales de las aplicaciones que se ejecutan en una EC2 instancia y realizan AWS CLI solicitudes a la AWS API. Esto es preferible a almacenar las claves de acceso en la EC2 instancia. Para asignar un AWS rol a una EC2 instancia y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite que los programas que se ejecutan en la EC2 instancia obtengan credenciales temporales. Para obtener más información, consulte Usar un rol de IAM para conceder permisos a las aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del usuario de IAM.
Administración de acceso mediante políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política es un objeto AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director (usuario, usuario raíz o sesión de rol) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre la estructura y el contenido de los documentos de política JSON, consulta Información general de políticas JSON en la Guía del usuario de IAM.
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM puedes crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puedes añadir las políticas de IAM a roles y los usuarios puedes asumirlos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utiliza para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción iam:GetRole. Un usuario con esa política puede obtener información sobre el rol de la API AWS Management Console AWS CLI, la o la AWS
API.
Políticas basadas en identidades
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puedes asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Las políticas basadas en identidades puedes clasificarse además como políticas insertadas o políticas administradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y roles de su Cuenta de AWS empresa. Las políticas administradas incluyen políticas AWS administradas y políticas administradas por el cliente. Para obtener más información sobre cómo elegir una política administrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas en la Guía del usuario de IAM.
Políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios puedes utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puedes realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la descripción general de la lista de control de acceso (ACL) en la Guía para desarrolladores de Amazon Simple Storage Service.
Otros tipos de políticas
AWS admite tipos de políticas adicionales y menos comunes. Estos tipos de políticas puedes establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
-
Límites de permisos: un límite de permisos es una característica avanzada que le permite establecer los permisos máximos que una política basada en identidad puedes conceder a una entidad de IAM (usuario o rol de IAM). Puedes establecer un límite de permisos para una entidad. Los permisos resultantes son la intersección de las políticas basadas en la identidad de la entidad y los límites de permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo
Principalno estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulta Límites de permisos para las entidades de IAM en la Guía del usuario de IAM. -
Políticas de control de servicios (SCPs): SCPs son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). AWS Organizations AWS Organizations es un servicio para agrupar y administrar de forma centralizada varios de los Cuentas de AWS que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. El SCP limita los permisos de las entidades en las cuentas de los miembros, incluidas las de cada una Usuario raíz de la cuenta de AWS. Para obtener más información sobre Organizations SCPs, consulte las políticas de control de servicios en la Guía del AWS Organizations usuario.
-
Políticas de control de recursos (RCPs): RCPs son políticas de JSON que puedes usar para establecer los permisos máximos disponibles para los recursos de tus cuentas sin actualizar las políticas de IAM asociadas a cada recurso que poseas. El RCP limita los permisos de los recursos en las cuentas de los miembros y puede afectar a los permisos efectivos de las identidades, incluidos los permisos Usuario raíz de la cuenta de AWS, independientemente de si pertenecen a su organización. Para obtener más información sobre Organizations e RCPs incluir una lista de Servicios de AWS ese apoyo RCPs, consulte Políticas de control de recursos (RCPs) en la Guía del AWS Organizations usuario.
-
Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también puedes proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para más información, consulta Políticas de sesión en la Guía del usuario de IAM.
Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la lógica de evaluación de políticas en la Guía del usuario de IAM.
¿Cómo AWS Cloud9 funciona con IAM
Antes de utilizar IAM para gestionar el acceso AWS Cloud9, infórmese sobre las funciones de IAM disponibles para su uso. AWS Cloud9
| Característica de IAM | AWS Cloud9 soporte |
|---|---|
|
Sí |
|
|
No |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
No |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
Para obtener una visión general de cómo AWS Cloud9 funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte AWS los servicios que funcionan con IAM en la Guía del usuario de IAM.
Políticas basadas en la identidad para AWS Cloud9
Compatibilidad con las políticas basadas en identidad: sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está asociada. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
Ejemplos de políticas basadas en la identidad para AWS Cloud9
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Políticas basadas en recursos incluidas AWS Cloud9
Admite políticas basadas en recursos: no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios puedes utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puedes realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando el principal y el recurso son diferentes Cuentas de AWS, el administrador de IAM de la cuenta de confianza también debe conceder a la entidad principal (usuario o rol) permiso para acceder al recurso. Para conceder el permiso, adjunte la entidad a una política basada en identidad. Sin embargo, si la política basada en recursos concede acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte Cross account resource access in IAM en la Guía del usuario de IAM.
AWS Cloud9 no admite políticas basadas en recursos, pero sí se pueden controlar los permisos de los recursos del AWS Cloud9 entorno para los miembros del AWS Cloud9 entorno mediante la AWS Cloud9 API y el IDE. AWS Cloud9
Acciones políticas para AWS Cloud9
Compatibilidad con las acciones de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puedes utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS Cloud9 acciones, consulta las acciones definidas AWS Cloud9 en la Referencia de autorización del servicio.
Las acciones políticas AWS Cloud9 utilizan el siguiente prefijo antes de la acción:
account
Para especificar varias acciones en una única instrucción, sepárelas con comas.
"Action": [ "account:action1", "account:action2" ]
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Recursos de políticas para AWS Cloud9
Compatibilidad con los recursos de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puedes hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utiliza un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Para ver una lista de los tipos de AWS Cloud9 recursos y sus tipos ARNs, consulte los recursos definidos AWS Cloud9 en la Referencia de autorización de servicios. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte Acciones definidas por AWS Cloud9.
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Claves de condición de la política para AWS Cloud9
Compatibilidad con claves de condición de políticas específicas del servicio: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puedes realizar acciones en qué recursos y en qué condiciones.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puedes crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulta Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
Para ver una lista de claves de AWS Cloud9 condición, consulte las claves de condición AWS Cloud9 en la Referencia de autorización de servicio. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por AWS Cloud9.
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
ACLs in AWS Cloud9
Soporta ACLs: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
ABAC con AWS Cloud9
Admite ABAC (etiquetas en las políticas): sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a muchos AWS recursos. El etiquetado de entidades y recursos es el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.
ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de las políticas resulta engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es Sí para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es Parcial.
Para obtener más información sobre ABAC, consulte Definición de permisos con la autorización de ABAC en la Guía del usuario de IAM. Para ver un tutorial con los pasos para configurar ABAC, consulta Uso del control de acceso basado en atributos (ABAC) en la Guía del usuario de IAM.
Utilizar credenciales temporales con AWS Cloud9
Compatibilidad con credenciales temporales: sí
Algunas Servicios de AWS no funcionan cuando inicias sesión con credenciales temporales. Para obtener información adicional, incluidas las que Servicios de AWS funcionan con credenciales temporales, consulta Cómo Servicios de AWS funcionan con IAM en la Guía del usuario de IAM.
Utiliza credenciales temporales si inicia sesión en ellas AWS Management Console mediante cualquier método excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accedes AWS mediante el enlace de inicio de sesión único (SSO) de tu empresa, ese proceso crea automáticamente credenciales temporales. También crea credenciales temporales de forma automática cuando inicia sesión en la consola como usuario y luego cambia de rol. Para obtener más información sobre el cambio de roles, consulte Cambio de un usuario a un rol de IAM (consola) en la Guía del usuario de IAM.
Puedes crear credenciales temporales manualmente mediante la AWS CLI API o. AWS A continuación, puede utilizar esas credenciales temporales para acceder AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte Credenciales de seguridad temporales en IAM.
Sesiones de acceso directo para AWS Cloud9
Admite sesiones de acceso directo (FAS): sí
Cuando utiliza un usuario o un rol de IAM para realizar acciones en AWSél, se le considera director. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos del principal que llama y los que solicita Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulta Reenviar sesiones de acceso.
Roles de servicio para AWS Cloud9
Compatibilidad con roles de servicio: sí
Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
aviso
Si se cambian los permisos de un rol de servicio, es posible que se interrumpa AWS Cloud9 la funcionalidad. Edite las funciones de servicio solo cuando se AWS Cloud9 proporcionen instrucciones para hacerlo.
Funciones vinculadas al servicio para AWS Cloud9
Admite roles vinculados a servicios: sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puedes asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puedes ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta Servicios de AWS que funcionan con IAM. Busque un servicio en la tabla que incluya Yes en la columna Rol vinculado a un servicio. Seleccione el vínculo Sí para ver la documentación acerca del rol vinculado a servicios para ese servicio.
Ejemplos de políticas basadas en identidades de AWS Cloud9
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Cloud9 . Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS la API. Un administrador de IAM puedes crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puedes añadir las políticas de IAM a roles y los usuarios puedes asumirlos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM (consola) en la Guía del usuario de IAM.
Para obtener más información sobre las acciones y los tipos de recursos definidos AWS Cloud9, incluido el formato ARNs de cada uno de los tipos de recursos, consulte las claves de condición, recursos y acciones de AWS Cloud9 la Referencia de autorización de servicios.
Temas
Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Cloud9 recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulta las políticas administradas por AWS o las políticas administradas por AWS para funciones de tarea en la Guía de usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se puedes llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulta Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utiliza condiciones en las políticas de IAM para restringir aún más el acceso: puedes agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puedes escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulta Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Validación de políticas con el Analizador de acceso de IAM en la Guía del usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte Acceso seguro a la API con MFA en la Guía del usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Mediante la consola de AWS Cloud9
Para acceder a la AWS Cloud9 consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Cloud9 recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Cloud9 consola, asocie también la AWS Cloud9 ConsoleAccessReadOnly
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas gestionadas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Solución de problemas de AWS Cloud9 identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con una AWS Cloud9 IAM.
Temas
No estoy autorizado a realizar ninguna acción en AWS Cloud9
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM mateojackson intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio my-example-widgetawes:.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidgeton resource:my-example-widget
En este caso, la política del usuario mateojackson debe actualizarse para permitir el acceso al recurso my-example-widgetawes:.GetWidget
Si necesita ayuda, póngase en contacto con su AWS administrador. El gestionador es la persona que le proporcionó las credenciales de inicio de sesión.
No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción iam:PassRole, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Cloud9.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir el rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intenta utilizar la consola para realizar una acción en AWS Cloud9. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción iam:PassRole.
Si necesita ayuda, póngase en contacto con su administrador. AWS El gestionador es la persona que le proporcionó las credenciales de inicio de sesión.
Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Cloud9 recursos
Puedes crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puedes especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
-
Para saber si AWS Cloud9 es compatible con estas funciones, consulte. ¿Cómo AWS Cloud9 funciona con IAM
-
Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en la Guía del usuario de IAM.
-
Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros en la Guía del usuario de IAM.
-
Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulta Proporcionar acceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.
-
Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
¿Cómo AWS Cloud9 funciona con los recursos y las operaciones de IAM
AWS Identity and Access Management se utiliza para gestionar los permisos que permiten trabajar tanto con entornos de AWS Cloud9 desarrollo como con otros Servicios de AWS recursos.
AWS Cloud9 recursos y operaciones
En AWS Cloud9, el recurso principal es un entorno de AWS Cloud9 desarrollo. En las políticas se emplean nombres de recurso de Amazon (ARN) para identificar los recursos a los que se aplican las políticas. En la siguiente tabla se muestra el entorno ARNs. Para obtener más información, consulte Amazon Resource Names (ARNs) y AWS Service Namespaces en. Referencia general de Amazon Web Services
| Tipo de recurso | Formato de ARN |
|---|---|
|
Entorno |
|
|
Todos los entornos propiedad de la cuenta especificada en la Región de AWS determinada |
|
|
Todos los entornos propiedad de la cuenta especificada en la región determinada |
|
|
Todos los AWS Cloud9 recursos, independientemente de la cuenta y la región |
|
Por ejemplo, puede indicar un entorno específico en la instrucción usando su nombre de recurso de Amazon (ARN), de la siguiente manera.
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
Para especificar todos los recursos, utilice el carácter comodín (*) en el elemento Resource.
"Resource": "*"
Para especificar varios recursos en una sola sentencia, separe sus nombres de recursos de Amazon (ARNs) con comas.
"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]
AWS Cloud9 proporciona un conjunto de operaciones para trabajar con AWS Cloud9 los recursos. Para ver una lista, consulte la AWS Cloud9 referencia de permisos.
Titularidad de los recursos
La Cuenta de AWS cuenta es propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado.
Tenga en cuenta los siguientes casos de uso y escenarios:
-
Supongamos que utiliza las credenciales de su cuenta raíz Cuenta de AWS para crear un entorno de AWS Cloud9 desarrollo. Aunque es posible, no es recomendable. En este caso, usted Cuenta de AWS es el propietario del entorno.
-
Supongamos que crea un usuario de IAM en su cuenta Cuenta de AWS y le concede permisos para crear un entorno. En ese caso, el usuario puede crear un entorno. Sin embargo, usted Cuenta de AWS, al que pertenece el usuario, sigue siendo el propietario del entorno.
-
Supongamos que crea un rol de IAM en su cuenta Cuenta de AWS con permisos para crear un entorno. En ese caso, cualquier persona que pueda asumir el rol puede crear un entorno. La Cuenta de AWS, a la que pertenece el rol, es la propietaria del entorno.
nota
Si elimina una cuenta de usuario que es el propietario del ARN de uno o más AWS Cloud9 entornos, estos entornos no tendrán propietario. Una solución alternativa para este escenario consiste en utilizar el AWS Cloud9 SDK para añadir otro usuario de IAM con privilegios de lectura y escritura mediante la CreateEnvironmentMembership acción y el EnvironmentMember tipo de datos. Una vez que haya agregado este usuario de IAM, puede copiar los archivos del entorno a nuevos AWS Cloud9 entornos y convertir a este propietario en propietario del ARN. Para obtener más información sobre esta acción, consulte y CreateEnvironmentMembership, para obtener más información sobre este tipo de datos, consulte EnvironmentMemberla Guía de referencia de la AWS Cloud9 API.
Administración del acceso a los recursos
Una política de permisos describe quién tiene acceso a qué recursos.
nota
En esta sección, se describe cómo se utiliza IAM en AWS Cloud9. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Las políticas que se adjuntan a una identidad de IAM se denominan políticas basadas en identidad (o políticas de IAM). Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. AWS Cloud9 admite políticas basadas en la identidad y en los recursos.
Cada una de las siguientes acciones de la API solo necesita que se adjunte una política de IAM a la identidad de IAM que desea que llame a estas acciones de API:
-
CreateEnvironmentEC2 -
DescribeEnvironments
Las siguientes acciones de API requieren una política basada en recursos. No se requiere una política de IAM, pero se AWS Cloud9 usa una política de IAM si está asociada a la identidad de IAM que quiere llamar a estas acciones de API. La política basada en recursos debe aplicarse al recurso deseado: AWS Cloud9
-
CreateEnvironmentMembership -
DeleteEnvironment -
DeleteEnvironmentMembership -
DescribeEnvironmentMemberships -
DescribeEnvironmentStatus -
UpdateEnvironment -
UpdateEnvironmentMembership
Para obtener más información sobre lo que hace cada una de estas acciones de API, consulte AWS Cloud9 API Reference (Referencia de la API de AWS Cloud9 ).
No puede adjuntar directamente una política basada en recursos a un recurso. AWS Cloud9 En su lugar, AWS Cloud9 adjunta las políticas basadas en recursos adecuadas a AWS Cloud9 los recursos a medida que agrega, modifica, actualiza o elimina miembros del entorno.
Para conceder a un usuario permisos para realizar acciones en AWS Cloud9 los recursos, debe adjuntar una política de permisos a un grupo de IAM al que pertenezca el usuario. Le recomendamos que adjunte una política AWS gestionada (predefinida) AWS Cloud9 siempre que sea posible. AWS Las políticas administradas contienen conjuntos predefinidos de permisos de acceso para situaciones de uso y tipos de usuarios comunes, como la administración completa de un entorno, los usuarios del entorno y los usuarios que solo tienen acceso de solo lectura a un entorno. Para obtener una lista de las políticas AWS administradas para AWS Cloud9, consulte. AWS políticas gestionadas para AWS Cloud9
Para casos de uso más detallados y tipos de usuario únicos, puede crear y adjuntar sus propias políticas administradas por el cliente. Consulte Opciones de configuración adicionales para AWS Cloud9 y Creando políticas gestionadas por el cliente para AWS Cloud9.
Para adjuntar una política de IAM (AWS gestionada o gestionada por el cliente) a una identidad de IAM, consulte Adjuntar políticas de IAM (consola) en la Guía del usuario de IAM.
Permisos de sesión para operaciones de API
Al utilizar la AWS API AWS CLI o para crear mediante programación una sesión temporal para un rol o un usuario federado, puede transferir las políticas de sesión como un parámetro para ampliar el alcance de la sesión de rol. Esto significa que los permisos efectivos de la sesión son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión.
Cuando se realiza una solicitud para acceder a un recurso durante una sesión, si no hay ninguna instrucción Deny aplicable, pero tampoco existe ninguna declaración Allow aplicable en la política de la sesión, el resultado de la evaluación de la política es un denegación implícita. (Para obtener más información, consulte Cómo determinar si una solicitud se permite o se deniega dentro de una cuenta en la Guía del usuario de IAM).
Sin embargo, en el caso de las operaciones de la AWS Cloud9 API que requieren una política basada en recursos (véase más arriba), se conceden permisos a la entidad de IAM que realiza la llamada si así se especifica en la política de recursos. Principal Este permiso explícito tiene prioridad sobre la denegación implícita de la política de sesión, lo que permite que la sesión llame correctamente a la operación de la API. AWS Cloud9
AWS políticas gestionadas para AWS Cloud9
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
AWS política gestionada: AWSCloud9 administrador
Puede adjuntar la política AWSCloud9Administrator a las identidades de IAM.
Esta política otorga administrative permisos que proporcionan acceso de administrador a AWS Cloud9.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
AWS Cloud9 — Todas AWS Cloud9 las acciones en su Cuenta de AWS.
-
Amazon EC2 : obtenga información sobre varios recursos de subred y VPC de Amazon en sus. Cuenta de AWS
-
IAM: obtenga información sobre sus usuarios de IAM y cree en ellos el rol AWS Cloud9 vinculado al servicio Cuenta de AWS, según sea necesario. Cuenta de AWS
-
Systems Manager: permite al usuario llamar StartSession para iniciar una conexión a una instancia para una sesión de Session Manager. Este permiso es necesario para los usuarios que abren un entorno que se comunica con su EC2 instancia a través de Systems Manager. Para obtener más información, consulte Acceder a instancias sin ingreso EC2 con AWS Systems Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:*", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS política gestionada: AWSCloud9 usuario
Puede adjuntar la política AWSCloud9User a las identidades de IAM.
Esta política otorga user permisos para crear entornos de AWS Cloud9
desarrollo y administrar los entornos propios.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
AWS Cloud9 — Cree y obtenga información sobre sus entornos, y obtenga y cambie la configuración de usuario de sus entornos.
-
Amazon EC2 : obtenga información sobre varios recursos de subred y VPC de Amazon en sus. Cuenta de AWS
-
IAM: obtenga información sobre sus usuarios de IAM y cree en ellos el rol AWS Cloud9 vinculado al servicio Cuenta de AWS, según sea necesario. Cuenta de AWS
-
Systems Manager: permite al usuario llamar StartSession para iniciar una conexión a una instancia para una sesión de Session Manager. Este permiso es necesario para los usuarios que abren un entorno que se comunica con su EC2 instancia a través de Systems Manager. Para obtener más información, consulte Acceder a instancias sin ingreso EC2 con AWS Systems Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "cloud9:GetMigrationExperiences", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS política gestionada: AWSCloud9 EnvironmentMember
Puede adjuntar la política AWSCloud9EnvironmentMember a las identidades de IAM.
Esta política otorga membership permisos que permiten unirse a un entorno AWS Cloud9 compartido.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
AWS Cloud9 — Obtenga información sobre sus entornos y obtenga y cambie la configuración de usuario de sus entornos.
-
IAM: obtenga información sobre los usuarios de IAM en sus. Cuenta de AWS
-
Systems Manager: permite al usuario llamar StartSession para iniciar una conexión a una instancia para una sesión de Session Manager. Este permiso es necesario para los usuarios que abren un entorno que se comunica con su EC2 instancia a través de Systems Manager. Para obtener más información, consulte Acceder a instancias sin ingreso EC2 con AWS Systems Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:GetUserSettings", "cloud9:UpdateUserSettings", "cloud9:GetMigrationExperiences", "iam:GetUser", "iam:ListUsers" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS política gestionada: AWSCloud9ServiceRolePolicy
El rol vinculado al servicio AWSServiceRoleForAWSCloud9usa esta política para permitir que el AWS Cloud9 entorno interactúe con Amazon EC2 y AWS CloudFormation los recursos.
Detalles de los permisos
AWSCloud9ServiceRolePolicyOtorga AWSService RoleFor AWSCloud9 los permisos necesarios AWS Cloud9 para poder interactuar con los Servicios de AWS (Amazon EC2 y AWS CloudFormation) que se requieren para crear y ejecutar entornos de desarrollo.
AWS Cloud9 define los permisos de sus funciones vinculadas al servicio y solo AWS Cloud9 puede asumirlas. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener más información sobre cómo se AWS Cloud9 utilizan las funciones vinculadas a servicios, consulte. Uso de roles vinculados a servicios de AWS Cloud9
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringLike": { "aws:RequestTag/Name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:GetInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole" ], "Condition": { "StringLike": { "iam:PassedToService": "ec2.amazonaws.com" } } } ] }
AWS Cloud9 actualizaciones de las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Cloud9 desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Cloud9 documento.
| Cambio | Descripción | Fecha |
|---|---|---|
| AWSCloud9Usuario: cambio AWSCloud9EnvironmentMember: cambio |
AWS Cloud9 se agregó cloud9:GetMigrationExperiences una acción que le permite acceder y ver nuevas experiencias de migración. |
27 de enero de 2025 |
| AWSCloud9Usuario: cambio AWSCloud9Administrador: cambio AWSCloud9EnvironmentMember— Cambiar |
AWS Cloud9 se agregó ssm:GetConnectionStatus una acción para conceder permisos para comprobar el estado de la conexión SSM.La |
12 de octubre de 2023 |
| AWSCloud9Usuario: cambio AWSCloud9Administrador: cambio |
AWS Cloud9 agregados ec2:DescribeInstanceTypeOfferings y ec2:DescribeRouteTables acciones. Estas políticas permiten AWS Cloud9
validar la subred predeterminada que admite el tipo de instancia elegido por el cliente al crear un AWS Cloud9 entorno. |
2 de agosto de 2023 |
| AWSCloud9ServiceRolePolicy: cambio | AWS Cloud9 actualizó el AWSCloud9ServiceRolePolicy para permitir AWS Cloud9 iniciar y detener las EC2 instancias de Amazon que se administran mediante las configuraciones de licencia de License Manager. |
12 de enero de 2022 |
|
AWS Cloud9 comenzó a rastrear los cambios |
AWS Cloud9 comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. |
15 de marzo de 2021 |
Creando políticas gestionadas por el cliente para AWS Cloud9
Si ninguna de las políticas AWS administradas cumple con sus requisitos de control de acceso, puede crear y adjuntar sus propias políticas administradas por el cliente.
Para obtener instrucciones sobre cómo crear una política administrada por el cliente, consulte Crear una política de IAM (Consola) en la Guía del usuario de IAM.
Temas
Especificar elementos de política: efectos, entidades principales, acciones y recursos
Para cada AWS Cloud9 recurso, el servicio define un conjunto de operaciones de API. Para conceder permisos para estas operaciones de API, AWS Cloud9 define un conjunto de acciones que puede especificar en una política.
A continuación, se indican los elementos básicos de la política:
-
Effect: especifique el efecto (permitir o denegar) cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso. Puede hacerlo para asegurarse de que un usuario no tenga acceso a un recurso, aunque otra política se lo conceda. -
Principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se adjunta esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, cuenta, servicio u otra entidad que desee que reciba permisos. -
Resource: utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. -
Action: use palabras de clave de acción para identificar las operaciones de recursos que desea permitir o denegar. Por ejemplo, el permisocloud9:CreateEnvironmentEC2concede al usuario permiso para realizar la operaciónCreateEnvironmentEC2.
Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Para ver una tabla en la que se muestran todas las acciones de la AWS Cloud9 API y los recursos a los que se aplican, consulta laAWS Cloud9 referencia de permisos.
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas que conceden permisos para acciones de AWS Cloud9 . Puede adaptar las siguientes políticas de IAM de ejemplo para permitir o denegar explícitamente a sus identidades de IAM el acceso a AWS Cloud9 .
Para crear o adjuntar una política administrada por el cliente a una identidad de IAM, consulte Crear una política de IAM (Consola) y Conexión de políticas de IAM (Consola), en la Guía del usuario de IAM.
nota
Los siguientes ejemplos utilizan la región EE.UU. Este (Ohio) (us-east-2), un Cuenta de AWS identificador ficticio (123456789012) y un identificador de entorno de AWS Cloud9 desarrollo ficticio (81e900317347585a0601e04c8d52eaEX).
Temas
Cree EC2 entornos con tipos de EC2 instancias de Amazon específicos
Actualizar entornos o impedir la actualización de un entorno
Cambiar o evitar el cambio, de la configuración de miembros del entorno
Eliminar o impedir la eliminación, de los miembros de entorno
Política de IAM personalizada para la creación de un entorno SSM
Obtener información sobre entornos
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad obtenga información sobre cualquier entorno de su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironments", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en las políticas AWS AWSCloud9Administrator administradas y. AWSCloud9User
Cree EC2 entornos
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear entornos de AWS Cloud9 EC2 desarrollo en su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en las políticas AWS AWSCloud9Administrator administradas y. AWSCloud9User
Cree EC2 entornos con tipos de EC2 instancias de Amazon específicos
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear entornos de AWS Cloud9 EC2 desarrollo en su cuenta. Sin embargo, EC2 los entornos solo pueden usar la clase especificada de tipos de EC2 instancias de Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t3.*" } } } ] }
nota
Si la política AWS gestionada AWSCloud9Administrator o ya AWSCloud9User está asociada a la entidad de IAM, dicha política AWS
gestionada anula el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Cree EC2 entornos en subredes de Amazon VPC específicas
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear entornos de AWS Cloud9 EC2 desarrollo en su cuenta. Sin embargo, EC2 los entornos solo pueden usar las subredes de Amazon VPC especificadas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:SubnetId": [ "subnet-12345678", "subnet-23456789" ] } } } ] }
nota
Si la política AWS gestionada AWSCloud9Administrator o ya AWSCloud9User está asociada a la entidad de IAM, dicha política AWS
gestionada anula el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Cree un EC2 entorno con un nombre de entorno específico
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear un entorno de AWS Cloud9 EC2 desarrollo en su cuenta. Sin embargo, el EC2 entorno solo puede usar el nombre especificado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } } ] }
nota
Si la política AWS gestionada AWSCloud9Administrator o ya AWSCloud9User está asociada a la entidad de IAM, esa política AWS
gestionada anula el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Crear entornos de SSH únicamente
El siguiente ejemplo de declaración de política de IAM, adjunto a una entidad de IAM, permite a esa entidad crear entornos de desarrollo de AWS Cloud9 SSH en su cuenta. Sin embargo, la entidad no puede crear AWS Cloud9 EC2 entornos de desarrollo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentSSH", "Resource": "*" }, { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
Actualizar entornos o impedir la actualización de un entorno
El siguiente ejemplo de declaración de política de IAM, adjunto a una entidad de IAM, permite a esa entidad cambiar la información sobre cualquier entorno de AWS Cloud9 desarrollo de su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironment", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionada. AWSCloud9Administrator
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad cambie información sobre el entorno con el nombre de recurso de Amazon (ARN) especificado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Obtener listas de los miembros de un entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad obtenga una lista de los miembros de cualquier entorno en su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironmentMemberships", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator. Además, el permiso de acceso anterior es más permisivo que el permiso de acceso equivalente de la política AWS gestionada. AWSCloud9User
Compartir entornos con un usuario específico únicamente
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad comparta cualquier entorno en su cuenta solo con el usuario especificado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentMembership" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser" } } } ] }
nota
Si la política AWS AWSCloud9Administrator gestionada ya AWSCloud9User está asociada a la entidad de IAM, esas políticas AWS
gestionadas anulan el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Impedir compartir entornos
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, impide que dicha entidad comparta ningún entorno en su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentMembership", "cloud9:UpdateEnvironmentMembership" ], "Resource": "*" } ] }
Cambiar o evitar el cambio, de la configuración de miembros del entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad cambie la configuración de los miembros de cualquier entorno en su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionada. AWSCloud9Administrator
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad cambie la configuración de los miembros del entorno con el nombre de recurso de Amazon (ARN) especificado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Eliminar o impedir la eliminación, de los miembros de entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad elimine cualquier miembro de cualquier entorno de su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator.
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad elimine ningún miembro del entorno con el nombre de recurso de Amazon (ARN) especificado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Eliminar o impedir la eliminación de un entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad elimine cualquier entorno de su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironment", "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator.
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad elimine el entorno con el nombre de recurso de Amazon (ARN) especificado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
Política de IAM personalizada para la creación de un entorno SSM
Hay un problema de permisos actual que se produce al crear un entorno SSM con las políticas asociadas AWSCloud9Administrator o AWSCloud9User. El siguiente ejemplo de declaración de política de IAM, cuando se adjunta a una entidad de IAM, permite a los usuarios adjuntar y utilizar la política AWS AWSCloud9Administrator gestionada o. AWSCloud9User
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] }, { "Effect": "Allow", "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"] }, { "Effect": "Allow", "Action": ["iam:AttachRolePolicy"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"], "Condition": { "StringEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole", "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile" ] } ] }
AWS Cloud9 referencia de permisos
Puede utilizar claves de condición AWS amplias en sus AWS Cloud9 políticas para expresar las condiciones. Para obtener una lista, consulte Elemento de la política de JSON de IAM: Condition en la Guía del usuario de IAM.
Las acciones se especifican en el campo Action de la política. Para especificar una acción, use el prefijo cloud9: seguido del nombre de operación de la API (por ejemplo, "Action": "cloud9:DescribeEnvironments"). Para especificar varias acciones en una única instrucción, sepárelas con comas (por ejemplo, "Action": [
"cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).
Uso de caracteres comodín
Debe especificar un ARN, con o sin un carácter comodín (*), como el valor del recurso en el campo de la política Resource. Puede utilizar un carácter comodín para especificar varias acciones o recursos. Por ejemplo, cloud9:* especifica todas AWS Cloud9 las acciones y cloud9:Describe* especifica todas AWS Cloud9 las acciones que comienzan porDescribe.
En el siguiente ejemplo se permite que una entidad de IAM obtenga información acerca de los entornos y las pertenencias a los entornos de cualquier entorno de su cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:Describe*" ], "Resource": "*" } ] }
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator. Además, que el permiso de acceso anterior es más permisivo que el permiso de acceso equivalente de la política AWS gestionada. AWSCloud9User
AWS Cloud9 Operaciones de la API y permisos necesarios para las acciones
nota
Puede usar las tablas siguientes como referencia cuando configure políticas de permisos de control de acceso y de escritura para adjuntarlas a una identidad de IAM (políticas basadas en identidades).
Public API operationsEn la tabla se enumeran las operaciones de la API a las que pueden llamar los clientes mediante SDKs y el AWS Command Line Interface.
En Permission-only API operations se enumeran las operaciones de la API a las que el código del cliente o AWS Command Line Interface no pueden llamar directamente. No obstante, los usuarios de IAM requieren permisos para estas operaciones a las que se llama cuando se realizan acciones de AWS Cloud9 mediante la consola.
| AWS Cloud9 operación | Permisos necesarios (acción de la API) | Recurso |
|---|---|---|
|
|
Necesario para crear un entorno de AWS Cloud9 EC2 desarrollo. |
|
|
|
Necesario para agregar un miembro a un entorno. |
|
|
|
Necesaria para eliminar un entorno. |
|
|
|
Necesario para eliminar un miembro de un entorno. |
|
|
|
Necesario para obtener una lista de miembros de entorno. |
|
|
|
Necesario para obtener información sobre un entorno. |
|
|
|
Necesario para obtener información sobre el estado de un entorno. |
|
|
|
Necesario para actualizar la configuración de un entorno. |
|
|
|
Necesario para actualizar la configuración de un miembro de un entorno. |
|
| AWS Cloud9 operación | Descripción | Documentación de la consola |
|---|---|---|
|
|
Inicia la EC2 instancia de Amazon a la que se conecta el AWS Cloud9 IDE. |
|
|
|
Crea un entorno de desarrollo AWS Cloud9 SSH. |
|
|
|
Crea un token de autenticación que permite una conexión entre el IDE de AWS Cloud9 y el entorno del usuario. |
|
|
|
Obtiene detalles sobre la conexión al entorno de EC2 desarrollo, incluidos el host, el usuario y el puerto. |
|
|
|
Obtiene detalles sobre la conexión al entorno de desarrollo de SSH, incluidos el anfitrión, el usuario y el puerto. |
|
|
|
Obtiene la información de configuración que se utiliza para inicializar el IDE de AWS Cloud9 . |
|
|
|
Obtiene la configuración del AWS Cloud9 IDE para un entorno de desarrollo específico. |
|
|
|
Obtiene la configuración del AWS Cloud9 IDE de un miembro del entorno específico. |
|
|
|
Obtiene la clave SSH pública del usuario, que se utiliza AWS Cloud9 para conectarse a los entornos de desarrollo de SSH. |
|
|
|
Obtiene la configuración del AWS Cloud9 IDE para un usuario específico. |
|
|
|
Establece las credenciales temporales AWS administradas en la EC2 instancia de Amazon que utiliza el entorno de desarrollo AWS Cloud9 integrado (IDE). |
|
|
|
Actualiza la configuración del AWS Cloud9 IDE para un entorno de desarrollo específico. |
|
|
|
Actualiza la configuración del AWS Cloud9 IDE de un miembro del entorno específico. |
|
|
|
Actualiza los detalles sobre la conexión al entorno de desarrollo de SSH, incluidos el anfitrión, el usuario y el puerto. |
|
|
|
Actualiza la configuración del AWS Cloud9 IDE para un usuario específico. |
|
|
|
Otorga permiso a un AWS Cloud9 usuario para obtener la experiencia de migración de AWS Cloud9 a CodeCatalyst. |
AWS credenciales temporales gestionadas
|
Si solo está buscando la lista de acciones que admiten las credenciales temporales AWS gestionadas, vaya directamente aAcciones compatibles con las credenciales temporales AWS administradas. |
En el caso de un entorno de AWS Cloud9 EC2 desarrollo, AWS Cloud9 pone a su disposición las credenciales de AWS acceso temporal en el entorno. Las denominamos credenciales temporales administradas por AWS . Esto proporciona los siguientes beneficios:
-
No es necesario almacenar las credenciales de AWS acceso permanente de una AWS entidad (por ejemplo, un usuario de IAM) en ningún lugar del entorno. Esto impide que los miembros del entorno accedan a esas credenciales sin su conocimiento y aprobación.
-
No es necesario configurar, gestionar ni adjuntar manualmente un perfil de instancia a la EC2 instancia de Amazon que se conecta al entorno. Un perfil de instancia es otro enfoque para administrar las credenciales de AWS acceso temporal.
-
AWS Cloud9 renueva continuamente sus credenciales temporales, por lo que un único conjunto de credenciales solo se puede usar durante un tiempo limitado. Esta es una práctica recomendada AWS de seguridad. Para obtener más información, consulte Crear y actualizar credenciales temporales AWS administradas.
-
AWS Cloud9 impone restricciones adicionales a la forma en que sus credenciales temporales se pueden utilizar para acceder a AWS las acciones y los recursos del entorno. Esta también es una buena práctica de AWS seguridad.
importante
Actualmente, si la EC2 instancia de su entorno se lanza a una subred privada, no puede usar credenciales temporales AWS administradas para permitir que el EC2 entorno acceda a un AWS servicio en nombre de una AWS entidad (por ejemplo, un usuario de IAM).
Para obtener más información sobre cuándo puede lanzar una EC2 instancia en una subred privada, consulte. Crear una subred para AWS Cloud9
nota
Considere la posibilidad de usar una política AWS administrada en lugar de una política en línea cuando utilice credenciales temporales AWS administradas.
Así es como funcionan las credenciales temporales AWS administradas cada vez que un EC2 entorno intenta acceder a una Servicio de AWS en nombre de una AWS entidad (por ejemplo, un usuario de IAM):
-
AWS Cloud9 comprueba si la AWS entidad que realiza la llamada (por ejemplo, el usuario de IAM) tiene permisos para realizar la acción solicitada en relación con el recurso solicitado. AWS Si el permiso no existe o se deniega explícitamente, la solicitud produce un error.
-
AWS Cloud9 comprueba las credenciales temporales AWS gestionadas para comprobar si sus permisos permiten la entrada de la acción solicitada para el recurso solicitado. AWS Si el permiso no existe o se deniega explícitamente, la solicitud produce un error. Para obtener una lista de los permisos que AWS administraban las credenciales temporales, consulteAcciones compatibles con las credenciales temporales AWS administradas.
-
Si tanto la AWS entidad como las credenciales temporales AWS administradas permiten la acción solicitada para el recurso solicitado, la solicitud se realiza correctamente.
-
Si la AWS entidad o las credenciales temporales AWS administradas deniegan o no permiten explícitamente la acción solicitada para el recurso solicitado, la solicitud fallará. Esto significa que, incluso si la AWS entidad que realiza la llamada tiene los permisos correctos, la solicitud fallará si AWS Cloud9 no los permite también de forma explícita. Del mismo modo, si AWS Cloud9 permite que se lleve a cabo una acción específica para un recurso específico, la solicitud fallará si la AWS entidad no la permite también de forma explícita.
El propietario de un EC2 entorno puede activar o desactivar las credenciales temporales AWS administradas para ese entorno en cualquier momento, de la siguiente manera:
-
Con el entorno abierto, en el AWS Cloud9 IDE, en la barra de menús AWS Cloud9, seleccione Preferencias.
-
En la pestaña Preferences (Preferencias), en el panel de navegación, elija AWS Settings, Credentials (Configuración de AWS , Credenciales).
-
Use credenciales temporales administradas por AWS para activar o desactivar dichas credenciales de AWS .
nota
También puede activar o desactivar las credenciales temporales AWS administradas llamando a la operación de la AWS Cloud9 API UpdateEnvironmenty asignando un valor al managedCredentialsAction parámetro. Puede solicitar esta operación de API mediante AWS herramientas estándar como AWS SDKs y la AWS CLI.
Si desactivas las credenciales temporales AWS administradas, el entorno no podrá acceder a ninguna Servicios de AWS, independientemente de la AWS entidad que realice la solicitud. Sin embargo, supongamos que no puede o no quiere activar las credenciales temporales AWS administradas para un entorno y, aun así, necesita el entorno para acceder Servicios de AWS. En ese caso, tenga en cuenta las siguientes alternativas:
-
Adjunta un perfil de instancia a la EC2 instancia de Amazon que se conecta al entorno. Para ver instrucciones, consulte la sección sobre la creación y uso de un perfil de instancia para administrar credenciales temporales.
-
Guarde sus credenciales de AWS acceso permanente en el entorno, por ejemplo, configurando variables de entorno especiales o ejecutando el
aws configurecomando. Para obtener instrucciones, consulte Crear y almacenar las credenciales de acceso permanente en un entorno.
Las alternativas anteriores anulan todos los permisos permitidos (o denegados) por las credenciales temporales AWS administradas en un EC2 entorno.
Acciones compatibles con las credenciales temporales AWS administradas
En un entorno de AWS Cloud9 EC2 desarrollo, las credenciales temporales AWS administradas permiten AWS realizar todas las acciones en todos AWS los recursos de la persona que llama Cuenta de AWS, con las siguientes restricciones:
-
AWS Cloud9 En efecto, solo se permiten las siguientes acciones:
-
cloud9:CreateEnvironmentEC2 -
cloud9:CreateEnvironmentSSH -
cloud9:DescribeEnvironmentMemberships -
cloud9:DescribeEnvironments -
cloud9:DescribeEnvironmentStatus -
cloud9:UpdateEnvironment
-
-
Para IAM, solo se permiten las siguientes acciones:
-
iam:AttachRolePolicy -
iam:ChangePassword -
iam:CreatePolicy -
iam:CreatePolicyVersion -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeletePolicyVersion -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:DeleteSSHPublicKey -
iam:DetachRolePolicy -
iam:GetInstanceProfile -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRole -
iam:GetRolePolicy -
iam:GetSSHPublicKey -
iam:GetUser -
iam:List* -
iam:PassRole -
iam:PutRolePolicy -
iam:SetDefaultPolicyVersion -
iam:UpdateAssumeRolePolicy -
iam:UpdateRoleDescription -
iam:UpdateSSHPublicKey -
iam:UploadSSHPublicKey
-
-
Todas las acciones de IAM que interactúan con roles se permiten solo para nombres de rol que comienzan por
Cloud9-. Sin embargo,iam:PassRolefunciona con todos los nombres de rol. -
Para AWS Security Token Service (AWS STS), solo se permiten las siguientes acciones:
-
sts:GetCallerIdentity -
sts:DecodeAuthorizationMessage
-
-
Todas AWS las acciones admitidas están restringidas a la dirección IP del entorno. Esta es una práctica recomendada de AWS seguridad.
Si AWS Cloud9 no admite una acción o un recurso al que necesite acceder a un EC2 entorno, o si las credenciales temporales AWS administradas están desactivadas para un EC2 entorno y no puede volver a activarlas, considere las siguientes alternativas:
-
Adjunta un perfil de instancia a la EC2 instancia de Amazon que se conecta al EC2 entorno. Para obtener instrucciones, consulte Creación y uso de un perfil de instancias para administrar credenciales temporales.
-
Guarde sus credenciales de AWS acceso permanente en el EC2 entorno, por ejemplo, configurando variables de entorno especiales o ejecutando el
aws configurecomando. Para obtener instrucciones, consulte Crear y almacenar las credenciales de acceso permanente en un entorno.
Las alternativas anteriores anulan todos los permisos permitidos (o denegados) por las credenciales temporales AWS administradas en un EC2 entorno.
Crear y actualizar credenciales temporales AWS administradas
En un entorno de AWS Cloud9 EC2 desarrollo, las credenciales temporales AWS administradas se crean la primera vez que se abre el entorno.
AWS las credenciales temporales administradas se actualizan en cualquiera de las siguientes condiciones:
-
Siempre que pase un determinado periodo de tiempo. Actualmente, esto es cada cinco minutos.
-
Cada vez que se vuelve a cargar la pestaña del navegador web, que muestra el IDE del entorno.
-
Cuando se alcanza la marca temporal que se muestra en el archivo
~/.aws/credentialspara el entorno. -
Si la configuración de las credenciales temporales administradas por AWS está desactivada, cuando vuelve a activarla. (Para ver o cambiar esta configuración, elija AWS Cloud9, Preferences [AWS Cloud9, Preferencias] en la barra de menús del IDE. En la pestaña Preferences [Preferencias], en el panel de navegación, elija AWS Settings, Credentials [Configuración de AWS , Credenciales]).
-
Por motivos de seguridad, las credenciales temporales AWS administradas caducan automáticamente después de 15 minutos. Para que se actualicen las credenciales, el propietario del entorno debe estar conectado al entorno de AWS Cloud9 a través del IDE. Para obtener más información sobre el rol del propietario del entorno, consulteControl del acceso a las credenciales temporales administradas por AWS.
Control del acceso a las credenciales temporales administradas por AWS
Un colaborador con credenciales temporales AWS gestionadas puede utilizarlas AWS Cloud9 para interactuar con otros Servicios de AWS. Para asegurarse de que solo los colaboradores de confianza dispongan de credenciales temporales administradas por AWS , dichas credenciales se desactivan si alguien que no es el propietario del entorno agrega un nuevo miembro. Las credenciales se desactivan mediante la eliminación del archivo ~/.aws/credentials.
importante
AWS Las credenciales temporales gestionadas también caducan automáticamente cada 15 minutos. Para que las credenciales se actualicen y los colaboradores puedan seguir usándolas, el propietario del entorno debe estar conectado al AWS Cloud9 entorno a través del IDE.
Solo el propietario del entorno puede volver a habilitar las credenciales temporales AWS administradas para que puedan compartirse con otros miembros. Cuando el propietario del entorno abre el IDE, un cuadro de diálogo confirma que las credenciales temporales AWS administradas están deshabilitadas. El propietario del entorno puede volver a habilitar las credenciales o mantenerlas desactivadas para todos los miembros.
aviso
Para cumplir con las prácticas de seguridad recomendadas, mantenga desactivadas las credenciales temporales administradas si no está seguro de la identidad del último usuario agregado al entorno. Puede verificar la lista de miembros con permisos de lectura/escritura en la ventana Collaborate (Colaborar).
