Trabajo con entornos compartidos en AWS Cloud9 - AWS Cloud9
Casos de uso de entornos compartidosAcerca de los roles de acceso de los miembros del entornoInvitar a un usuario en la misma cuenta que el entornoHacer que un administrador de AWS Cloud9 en la misma cuenta que la del entorno se invite a sí mismo o a otros usuarios

AWS Cloud9 ya no está disponible para los nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información

Trabajo con entornos compartidos en AWS Cloud9

Un entorno compartido es un entorno de desarrollo de AWS Cloud9 al que se ha invitado a participar a varios usuarios. En este tema se ofrecen instrucciones para compartir un entorno en AWS Cloud9 y sobre cómo participar en un entorno compartido.

Para invitar a un usuario a que participe en un entorno de su propiedad, siga uno de estos conjuntos de procedimientos. Elija uno según el tipo de usuario al que desee invitar.

Casos de uso de entornos compartidos

Un entorno compartido es idóneo para los siguientes casos:

  • Programación en pareja (también conocida como programación entre pares): cuando dos usuarios trabajan juntos en el mismo código en un solo entorno. En la programación en parejas, normalmente un usuario escribe código de programación mientras que el otro observa el código que se escribe. El observador ofrece información y comentarios inmediatos al escritor del código. Estas posiciones cambian frecuentemente durante un proyecto. Sin un entorno compartido, dos programadores se sientan frente a una sola máquina. Solo un usuario puede escribir código a la vez. Con un entorno compartido, ambos usuarios se sientan frente a su propia máquina. Además, pueden escribir código al mismo tiempo, incluso si se encuentran en oficinas físicas diferentes.

  • Clases de informática: resultan útiles cuando los profesores o los profesores de apoyo quieren obtener acceso al entorno de un alumno. El objetivo puede ser corregir los deberes de un alumno o resolver problemas con sus entornos en tiempo real. Los alumnos pueden trabajar con sus compañeros en proyectos de deberes compartidos y escribir código juntos en un único entorno en tiempo real. Pueden hacerlo a pesar de estar en diferentes ubicaciones con sistemas operativos y tipos de navegador web diferentes.

  • Cualquier otra situación en la que varios usuarios necesiten colaborar en el mismo código en tiempo real.

Acerca de los roles de acceso de los miembros del entorno

Antes de compartir un entorno o de participar en un entorno compartido en AWS Cloud9, es preciso comprender los niveles de los permisos de acceso para un entorno compartido. Estos niveles de permisos se denominan roles de acceso de los miembros del entorno.

Un entorno compartido en AWS Cloud9 ofrece tres roles de acceso de miembro del entorno: propietario, lectura/escritura y solo lectura.

  • Un propietario tiene control total sobre un entorno. Cada entorno tiene un único propietario que es el creador del entorno. Un propietario puede realizar las siguientes acciones.

    • Agregar, modificar y eliminar miembros del entorno

    • Abrir, ver y modificar archivos

    • Ejecutar código

    • Cambiar la configuración del entorno de

    • Conversar con otros miembros

    • Eliminar mensajes de chat

    En el IDE de AWS Cloud9, un propietario del entorno se muestra con acceso de lectura y escritura.

  • Un miembro con acceso de lectura/escritura puede llevar a cabo las siguientes acciones.

    • Abrir, ver y modificar archivos

    • Ejecutar código

    • Cambiar varios valores de configuración del entorno desde el IDE de AWS Cloud9

    • Conversar con otros miembros

    • Eliminar mensajes de chat

    En el IDE de AWS Cloud9, los miembros con acceso de lectura/escritura se muestran con acceso de lectura y escritura.

  • Un miembro con acceso de solo lectura puede llevar a cabo las siguientes acciones.

    • Abrir y ver archivos

    • Conversar con otros miembros

    • Eliminar mensajes de chat

    En el IDE de AWS Cloud9, los miembros con acceso de solo lectura se muestran con acceso de Solo lectura.

Para que un usuario pueda convertirse en propietario o miembro de un entorno, debe cumplir alguno de los siguientes criterios.

  • El usuario es un usuario raíz de la Cuenta de AWS.

  • El usuario es un usuario administrador. Para obtener más información, consulte Creación del primer grupo y usuario administrador de IAM en la Guía del usuario de IAM.

  • Es un usuario que pertenece a un grupo de IAM, un usuario que asume un rol o un usuario federado que asume un rol, y ese grupo o rol tiene la política administrada por AWS de AWSCloud9Administrator o AWSCloud9User (o AWSCloud9EnvironmentMember, para ser un miembro solamente) adjunta. Para obtener más información, consulte Políticas administradas (predefinidas) de AWS.

    • Para adjuntar una de las políticas administradas anteriores a un grupo de IAM, puede utilizar la AWS Management Console o AWS Command Line Interface (AWS CLI) como se describe en los siguientes procedimientos.

    • Puede crear un rol en IAM con una de las políticas administradas anteriores para que lo asuma un usuario o un usuario federado. Para obtener más información, consulte Crear roles en la Guía del usuario de IAM. Para hacer que un usuario o un usuario federado asuma el rol, consulte la cobertura de la asunción de roles en Uso de las funciones de IAM en la Guía del usuario de IAM.

Adjuntar una política administrada de AWS para AWS Cloud9 a un grupo mediante la consola

El siguiente procedimiento describe cómo adjuntar una política administrada de AWS para AWS Cloud9 a un grupo mediante la consola.

  1. Si todavía no ha iniciado sesión en la AWS Management Console, hágalo ahora.

    Para este paso, se recomienda iniciar sesión con credenciales de nivel de administrador de IAM en su Cuenta de AWS. Si no puede hacerlo, consulte con el administrador de la Cuenta de AWS.

  2. Abra la consola de IAM. Para ello, en la barra de navegación de la consola, elija Services (Servicios). A continuación, elija IAM.

  3. Elija Groups (Grupos).

  4. Elija el nombre del grupo.

  5. En la pestaña Permissions (Permisos), en Managed Policies (Políticas administradas), elija Attach Policy (Adjuntar política).

  6. En la lista con los nombres de las políticas, seleccione una de las siguientes casillas.

    • AWSCloud9User (preferida) o AWSCloud9Administrator para habilitar a cada usuario del grupo como un propietario del entorno

    • AWSCloud9EnvironmentMember para habilitar a cada usuario del grupo como miembro únicamente

    (Si no ve uno de estos nombres de política en la lista, escríbalo en el cuadro Search (Búsqueda) para mostrarlo).

  7. Elija Asociar política.

Adjuntar una política administrada de AWS para AWS Cloud9 a un grupo mediante AWS CLI

nota

Si usa credenciales temporales administradas de AWS, no puede usar una sesión del terminal en el IDE de AWS Cloud9 para ejecutar algunos o la totalidad de los comandos de esta sección. Para abordar las prácticas recomendadas de seguridad de AWS, las credenciales temporales administradas de AWS no permiten que se ejecuten algunos comandos. En su lugar, puede ejecutar esos comandos desde una instalación independiente de la AWS Command Line Interface (AWS CLI).

Ejecute el comando attach-group-policy de IAM para asociar la política administrada de AWS para AWS Cloud9 al grupo. Especifique el nombre de grupo y el nombre de recurso de Amazon (ARN) de la política:

aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::aws:policy/POLICY_NAME

En el comando anterior, reemplace MyGroup por el nombre del grupo. Reemplace POLICY_NAME por el nombre de una de las siguientes políticas administradas de AWS.

  • AWSCloud9User (preferida) o AWSCloud9Administrator para habilitar a cada usuario del grupo como un propietario del entorno

  • AWSCloud9EnvironmentMember para habilitar a cada usuario del grupo como miembro únicamente

Invitar a un usuario en la misma cuenta que el entorno

Siga las instrucciones de esta sección para compartir un entorno de desarrollo de AWS Cloud9 de su propiedad en la Cuenta de AWS con un usuario en la misma cuenta.

  1. Supongamos que el usuario al que desea invitar no es uno de los siguientes tipos de usuarios. Asegúrese de que el usuario al que desea invitar ya tenga el rol de acceso del miembro del entorno correspondiente. Para obtener instrucciones, consulte Acerca de los roles de acceso de los miembros del entorno.

    • El usuario raíz de Cuenta de AWS.

    • Un usuario administrador.

    • Un usuario que pertenece a un grupo de IAM, un usuario que asume un rol o un usuario federado que asume un rol, y ese grupo o rol tiene la política administrada por AWS de AWSCloud9Administrator adjunta.

  2. Abra el entorno de su propiedad al que desea invitar al usuario, si este aún no está abierto.

  3. En la barra de menús del IDE de AWS Cloud9, realice una de las siguientes operaciones.

    • Elija Window, Share (Ventana, Compartir).

    • Elija Share (Compartir), situado junto al icono de engranaje Preferences (Preferencias).

      Comando Share de la barra de menús del IDE de AWS Cloud9

  4. En el cuadro de diálogo Share this environment (Compartir este entorno), en Invite Members (Invitar a miembros), escriba uno de los siguientes datos

    • Para invitar a un Usuario de IAM, ingrese el nombre del usuario.

    • Para invitar al usuario raíz de Cuenta de AWS, introduzca arn:aws:iam::123456789012:root. Reemplace 123456789012 por el ID de su Cuenta de AWS.

    • Para invitar a un usuario con un rol asumido o a un usuario federado con un rol asumido, introduzca arn:aws:sts::123456789012:assumed-role/MyAssumedRole/MyAssumedRoleSession. Reemplace 123456789012 por su ID de Cuenta de AWS y MyAssumedRole por el nombre del rol asumido. Reemplace MyAssumedRoleSession por el nombre de la sesión del rol asumido.

  5. Para que este usuario sea un miembro de solo lectura, elija R. Para que sea de lectura/escritura, elija RW.

  6. Elija Invitar.

    nota

    Si hace que este usuario sea miembro de lectura/escritura, se muestra un cuadro de diálogo con información sobre la posibilidad de que se pongan en peligro las credenciales de seguridad de AWS. La información siguiente proporciona más datos sobre este problema.

    Comparta un entorno solo con personas de confianza.

    Un miembro de lectura/escritura podría utilizar la AWS CLI, el AWS CloudShell o el SDK de AWS en el entorno para emprender acciones en AWS en su nombre. Además, si almacena las credenciales permanentes de acceso de AWS en el entorno, ese miembro podría copiarlas y utilizarlas fuera del entorno.

    Para solucionar este problema no basta con eliminar las credenciales permanentes de acceso de AWS del entorno y usar credenciales de acceso temporales de AWS en lugar. Disminuye la posibilidad de que el miembro copie esas credenciales temporales y las use fuera del entorno (puesto que esas credenciales temporales funcionarán durante un tiempo limitado). Sin embargo, las credenciales temporales siguen habilitando a un miembro de lectura/escritura para emprender acciones en AWS desde el entorno en su nombre.

  7. Contacte con el usuario para informarle de que puede abrir este entorno y comenzar a utilizarlo.

Hacer que un administrador de AWS Cloud9 en la misma cuenta que la del entorno se invite a sí mismo o a otros usuarios

nota

Si usa credenciales temporales administradas de AWS, no puede usar una sesión del terminal en el IDE de AWS Cloud9 para ejecutar algunos o la totalidad de los comandos de esta sección. Para abordar las prácticas recomendadas de seguridad de AWS, las credenciales temporales administradas de AWS no permiten que se ejecuten algunos comandos. En su lugar, puede ejecutar esos comandos desde una instalación independiente de la AWS Command Line Interface (AWS CLI).

Los siguientes tipos de usuarios pueden invitarse a sí mismos (o a otros usuarios de la misma Cuenta de AWS) a cualquier entorno en la misma cuenta.

  • El usuario raíz de Cuenta de AWS.

  • Un usuario administrador.

  • Un usuario que pertenece a un grupo de IAM, un usuario que asume un rol o un usuario federado que asume un rol, y ese grupo o rol tiene la política administrada por AWS de AWSCloud9Administrator adjunta.

Supongamos que el usuario invitado no es uno de los tipos de usuarios anteriores. Asegúrese de que el usuario ya tenga el rol de acceso del miembro del entorno correspondiente. Para obtener instrucciones, consulte Acerca de los roles de acceso de los miembros del entorno.

Para invitar al usuario, use la AWS CLI o el AWS CloudShell para ejecutar el comando create-environment-membership de AWS Cloud9.

aws cloud9 create-environment-membership --environment-id 12a34567b8cd9012345ef67abcd890e1 --user-arn USER_ARN --permissions PERMISSION_LEVEL

En el comando anterior, reemplace 12a34567b8cd9012345ef67abcd890e1 por el ID del entorno. Reemplace PERMISSION_LEVEL por read-write o read-only. Y reemplace USER_ARN por lo siguiente:

  • Para invitar a un usuario de IAM, introduzca arn:aws:iam::123456789012:user/MyUser. Reemplace 123456789012 por el ID de la Cuenta de AWS y reemplace MyUser por el nombre del usuario.

  • Para invitar al usuario raíz de Cuenta de AWS, introduzca arn:aws:iam::123456789012:root. Reemplace 123456789012 por el ID de su Cuenta de AWS.

  • Para invitar a un usuario con un rol asumido o a un usuario federado con un rol asumido, introduzca arn:aws:sts::123456789012:assumed-role/MyAssumedRole/MyAssumedRoleSession. Reemplace 123456789012 por el ID de su Cuenta de AWS. Reemplace MyAssumedRole por el nombre del rol asumido. Y reemplace MyAssumedRoleSession por el nombre de la sesión del rol asumido.

Por ejemplo, para invitar al usuario raíz de la Cuenta de AWS para el ID de cuenta 123456789012 a un entorno con el ID 12a34567b8cd9012345ef67abcd890e1 como miembro de lectura/escritura, ejecute el siguiente comando.

aws cloud9 create-environment-membership --environment-id 12a34567b8cd9012345ef67abcd890e1 --user-arn arn:aws:iam::123456789012:root --permissions read-write
nota

Si utiliza el AWS CloudShell, omita el prefijo aws de los comandos anteriores.