AWS Cloud9 n'est plus disponible pour les nouveaux clients. Les clients existants de AWS Cloud9 peuvent continuer à utiliser le service normalement. En savoir plus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identity and Access Management pour AWS Cloud9

AWS Identity and Access Management (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser les AWS Cloud9 ressources. IAMest un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

Public ciblé

La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction du travail que vous effectuez AWS Cloud9.

Utilisateur du service : si vous utilisez le AWS Cloud9 service pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Au fur et à mesure que vous utilisez de nouvelles AWS Cloud9 fonctionnalités pour effectuer votre travail, vous aurez peut-être besoin d'autorisations supplémentaires. En comprenant bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur. Si vous ne pouvez pas accéder à une fonctionnalité dans AWS Cloud9, consultez Résolution des problèmes AWS Cloud9 d'identité et d'accès.

Administrateur du service — Si vous êtes responsable des AWS Cloud9 ressources de votre entreprise, vous avez probablement un accès complet à AWS Cloud9. C'est à vous de déterminer les AWS Cloud9 fonctionnalités et les ressources auxquelles les utilisateurs de votre service doivent accéder. Vous devez ensuite envoyer des demandes à votre IAM administrateur pour modifier les autorisations des utilisateurs de votre service. Consultez les informations de cette page pour comprendre les concepts de base deIAM. Pour en savoir plus sur la façon dont votre entreprise peut utiliser IAM avec AWS Cloud9, voirComment AWS Cloud9 fonctionne avec IAM.

IAMadministrateur — Si vous êtes IAM administrateur, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès à AWS Cloud9. Pour consulter des exemples de politiques AWS Cloud9 basées sur l'identité que vous pouvez utiliser dansIAM, consultez. Exemples de politiques basées sur l’identité pour AWS Cloud9

Authentification par des identités

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié (connecté à AWS) en tant que Utilisateur racine d'un compte AWS, en tant qu'IAMutilisateur ou en assumant un IAM rôle.

Vous pouvez vous connecter en AWS tant qu'identité fédérée en utilisant les informations d'identification fournies par le biais d'une source d'identité. AWS IAM Identity Center Les utilisateurs (IAMIdentity Center), l'authentification unique de votre entreprise et vos informations d'identification Google ou Facebook sont des exemples d'identités fédérées. Lorsque vous vous connectez en tant qu'identité fédérée, votre administrateur a préalablement configuré la fédération d'identité à l'aide de IAM rôles. Lorsque vous accédez à AWS l'aide de la fédération, vous assumez indirectement un rôle.

Selon le type d'utilisateur que vous êtes, vous pouvez vous connecter au portail AWS Management Console ou au portail AWS d'accès. Pour plus d'informations sur la connexion à AWS, consultez la section Comment vous connecter à votre compte Compte AWS dans le guide de Connexion à AWS l'utilisateur.

Si vous y accédez AWS par programmation, AWS fournit un kit de développement logiciel (SDK) et une interface de ligne de commande (CLI) pour signer cryptographiquement vos demandes à l'aide de vos informations d'identification. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même les demandes. Pour plus d'informations sur l'utilisation de la méthode recommandée pour signer vous-même les demandes, consultez la version 4 de AWS Signature pour les API demandes dans le guide de IAM l'utilisateur.

Quelle que soit la méthode d’authentification que vous utilisez, vous devrez peut-être fournir des informations de sécurité supplémentaires. Par exemple, il vous AWS recommande d'utiliser l'authentification multifactorielle (MFA) pour renforcer la sécurité de votre compte. Pour en savoir plus, voir Authentification multifactorielle dans le guide de l'AWS IAM Identity Center utilisateur et Authentification AWS multifactorielle IAM dans le guide de l'IAMutilisateur.

Compte AWS utilisateur root

Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, consultez la section Tâches nécessitant des informations d'identification utilisateur root dans le guide de IAM l'utilisateur.

Identité fédérée

La meilleure pratique consiste à obliger les utilisateurs humains, y compris ceux qui ont besoin d'un accès administrateur, à utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide Services AWS d'informations d'identification temporaires.

Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, d'un fournisseur d'identité Web AWS Directory Service, du répertoire Identity Center ou de tout utilisateur qui y accède à l'aide des informations d'identification fournies Services AWS par le biais d'une source d'identité. Lorsque des identités fédérées y accèdent Comptes AWS, elles assument des rôles, qui fournissent des informations d'identification temporaires.

Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Vous pouvez créer des utilisateurs et des groupes dans IAM Identity Center, ou vous pouvez vous connecter et synchroniser avec un ensemble d'utilisateurs et de groupes dans votre propre source d'identité afin de les utiliser dans toutes vos applications Comptes AWS et applications. Pour plus d'informations sur IAM Identity Center, consultez Qu'est-ce qu'IAMIdentity Center ? dans le guide de AWS IAM Identity Center l'utilisateur.

Utilisateurs et groupes IAM

Un IAMutilisateur est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou une seule application. Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d'identification temporaires plutôt que de créer des IAM utilisateurs dotés d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès. Toutefois, si vous avez des cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme auprès des IAM utilisateurs, nous vous recommandons de faire pivoter les clés d'accès. Pour plus d'informations, voir Rotation régulière des clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme dans le Guide de IAM l'utilisateur.

Un IAMgroupe est une identité qui définit un ensemble d'IAMutilisateurs. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez nommer un groupe IAMAdminset lui donner les autorisations nécessaires pour administrer IAM des ressources.

Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d’informations d’identification permanentes, mais les rôles fournissent des informations d’identification temporaires. Pour en savoir plus, consultez la section Cas d'utilisation pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.

IAMrôles

Un IAMrôle est une identité au sein de Compte AWS vous dotée d'autorisations spécifiques. Il est similaire à un IAM utilisateur, mais n'est pas associé à une personne en particulier. Pour assumer temporairement un IAM rôle dans le AWS Management Console, vous pouvez passer d'un rôle d'utilisateur à un IAM rôle (console). Vous pouvez assumer un rôle en appelant une AWS API opération AWS CLI or ou en utilisant une option personnaliséeURL. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultez la section Méthodes pour assumer un rôle dans le Guide de IAM l'utilisateur.

IAMles rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :

Gestion des accès à l’aide de politiques

Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal (utilisateur, utilisateur root ou session de rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de JSON documents. Pour plus d'informations sur la structure et le contenu des documents de JSON politique, voir Présentation des JSON politiques dans le guide de IAM l'utilisateur.

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.

IAMles politiques définissent les autorisations pour une action, quelle que soit la méthode que vous utilisez pour effectuer l'opération. Par exemple, supposons que vous disposiez d’une politique qui autorise l’action iam:GetRole. Un utilisateur appliquant cette politique peut obtenir des informations sur le rôle auprès du AWS Management Console AWS CLI, ou du AWS API.

Politiques basées sur l’identité

Les politiques basées sur l'identité sont JSON des documents de politique d'autorisation que vous pouvez joindre à une identité, telle qu'un IAM utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour savoir comment créer une politique basée sur l'identité, voir Définir des IAM autorisations personnalisées avec des politiques gérées par le client dans le Guide de l'IAMutilisateur.

Les politiques basées sur l’identité peuvent être classées comme des politiques en ligne ou des politiques gérées. Les politiques en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les politiques gérées sont des politiques autonomes que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre Compte AWS. Les politiques gérées incluent les politiques AWS gérées et les politiques gérées par le client. Pour savoir comment choisir entre une politique gérée ou une politique intégrée, voir Choisir entre les politiques gérées et les politiques intégrées dans le Guide de l'IAMutilisateur.

Politiques basées sur les ressources

Les politiques basées sur les ressources sont des documents JSON de stratégie que vous attachez à une ressource. Les politiques de confiance dans les IAM rôles et les politiques relatives aux compartiments Amazon S3 sont des exemples de politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez spécifier un principal dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser de politiques AWS gérées depuis une IAM stratégie basée sur les ressources.

Listes de contrôle d'accès (ACLs)

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLssont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format du document JSON de stratégie.

Amazon S3 et Amazon VPC sont des exemples de services compatiblesACLs. AWS WAF Pour en savoir plusACLs, consultez la présentation de la liste de contrôle d'accès (ACL) dans le guide du développeur Amazon Simple Storage Service.

Autres types de politique

AWS prend en charge d'autres types de politiques moins courants. Ces types de politiques peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants.

Plusieurs types de politique

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section Logique d'évaluation des politiques dans le guide de IAM l'utilisateur.

Comment AWS Cloud9 fonctionne avec IAM

Avant d'utiliser IAM pour gérer l'accès à AWS Cloud9, découvrez quelles IAM fonctionnalités sont disponibles AWS Cloud9.

Pour obtenir une vue d'ensemble de la façon dont AWS Cloud9 les autres AWS services fonctionnent avec la plupart des IAM fonctionnalités, consultez la section AWS Services compatibles IAM dans le Guide de IAM l'utilisateur.

Politiques basées sur l'identité pour AWS Cloud9

Prend en charge les politiques basées sur l’identité : oui

Les politiques basées sur l'identité sont JSON des documents de politique d'autorisation que vous pouvez joindre à une identité, telle qu'un IAM utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour savoir comment créer une politique basée sur l'identité, voir Définir des IAM autorisations personnalisées avec des politiques gérées par le client dans le Guide de l'IAMutilisateur.

Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Vous ne pouvez pas spécifier le principal dans une politique basée sur une identité, car celle-ci s’applique à l’utilisateur ou au rôle auquel elle est attachée. Pour en savoir plus sur tous les éléments que vous pouvez utiliser dans une JSON politique, consultez la référence aux éléments de IAM JSON politique dans le Guide de IAM l'utilisateur.

Exemples de politiques basées sur l'identité pour AWS Cloud9

Pour consulter des exemples de politiques AWS Cloud9 basées sur l'identité, consultez. Exemples de politiques basées sur l’identité pour AWS Cloud9

Politiques basées sur les ressources au sein de AWS Cloud9

Prend en charge les politiques basées sur les ressources : non

Les politiques basées sur les ressources sont des documents JSON de stratégie que vous attachez à une ressource. Les politiques de confiance dans les IAM rôles et les politiques relatives aux compartiments Amazon S3 sont des exemples de politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez spécifier un principal dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS

Pour activer l'accès entre comptes, vous pouvez spécifier un compte entier ou IAM des entités d'un autre compte comme principal dans une politique basée sur les ressources. L’ajout d’un principal entre comptes à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Lorsque le principal et la ressource sont différents Comptes AWS, un IAM administrateur du compte de confiance doit également accorder à l'entité principale (utilisateur ou rôle) l'autorisation d'accéder à la ressource. Pour ce faire, il attache une politique basée sur une identité à l’entité. Toutefois, si une politique basée sur des ressources accorde l’accès à un principal dans le même compte, aucune autre politique basée sur l’identité n’est requise. Pour plus d'informations, consultez la section Accès aux ressources entre comptes IAM dans le Guide de IAM l'utilisateur.

AWS Cloud9 ne prend pas en charge les politiques basées sur les ressources, mais vous pouvez toujours contrôler les autorisations relatives aux ressources de AWS Cloud9 l'environnement pour les membres de AWS Cloud9 l'environnement via le AWS Cloud9 API et. AWS Cloud9 IDE

Actions politiques pour AWS Cloud9

Prend en charge les actions de politique : oui

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Pour consulter la liste des AWS Cloud9 actions, reportez-vous à la section Actions définies par AWS Cloud9 dans la référence d'autorisation de service.

Les actions de politique en AWS Cloud9 cours utilisent le préfixe suivant avant l'action :

account

Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.

"Action": [
      "account:action1",
      "account:action2"
         ]

Pour consulter des exemples de politiques AWS Cloud9 basées sur l'identité, consultez. Exemples de politiques basées sur l’identité pour AWS Cloud9

Ressources politiques pour AWS Cloud9

Prend en charge les ressources de politique : oui

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L'élément Resource JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de spécifier une ressource en utilisant son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.

"Resource": "*"

Pour consulter la liste des types de AWS Cloud9 ressources et leurs caractéristiquesARNs, consultez la section Ressources définies par AWS Cloud9 dans la référence d'autorisation de service. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez la ARN section Actions définies par AWS Cloud9.

Pour consulter des exemples de politiques AWS Cloud9 basées sur l'identité, consultez. Exemples de politiques basées sur l’identité pour AWS Cloud9

Clés de conditions de politique pour AWS Cloud9

Prend en charge les clés de condition de politique spécifiques au service : oui

Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est étiquetée avec son nom IAM d'utilisateur. Pour plus d'informations, consultez IAMla section Éléments de politique : variables et balises dans le Guide de IAM l'utilisateur.

AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.

Pour consulter la liste des clés de AWS Cloud9 condition, reportez-vous à la section Clés de condition pour AWS Cloud9 la référence d'autorisation de service. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section Actions définies par AWS Cloud9.

Pour consulter des exemples de politiques AWS Cloud9 basées sur l'identité, consultez. Exemples de politiques basées sur l’identité pour AWS Cloud9

ACLsdans AWS Cloud9

Supports ACLs : Non

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLssont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format du document JSON de stratégie.

ABACavec AWS Cloud9

Supports ABAC (balises dans les politiques) : Oui

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. Dans AWS, ces attributs sont appelés balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à de nombreuses AWS ressources. Le balisage des entités et des ressources est la première étape deABAC. Vous concevez ensuite des ABAC politiques pour autoriser les opérations lorsque le tag du principal correspond à celui de la ressource à laquelle il essaie d'accéder.

ABACest utile dans les environnements qui se développent rapidement et aide dans les situations où la gestion des politiques devient fastidieuse.

Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’élément de condition d’une politique utilisant les clés de condition aws:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys.

Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est Oui. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est Partielle.

Pour plus d'informationsABAC, voir Définir des autorisations avec ABAC autorisation dans le Guide de IAM l'utilisateur. Pour consulter un didacticiel présentant les étapes de configurationABAC, voir Utiliser le contrôle d'accès basé sur les attributs (ABAC) dans le guide de l'IAMutilisateur.

Utilisation d'informations d'identification temporaires avec AWS Cloud9

Prend en charge les informations d’identification temporaires : oui

Certains Services AWS ne fonctionnent pas lorsque vous vous connectez à l'aide d'informations d'identification temporaires. Pour plus d'informations, y compris celles qui Services AWS fonctionnent avec des informations d'identification temporaires, consultez Services AWS la section relative à l'utilisation IAM dans le Guide de IAM l'utilisateur.

Vous utilisez des informations d'identification temporaires si vous vous connectez à l' AWS Management Console aide d'une méthode autre qu'un nom d'utilisateur et un mot de passe. Par exemple, lorsque vous accédez à AWS l'aide du lien d'authentification unique (SSO) de votre entreprise, ce processus crée automatiquement des informations d'identification temporaires. Vous créez également automatiquement des informations d’identification temporaires lorsque vous vous connectez à la console en tant qu’utilisateur, puis changez de rôle. Pour plus d'informations sur le changement de rôle, voir Passer d'un utilisateur à un IAM rôle (console) dans le guide de IAM l'utilisateur.

Vous pouvez créer manuellement des informations d'identification temporaires à l'aide du AWS CLI ou AWS API. Vous pouvez ensuite utiliser ces informations d'identification temporaires pour y accéder AWS. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d'informations, consultez la section Informations d'identification de sécurité temporaires dans IAM.

Transférer les sessions d'accès pour AWS Cloud9

Prend en charge les sessions d'accès transféré (FAS) : Oui

Lorsque vous utilisez un IAM utilisateur ou un rôle pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FASutilise les autorisations du principal appelant an Service AWS, combinées à la demande Service AWS pour adresser des demandes aux services en aval. FASles demandes ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur les politiques relatives FAS aux demandes, consultez la section Transférer les sessions d'accès.

Rôles de service pour AWS Cloud9

Prend en charge les rôles de service : oui

Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Création d'un rôle auquel déléguer des autorisations Service AWS dans le Guide de IAM l'utilisateur.

Rôles liés à un service pour AWS Cloud9

Prend en charge les rôles liés aux services : Oui

Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.

Pour plus de détails sur la création ou la gestion des rôles liés à un service, consultez la section AWS Services compatibles avec. IAM Recherchez un service dans le tableau qui inclut un Yes dans la colonne Rôle lié à un service. Choisissez le lien Oui pour consulter la documentation du rôle lié à ce service.

Exemples de politiques basées sur l’identité pour AWS Cloud9

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS Cloud9 . Ils ne peuvent pas non plus effectuer de tâches en utilisant le AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Créer des IAM politiques (console) dans le guide de l'IAMutilisateur.

Pour plus de détails sur les actions et les types de ressources définis par AWS Cloud9, y compris le format de ARNs pour chacun des types de ressources, voir Actions, ressources et clés de condition AWS Cloud9 dans la référence d'autorisation de service.

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS Cloud9 des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.

Utilisation de la console AWS Cloud9

Pour accéder à la AWS Cloud9 console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS Cloud9 des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui passent des appels uniquement vers le AWS CLI ou le AWS API. Au lieu de cela, autorisez uniquement l'accès aux actions correspondant à l'APIopération qu'ils tentent d'effectuer.

Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la AWS Cloud9 console, associez également la politique AWS Cloud9 ConsoleAccess ou la politique ReadOnly AWS gérée aux entités. Pour plus d'informations, consultez la section Ajouter des autorisations à un utilisateur dans le Guide de IAM l'utilisateur.

Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations

Cet exemple montre comment créer une politique qui permet aux IAM utilisateurs de consulter les politiques intégrées et gérées associées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide du AWS CLI ou. AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Résolution des problèmes AWS Cloud9 d'identité et d'accès

Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS Cloud9 etIAM.

Je ne suis pas autorisé à effectuer une action dans AWS Cloud9

Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.

L'exemple d'erreur suivant se produit lorsque l'mateojacksonIAMutilisateur essaie d'utiliser la console pour afficher les détails d'une my-example-widget ressource fictive mais ne dispose pas des awes:GetWidget autorisations fictives.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidget on resource: my-example-widget

Dans ce cas, la politique qui s’applique à l’utilisateur mateojackson doit être mise à jour pour autoriser l’accès à la ressource my-example-widget à l’aide de l’action awes:GetWidget.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

Je ne suis pas autorisé à effectuer iam : PassRole

Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter iam:PassRole l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à AWS Cloud9.

Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service.

L'exemple d'erreur suivant se produit lorsqu'un IAM utilisateur nommé marymajor essaie d'utiliser la console pour effectuer une action dans AWS Cloud9. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary ne dispose pas des autorisations nécessaires pour transférer le rôle au service.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action iam:PassRole.

Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.

Je souhaite permettre à des personnes extérieures Compte AWS à moi d'accéder à mes AWS Cloud9 ressources

Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.

Pour en savoir plus, consultez les éléments suivants :

Comment AWS Cloud9 fonctionne avec les IAM ressources et les opérations

AWS Identity and Access Management est utilisé pour gérer les autorisations qui vous permettent de travailler à la fois avec des environnements de AWS Cloud9 développement et avec d'autres Services AWS ressources.

AWS Cloud9 ressources et opérations

Dans AWS Cloud9, la ressource principale est un environnement AWS Cloud9 de développement. Dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Le tableau suivant répertorie l'environnementARNs. Pour plus d'informations, consultez les sections Amazon Resource Names (ARNs) et AWS Service Namespaces dans le Référence générale d'Amazon Web Services.

Par exemple, vous pouvez indiquer un environnement spécifique dans votre déclaration en utilisant son Amazon Resource Name (ARN), comme suit.

"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"

Pour spécifier toutes les ressources, utilisez le caractère générique (*) dans l'élément Resource.

"Resource": "*"

Pour spécifier plusieurs ressources dans une seule instruction, séparez leurs noms de ressources Amazon (ARNs) par des virgules.

"Resource": [
  "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX",
  "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
]

AWS Cloud9 fournit un ensemble d'opérations permettant de travailler avec AWS Cloud9 les ressources. Pour obtenir la liste, consultez AWS Cloud9 référence aux autorisations.

Présentation de la propriété des ressources

Le Compte AWS compte possède les ressources créées dans le compte, quelle que soit la personne qui les a créées.

Prenons en compte les cas d'utilisation et les scénarios suivants :

Gestion de l’accès aux ressources

Une politique d'autorisations décrit qui a accès à quelles ressources.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (ou IAMpolitiques). Les politiques associées à une ressource sont appelées politiques basées sur les ressources. AWS Cloud9 prend en charge les politiques basées à la fois sur l'identité et sur les ressources.

Chacune des API actions suivantes ne nécessite qu'une IAM politique à associer à l'IAMidentité qui souhaite appeler ces API actions :

Les API actions suivantes nécessitent une politique basée sur les ressources. Une IAM politique n'est pas obligatoire, mais elle en AWS Cloud9 utilise une IAM si elle est attachée à l'IAMidentité qui souhaite appeler ces API actions. La politique basée sur les ressources doit être appliquée à la ressource souhaitée AWS Cloud9  :

Pour plus d'informations sur le rôle de chacune de ces API actions, consultez la AWS Cloud9 APIréférence.

Vous ne pouvez pas associer une politique basée sur les ressources directement à une AWS Cloud9 ressource. AWS Cloud9 Attache plutôt les politiques appropriées basées sur les ressources aux AWS Cloud9 ressources lorsque vous ajoutez, modifiez, mettez à jour ou supprimez des membres de l'environnement.

Pour accorder à un utilisateur l'autorisation d'effectuer des actions sur les AWS Cloud9 ressources, vous devez associer une politique d'autorisation au IAM groupe auquel appartient l'utilisateur. Nous vous recommandons de joindre une politique AWS gérée (prédéfinie) dans la AWS Cloud9 mesure du possible. AWS les politiques gérées contiennent des ensembles prédéfinis d'autorisations d'accès pour les scénarios d'utilisation courants et les types d'utilisateurs, tels que l'administration complète d'un environnement, les utilisateurs de l'environnement et les utilisateurs qui n'ont qu'un accès en lecture seule à un environnement. Pour obtenir la liste des politiques AWS gérées pour AWS Cloud9, voirAWS politiques gérées pour AWS Cloud9.

Pour les autres scénarios d'utilisation et les types d'utilisateurs uniques, vous pouvez créer et attacher vos propres politiques gérées par le client. Consultez Options de configuration supplémentaires pour AWS Cloud9 et Création de politiques gérées par le client pour AWS Cloud9.

Pour associer une IAM politique (AWS gérée ou gérée par le client) à une IAM identité, consultez la section Attacher des IAM politiques (console) dans le guide de IAM l'utilisateur.

Autorisations de session pour les API opérations

Lorsque vous utilisez le AWS CLI ou AWS API pour créer par programmation une session temporaire pour un rôle ou un utilisateur fédéré, vous pouvez transmettre des politiques de session en tant que paramètre afin d'étendre la portée de la session de rôle. Cela implique que les autorisations effectives de la séance sont une combinaison des politiques basées sur une identité du rôle et des politiques de séance.

Lorsqu'une demande est faite pour accéder à une ressource au cours d'une séance, s'il n'existe aucune instruction Deny ni aucune instruction Allow applicable dans la politique de séance, le résultat de l'évaluation de la politique est un refus implicite. (Pour plus d'informations, voir Déterminer si une demande est autorisée ou refusée au sein d'un compte dans le Guide de IAM l'utilisateur.)

Toutefois, pour les AWS Cloud9 API opérations qui nécessitent une politique basée sur les ressources (voir ci-dessus), des autorisations sont accordées à l'IAMentité qui appelle si elle est spécifiée Principal dans la politique de ressources. Cette autorisation explicite a priorité sur le refus implicite de la politique de session, permettant ainsi à la session d'appeler l' AWS Cloud9 APIopération avec succès.

AWS politiques gérées pour AWS Cloud9

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez les politiques AWS gérées dans le Guide de IAM l'utilisateur.

AWS politique gérée : AWSCloud9Administrator

Vous pouvez associer la AWSCloud9Administrator politique à votre IAM identité.

Cette politique accorde administrative autorisations qui fournissent un accès administrateur à AWS Cloud9.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:*",
                "iam:GetUser",
                "iam:ListUsers",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:GetConnectionStatus"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        }
    ]
}

AWS politique gérée : AWSCloud9User

Vous pouvez associer la AWSCloud9User politique à votre IAM identité.

Cette politique accorde user autorisations pour créer des environnements de AWS Cloud9 développement et pour gérer des environnements propres.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:UpdateUserSettings",
                "cloud9:GetUserSettings",
                "iam:GetUser",
                "iam:ListUsers",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeInstanceTypeOfferings",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:CreateEnvironmentEC2",
                "cloud9:CreateEnvironmentSSH"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:OwnerArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserPublicKey"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:GetConnectionStatus"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        }
    ]
}

AWS politique gérée : AWSCloud9EnvironmentMember

Vous pouvez associer la AWSCloud9EnvironmentMember politique à votre IAM identité.

Cette politique accorde membership autorisations qui permettent de rejoindre un environnement AWS Cloud9 partagé.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserSettings",
                "cloud9:UpdateUserSettings",
                "iam:GetUser",
                "iam:ListUsers"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession",
                "ssm:GetConnectionStatus"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        }
    ]
}

AWS politique gérée : AWSCloud9ServiceRolePolicy

Le rôle lié au service AWSServiceRoleForAWSCloud9utilise cette politique pour permettre à l' AWS Cloud9 environnement d'interagir avec Amazon EC2 et AWS CloudFormation les ressources.

Détails de l’autorisation

Cela AWSCloud9ServiceRolePolicyaccorde aux AWSServiceRoleForAWSCloud 9 les autorisations nécessaires pour leur AWS Cloud9 permettre d'interagir avec les Services AWS (Amazon EC2 et AWS CloudFormation) nécessaires à la création et à l'exécution d'environnements de développement.

AWS Cloud9 définit les autorisations associées à ses rôles liés aux services et ne AWS Cloud9 peut assumer que ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.

Pour plus d'informations sur l' AWS Cloud9 utilisation des rôles liés à un service, consultez. Utilisation des rôles liés aux services pour AWS Cloud9

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateSecurityGroup",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceStatus",
				"cloudformation:CreateStack",
				"cloudformation:DescribeStacks",
				"cloudformation:DescribeStackEvents",
				"cloudformation:DescribeStackResources"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:TerminateInstances",
				"ec2:DeleteSecurityGroup",
				"ec2:AuthorizeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStack"
			],
			"Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringLike": {
					"aws:RequestTag/Name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": [
				"arn:aws:license-manager:*:*:license-configuration:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListInstanceProfiles",
				"iam:GetInstanceProfile"
			],
			"Resource": [
				"arn:aws:iam::*:instance-profile/cloud9/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"
			],
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com"
				}
			}
		}
	]
}

AWS Cloud9 mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS Cloud9 depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du AWS Cloud9 document.

Création de politiques gérées par le client pour AWS Cloud9

Si aucune des politiques AWS gérées ne répond à vos exigences en matière de contrôle d'accès, vous pouvez créer et associer vos propres politiques gérées par le client.

Pour créer une politique gérée par le client, voir Créer une IAM politique (console) dans le guide de IAM l'utilisateur.

Spécification des éléments d'une politique : effets, principaux, actions et ressources

Pour chaque AWS Cloud9 ressource, le service définit un ensemble d'APIopérations. Pour accorder des autorisations pour ces API opérations, AWS Cloud9 définit un ensemble d'actions que vous pouvez spécifier dans une politique.

Les éléments de base d'une politique sont les suivants :

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la référence des IAM JSON politiques dans le guide de IAM l'utilisateur.

Pour un tableau présentant toutes les AWS Cloud9 API actions et les ressources auxquelles elles s'appliquent, consultez leAWS Cloud9 référence aux autorisations.

Exemples de politiques gérées par le client

Dans cette section, vous trouverez des exemples de politiques qui accordent des autorisations pour les actions AWS Cloud9 . Vous pouvez adapter les exemples de IAM politiques suivants pour autoriser ou refuser explicitement AWS Cloud9 l'accès à vos IAM identités.

Pour créer ou associer une politique gérée par le client à une IAM identité, consultez les sections Créer une IAM politique (console) et Attacher des IAM politiques (console) dans le guide de IAM l'utilisateur.

Obtention d'informations sur les environnements

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité d'obtenir des informations sur n'importe quel environnement de son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DescribeEnvironments",
      "Resource": "*"
    }
  ]
}

Créez des EC2 environnements

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de créer des environnements de AWS Cloud9 EC2 développement dans son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

Créez EC2 des environnements avec des types d'EC2instances Amazon spécifiques

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de créer des environnements de AWS Cloud9 EC2 développement dans son compte. Toutefois, EC2 les environnements ne peuvent utiliser que la classe spécifiée de types d'EC2instances Amazon.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t3.*"
        }
      }
    }
  ]
}

Créez des EC2 environnements dans des VPC sous-réseaux Amazon spécifiques

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de créer des environnements de AWS Cloud9 EC2 développement dans son compte. Toutefois, EC2 les environnements ne peuvent utiliser que les VPC sous-réseaux Amazon spécifiés.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:SubnetId": [
            "subnet-12345678",
            "subnet-23456789"
          ]
        }
      }
    }
  ]
}

Création d'un EC2 environnement avec un nom d'environnement spécifique

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de créer un environnement de AWS Cloud9 EC2 développement dans son compte. Toutefois, l'EC2environnement ne peut utiliser que le nom spécifié.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    }
  ]
}

Créer SSH des environnements uniquement

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de créer des environnements de AWS Cloud9 SSH développement dans son compte. Cependant, l'entité ne peut pas créer d'environnements AWS Cloud9 EC2 de développement.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentSSH",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

Mise à jour des environnements ou empêchement de la mise à jour d'un environnement

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de modifier les informations relatives à n'importe quel environnement de AWS Cloud9 développement dans son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:UpdateEnvironment",
      "Resource": "*"
    }
  ]
}

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, empêche explicitement cette entité de modifier les informations relatives à l'environnement avec le nom de ressource Amazon spécifié (ARN).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:UpdateEnvironment",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

Obtention des membres d'un environnement

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, permet à cette entité d'obtenir une liste des membres de son compte pour n'importe quel environnement.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DescribeEnvironmentMemberships",
      "Resource": "*"
    }
  ]
}

Partage d'environnements uniquement avec un utilisateur spécifique

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, permet à cette entité de partager n'importe quel environnement de son compte uniquement avec l'utilisateur spécifié.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentMembership"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser"
        }
      }
    }
  ]
}

Blocage du partage des environnements

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, empêche cette entité de partager un environnement quelconque dans son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentMembership",
        "cloud9:UpdateEnvironmentMembership"
      ],
      "Resource": "*"
    }
  ]
}

Modification ou blocage de la modification des paramètres des membres d'un environnement

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, permet à cette entité de modifier les paramètres des membres dans n'importe quel environnement de leur compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:UpdateEnvironmentMembership",
      "Resource": "*"
    }
  ]
}

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, empêche explicitement cette entité de modifier les paramètres des membres de l'environnement avec le nom de ressource Amazon spécifié (ARN).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:UpdateEnvironmentMembership",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

Suppression ou blocage de la suppression des membres d'un environnement

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de supprimer n'importe quel membre de n'importe quel environnement de son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DeleteEnvironmentMembership",
      "Resource": "*"
    }
  ]
}

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, empêche explicitement cette entité de supprimer un membre de l'environnement avec le nom de ressource Amazon spécifié (ARN).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:DeleteEnvironmentMembership",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

Suppression ou blocage de la suppression d'un environnement

L'exemple de déclaration IAM de politique suivant, attaché à une IAM entité, permet à cette entité de supprimer n'importe quel environnement de son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DeleteEnvironment",
      "Resource": "*"
    }
  ]
}

L'exemple de déclaration de IAM politique suivant, attaché à une IAM entité, empêche explicitement cette entité de supprimer l'environnement avec le nom de ressource Amazon spécifié (ARN).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:DeleteEnvironment",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}

IAMPolitique personnalisée pour la création d'SSMenvironnements

Un problème d'autorisation se produit actuellement lors de la création d'un SSM environnement auquel sont associées AWSCloud9User les politiques AWSCloud9Administrator ou. L'exemple de déclaration IAM de politique suivant, lorsqu'il est attaché à une IAM entité, permet aux utilisateurs d'attacher et d'utiliser soit la stratégie AWS gérée, AWSCloud9Administrator soitAWSCloud9User.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:UpdateUserSettings",
                "cloud9:GetUserSettings",
                "iam:GetUser",
                "iam:ListUsers",
                "iam:ListRoles",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:CreateEnvironmentEC2",
                "cloud9:CreateEnvironmentSSH"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:OwnerArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserPublicKey"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"],
            "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"]
        },
        {
            "Effect": "Allow",
            "Action": ["iam:AttachRolePolicy"],
            "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"],
            "Condition": {
                "StringEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": [
                "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile"
            ]
        }
    ]
}

AWS Cloud9 référence aux autorisations

Vous pouvez utiliser des clés de condition AWS larges dans vos AWS Cloud9 polices pour exprimer des conditions. Pour obtenir une liste, voir Éléments IAM JSON de politique : condition dans le guide de IAM l'utilisateur.

Vous spécifiez les actions dans le champ Action de la politique. Pour spécifier une action, utilisez le cloud9: préfixe suivi du nom de l'APIopération (par exemple,"Action": "cloud9:DescribeEnvironments"). Pour spécifier plusieurs actions dans une même instruction, séparez-les par une virgule (par exemple, "Action": [ "cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).

Utilisation de caractères génériques

Vous spécifiez unARN, avec ou sans caractère générique (*), comme valeur de ressource dans le Resource champ de la politique. Vous pouvez utiliser un caractère générique pour spécifier plusieurs actions ou ressources. Par exemple, cloud9:* spécifie toutes les AWS Cloud9 actions et cloud9:Describe* indique toutes les AWS Cloud9 actions commençant parDescribe.

L'exemple suivant permet à une IAM entité d'obtenir des informations sur les environnements et les appartenances aux environnements de n'importe quel environnement de son compte.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

AWS Cloud9 APIopérations et autorisations requises pour les actions

AWS informations d'identification temporaires gérées

Dans AWS Cloud9 EC2 le cas d'un environnement de développement, AWS Cloud9 met des informations d' AWS accès temporaires à votre disposition dans l'environnement. Nous les appelons les informations d'identification temporaires gérées par AWS . Cela présente les avantages suivants :

Voici comment fonctionnent les informations d'identification temporaires AWS gérées chaque fois qu'un EC2 environnement tente d'accéder Service AWS à un pour le compte d'une AWS entité (par exemple, un IAM utilisateur) :

Le propriétaire d'un EC2 environnement peut activer ou désactiver les informations d'identification temporaires AWS gérées pour cet environnement à tout moment, comme suit :

Si vous désactivez les informations d'identification temporaires AWS gérées, l'environnement ne peut y accéder Services AWS, quelle que soit l' AWS entité qui fait la demande. Supposons toutefois que vous ne puissiez ou ne souhaitiez pas activer les informations d'identification temporaires AWS gérées pour un environnement et que vous ayez toujours besoin de cet environnement pour y accéder Services AWS. Envisagez alors les autres possibilités suivantes :

Les alternatives précédentes remplacent toutes les autorisations autorisées (ou refusées) par les informations d'identification temporaires AWS gérées dans un EC2 environnement.

Actions prises en charge par des informations d'identification temporaires AWS gérées

Dans un environnement de AWS Cloud9 EC2 développement, les informations d'identification temporaires AWS gérées autorisent toutes les AWS actions pour toutes les AWS ressources de l'appelant Compte AWS, avec les restrictions suivantes :

Si AWS Cloud9 cela ne prend pas en charge une action ou une ressource à laquelle vous devez accéder à un EC2 environnement, ou si les informations d'identification temporaires AWS gérées sont désactivées pour un EC2 environnement et que vous ne pouvez pas les réactiver, envisagez les alternatives suivantes :

Les alternatives précédentes remplacent toutes les autorisations autorisées (ou refusées) par les informations d'identification temporaires AWS gérées dans un EC2 environnement.

Création et mise à jour des informations d'identification temporaires AWS gérées

Pour un environnement de AWS Cloud9 EC2 développement, les informations d'identification temporaires AWS gérées sont créées la première fois que vous ouvrez l'environnement.

AWS les informations d'identification temporaires gérées sont mises à jour dans l'une des conditions suivantes :

Contrôle de l'accès aux informations d'identification temporaires gérées par AWS

Un collaborateur dont les informations d'identification temporaires AWS sont gérées peut les utiliser AWS Cloud9 pour interagir avec d'autres Services AWS personnes. Pour que seuls les collaborateurs de confiance reçoivent des informations d'identification temporaires gérées par AWS , ces informations d'identificatio sont désactivées si un nouveau membre est ajouté par un d'autre utilisateur que le propriétaire de l'environnement. Les informations d'identification sont désactivées par la suppression de la propriété dans le fichier ~/.aws/credentials.

Seul le propriétaire de l'environnement peut réactiver les informations d'identification temporaires AWS gérées afin qu'elles puissent être partagées avec d'autres membres. Lorsque le propriétaire de l'environnement ouvre leIDE, une boîte de dialogue confirme que les informations d'identification temporaires AWS gérées sont désactivées. Le propriétaire de l'environnement peut réactiver les informations d'identification de tous les membres ou les maintenir désactivées pour tous les membres.