Options de configuration supplémentaires pour AWS Cloud9 (Team et Enterprise) - AWS Cloud9
Étape 1 : Créer une stratégie gérée par le clientÉtape 2 : Ajouter des stratégies gérées par le client à un groupeExemples de stratégies gérées par le client pour les équipes utilisant AWS Cloud9Étapes suivantes

AWS Cloud9 n'est plus disponible pour les nouveaux clients. Les clients existants de AWS Cloud9 peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Options de configuration supplémentaires pour AWS Cloud9 (Team et Enterprise)

Cette rubrique suppose que vous avez déjà terminé les étapes de configuration dans Configuration d'une équipe ou Configuration d'une entreprise.

Dans Configuration d'une équipe ou Configuration d'une entreprise, vous avez créé des groupes et ajouté directement les autorisations d'accès à AWS Cloud9 à ces groupes. Cela permet de garantir que les utilisateurs de ces groupes peuvent y accéder à AWS Cloud9. Dans cette section, vous ajoutez des autorisations d'accès pour limiter les types d'environnements que les utilisateurs de ces groupes peuvent créer. Cela peut vous aider à contrôler les coûts liés à AWS Cloud9 dans les comptes et les organisations AWS.

Pour ajouter ces autorisations d'accès, vous créez votre propre ensemble de politiques qui définissent les autorisations d'accès AWS que vous souhaitez appliquer. Nous appelons chacune d'elles une politique gérée par le client. Ensuite, vous attachez ces politiques gérées par le client aux groupes auxquels les utilisateurs appartiennent. Dans certains scénarios, vous devez également détacher les politiques gérées par AWS existantes qui sont déjà attachées à ces groupes. Pour cela, suivez les procédures de cette rubrique.

Note

Les procédures suivantes couvrent l'attachement et le détachement de stratégies pour les utilisateurs AWS Cloud9 uniquement. Ces procédures supposent que vous disposez déjà d'un groupe d'utilisateurs AWS Cloud9 et d'un groupe d'administrateurs AWS Cloud9 distincts. Elles supposent également que le nombre d'utilisateurs dans le groupe des administrateurs AWS Cloud9 est limité. Cette bonne pratique de sécurité AWS peut vous aider à mieux contrôler, suivre et résoudre les problèmes liés à l'accès aux ressources AWS.

Étape 1 : Créer une stratégie gérée par le client

Vous pouvez créer une politique gérée par le client à l'aide de la AWS Management Console ou de l'interface de ligne de commande AWS (AWS CLI).

Note

Cette étape couvre la création d'une politique gérée par le client pour les groupes IAM uniquement. Pour créer un jeu d'autorisations personnalisé pour les groupes dans AWS IAM Identity Center, ignorez cette étape et suivez les instructions fournies dans Create Permission Set (Création d'un jeu d'autorisations) dans le Guide de l'utilisateur AWS IAM Identity Center. Dans cette rubrique, suivez les instructions pour créer un jeu d'autorisations personnalisé. Pour voir des politiques d'autorisation personnalisées connexes, consultez Exemples de politiques gérées par le client pour les équipes utilisant AWS Cloud9 plus loin dans cette rubrique.

Création d'une stratégie gérée par le client à l'aide de la console

  1. Connectez-vous à la AWS Management Console si ce n'est pas déjà fait.

    Nous vous recommandons de vous connecter à l'aide des informations d'identification d'un utilisateur administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS.

  2. Ouvrez la console IAM. Pour ce faire, choisissez Services dans la barre de navigation de la console. Choisissez ensuite IAM.

  3. Dans le panneau de navigation du service, sélectionnez Stratégies.

  4. Sélectionnez Créer une politique.

  5. Sous l'onglet JSON, collez l'un de nos exemples de stratégies gérées par le client.

    Note

    Vous pouvez également créer vos propres stratégies gérées par le client. Pour plus d'informations, consultez la Référence de politique JSON IAM dans le Guide de l'utilisateur IAM et la documentation du Service AWS.

  6. Choisissez Review policy (Examiner une politique).

  7. Dans la page Examiner une stratégie, entrez un Nom et une Description facultative pour la stratégie, puis choisissez Créer une stratégie.

Répétez cette étape pour chaque politique gérée par le client supplémentaire que vous souhaitez créer. Ensuite, passez directement à Ajout de stratégies gérées par le client à un groupe avec la console.

Création d'une politique gérée par le client à l'aide de la AWS CLI

  1. Sur l'ordinateur où vous exécutez l'AWS CLI, créez un fichier pour décrire la stratégie (par exemple, policy.json).

    Si vous créez le fichier sous un autre nom, remplacez-le tout au long de cette procédure.

  2. Collez l'un des Exemples de stratégies gérées par le client dans le fichier policy.json.

    Note

    Vous pouvez également créer vos propres stratégies gérées par le client. Pour plus d'informations, consultez la Référence des stratégies JSON IAM dans le Guide de l'utilisateur IAM et la documentation des services AWS.

  3. Depuis le terminal ou l'invite de commande, accédez au répertoire contenant le fichier policy.json.

  4. Exécutez la commande IAM create-policy, en spécifiant le nom de la stratégie et le fichier policy.json.

    aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy

    Dans la commande précédente, remplacez MyPolicy par le nom de la stratégie.

Passez directement à Ajout de politiques gérées par le client à un groupe avec la AWS CLI.

Étape 2 : Ajouter des stratégies gérées par le client à un groupe

Vous pouvez ajouter des politiques gérées par le client à un groupe à l'aide de la AWS Management Console ou de l'interface de ligne de commande AWS (AWS CLI).

Note

Cette étape couvre l'ajout de politiques gérées par le client aux groupes IAM uniquement. Pour ajouter des jeux d'autorisations personnalisés aux groupes dans AWS IAM Identity Center, ignorez cette étape et suivez à la place les instructions fournies dans la rubrique Attribution d'un accès utilisateur du Guide de l'utilisateur AWS IAM Identity Center.

Ajout de stratégies gérées par le client à un groupe avec la console

  1. Avec la console IAM ouverte depuis la procédure précédente, choisissez Groupes dans le volet de navigation du service.

  2. Choisissez le nom du groupe.

  3. Dans l'onglet Autorisations, pour Stratégies gérées, choisissez Attacher la stratégie.

  4. Dans la liste des noms de politique, cochez la case en regard de chaque politique gérée par le client que vous souhaitez attacher au groupe. Si vous ne voyez pas un nom de politique spécifique dans la liste, saisissez le nom de la politique dans la zone Filter (Filtre) pour l'afficher.

  5. Choisissez Attach Policy (Attacher une politique).

Ajout de politiques gérées par le client à un groupe avec la AWS CLI

Note

Si vous utilisez des informations d'identification temporaires gérées par AWS, vous ne pouvez pas avoir recours à une session de terminal dans l'IDE AWS Cloud9 pour exécuter tout ou partie des commandes dans cette section. Pour respecter les bonnes pratiques AWS en matière de sécurité, les informations d'identification temporaires AWS n'autorisent pas l'exécution de certaines commandes. Dans ce cas, vous pouvez exécuter ces commandes depuis une installation distincte de l'AWS Command Line Interface (AWS CLI).

Exécutez la commande IAM attach-group-policy, en spécifiant le nom du groupe et l'ARN (Amazon Resource Name) de la stratégie.

aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy

Dans la commande précédente, remplacez MyGroup par le nom du groupe. Remplacez 123456789012 par l'ID de compte AWS. Puis remplacez MyPolicy par le nom de la politique gérée par le client.

Exemples de stratégies gérées par le client pour les équipes utilisant AWS Cloud9

Voici quelques exemples de politiques que vous pouvez utiliser pour restreindre les environnements que les utilisateurs d'un groupe peuvent créer dans un Compte AWS.

Interdiction aux utilisateurs d'un groupe de créer des environnements

La politique gérée par le client suivante, quand elle est attachée à un groupe d'utilisateurs AWS Cloud9, empêche ces utilisateurs de créer des environnements dans un Compte AWS. Ce paramètre est utile si vous souhaitez qu'un utilisateur administrateur dans votre Compte AWS gère la création des environnements. Dans le cas contraire, les utilisateurs AWS Cloud9 d'un groupe d'utilisateurs le font.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}

La politique gérée par le client précédente remplace explicitement "Effect": "Allow" par "Action": "cloud9:CreateEnvironmentEC2" et "cloud9:CreateEnvironmentSSH" sur "Resource": "*" dans la politique gérée par AWSCloud9User qui est déjà attachée au groupe d'utilisateurs AWS Cloud9.

Interdiction aux utilisateurs d'un groupe de créer des environnements EC2

La politique gérée par le client suivante, quand elle est attachée à un groupe d'utilisateurs AWS Cloud9, empêche ces utilisateurs de créer des environnements EC2 dans un Compte AWS. Ce paramètre est utile si vous souhaitez qu'un utilisateur administrateur dans votre Compte AWS gère la création des environnements EC2. Dans le cas contraire, les utilisateurs AWS Cloud9 d'un groupe d'utilisateurs le font. Cette politique suppose que vous n'avez pas également attaché une politique qui empêche les utilisateurs de ce groupe de créer des environnements SSH. Dans le cas contraire, ces utilisateurs ne peuvent pas créer d'environnements.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

La politique gérée par le client précédente remplace explicitement "Effect": "Allow" par "Action": "cloud9:CreateEnvironmentEC2" sur "Resource": "*" dans la politique gérée par AWSCloud9User qui est déjà attachée au groupe d'utilisateurs AWS Cloud9.

Autorisation pour les utilisateurs d'un groupe de créer des environnements EC2 uniquement avec des types d'instances Amazon EC2 spécifiques

La politique gérée par le client suivante, quand elle est associée à un groupe d'utilisateurs AWS Cloud9, permet aux utilisateurs dans le groupe d'utilisateurs de créer des environnements EC2 qui utilisent uniquement les types d'instance commençant par t2 dans un Compte AWS. Cette politique suppose que vous n'avez pas aussi attaché une politique qui empêche les utilisateurs de ce groupe de créer des environnements EC2. Dans le cas contraire, ces utilisateurs ne peuvent pas créer d'environnements EC2.

Vous pouvez remplacer "t2.*" dans la stratégie suivante par une autre classe d'instance (par exemple, "m4.*"). Ou vous pouvez la restreindre à plusieurs types d'instances ou classes d'instance (par exemple, [ "t2.*", "m4.*" ] ou [ "t2.micro", "m4.large" ]).

Pour un groupe d'utilisateurs AWS Cloud9, détachez la politique gérée par AWSCloud9User du groupe. Ajoutez ensuite la politique gérée par le client à la place. Si vous ne détachez pas la politique gérée par AWSCloud9User, la politique gérée par le client suivante ne s'applique pas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

La politique gérée par le client précédente permet également à ces utilisateurs de créer des environnements SSH. Pour empêcher ces utilisateurs de créer des environnements SSH, supprimez "cloud9:CreateEnvironmentSSH", de la politique gérée par le client précédente.

Autoriser les utilisateurs d'un groupe à créer un seul environnement EC2 dans chaque Région AWS

La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d'utilisateurs AWS Cloud9, autorise chacun de ces utilisateurs à créer au maximum un environnement EC2 dans chaque Région AWS dans laquelle AWS Cloud9 est disponible. C'est possible en limitant le nom de l'environnement à un nom spécifique dans cette Région AWS. Dans cet exemple, l'environnement est limité à my-demo-environment.

Note

AWS Cloud9 ne permet pas de restreindre la création d'environnements à une Régions AWS spécifique. AWS Cloud9 ne permet pas non plus de restreindre le nombre total d'environnements pouvant être créés. La seule exception concerne les limites de service publiées.

Pour un groupe d'utilisateurs AWS Cloud9, détachez la stratégie gérée AWSCloud9User du groupe, puis ajoutez à la place la stratégie gérée par le client suivant. Si vous ne détachez pas la politique gérée par AWSCloud9User, la politique gérée par le client suivante ne s'applique pas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

La politique gérée par le client précédente permet à ces utilisateurs de créer des environnements SSH. Pour empêcher ces utilisateurs de créer des environnements SSH, supprimez "cloud9:CreateEnvironmentSSH", de la politique gérée par le client précédente.

Pour obtenir plus d'exemples, consultez Exemples de politiques gérées par le client.

Étapes suivantes

Tâche Consultez cette rubrique

Créez un environnement de développement AWS Cloud9, puis utilisez l'IDE AWS Cloud9 pour utiliser le code dans votre nouvel environnement.

Création d'un environnement

Apprenez à utiliser l'IDE AWS Cloud9.

Mise en route : tutoriels de base et Utilisation de l'IDE

Invitez d'autres personnes à utiliser votre nouvel environnement en même temps que vous, en temps réel et avec prise en charge du chat.

Utilisation d'environnements partagés