AWS Cloud9 non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio come di consueto. [Ulteriori informazioni](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Identity and Access Management per AWS Cloud9
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS Cloud9 IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Cloud9 funziona con IAM](#security_iam_service-with-iam)
+ [Esempi di policy basate sull'identità per AWS Cloud9](#security_iam_id-based-policy-examples)
+ [Risoluzione dei problemi AWS Cloud9 di identità e accesso](#security_iam_troubleshoot)
+ [Come AWS Cloud9 funziona con le risorse e le operazioni IAM](#how-cloud9-with-iam)
+ [AWS politiche gestite per AWS Cloud9](#auth-and-access-control-managed-policies)
+ [Creazione di politiche gestite dai clienti per AWS Cloud9](#auth-and-access-control-customer-policies)
+ [AWS Cloud9 riferimento alle autorizzazioni](#auth-and-access-control-ref)
+ [AWS credenziali temporanee gestite](#auth-and-access-control-temporary-managed-credentials)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi AWS Cloud9 di identità e accesso](#security_iam_troubleshoot))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Cloud9 funziona con IAM](#security_iam_service-with-iam))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Cloud9](#security_iam_id-based-policy-examples))

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

## Come AWS Cloud9 funziona con IAM
<a name="security_iam_service-with-iam"></a>

Prima di utilizzare IAM per gestire l'accesso a AWS Cloud9, scopri con quali funzionalità IAM è disponibile l'uso AWS Cloud9.






**Funzionalità IAM che puoi utilizzare con AWS Cloud9**  

| Funzionalità IAM | AWS Cloud9 supporto | 
| --- | --- | 
|  [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags)  |   Sì  | 
|  [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#security_iam_service-with-iam-roles-service)  |   Sì  | 
|  [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked)  |   Sì  | 

Per avere una panoramica di alto livello su come AWS Cloud9 e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.

### Politiche basate sull'identità per AWS Cloud9
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

#### Esempi di politiche basate sull'identità per AWS Cloud9
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Per visualizzare esempi di politiche basate sull' AWS Cloud9 identità, vedere. [Esempi di policy basate sull'identità per AWS Cloud9](#security_iam_id-based-policy-examples)

### Politiche basate sulle risorse all'interno AWS Cloud9
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate su risorse:** no 

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

AWS Cloud9 non supporta politiche basate sulle risorse, ma è comunque possibile controllare le autorizzazioni relative alle risorse AWS Cloud9 ambientali per i membri dell'ambiente tramite AWS Cloud9 l'API e l'IDE. AWS Cloud9 AWS Cloud9 

### Azioni politiche per AWS Cloud9
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.



Per visualizzare un elenco di AWS Cloud9 azioni, vedere [Azioni definite da AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) nel *Service Authorization* Reference.

Le azioni politiche in AWS Cloud9 uso utilizzano il seguente prefisso prima dell'azione:

```
account
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.

```
"Action": [
      "account:action1",
      "account:action2"
         ]
```





Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Cloud9](#security_iam_id-based-policy-examples)

### Risorse politiche per AWS Cloud9
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Per visualizzare un elenco dei tipi di AWS Cloud9 risorse e relativi ARNs, vedere [Resources defined by AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).





Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Cloud9](#security_iam_id-based-policy-examples)

### Chiavi relative alle condizioni delle politiche per AWS Cloud9
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Per visualizzare un elenco di chiavi di AWS Cloud9 condizione, consulta [Condition keys for AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS Cloud9](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).

Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. [Esempi di policy basate sull'identità per AWS Cloud9](#security_iam_id-based-policy-examples)

### ACLs in AWS Cloud9
<a name="security_iam_service-with-iam-acls"></a>

**Supporti: No ACLs** 

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

### ABAC con AWS Cloud9
<a name="security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** sì

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

### Utilizzo di credenziali temporanee con AWS Cloud9
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

### Sessioni di accesso diretto per AWS Cloud9
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

### Ruoli di servizio per AWS Cloud9
<a name="security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** sì

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere AWS Cloud9 la funzionalità. Modifica i ruoli di servizio solo quando viene AWS Cloud9 fornita una guida in tal senso.

### Ruoli collegati ai servizi per AWS Cloud9
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli collegati ai servizi:** sì

 Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Esempi di policy basate sull'identità per AWS Cloud9
<a name="security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Cloud9 . Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.

Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Cloud9, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Cloud9 nel *Service* Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) Reference.

**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS Cloud9](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)

### Best practice per le policy
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Cloud9 risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

### Utilizzo della console AWS Cloud9
<a name="security_iam_id-based-policy-examples-console"></a>

Per accedere alla AWS Cloud9 console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Cloud9 risorse del tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.

Per garantire che utenti e ruoli possano ancora utilizzare la AWS Cloud9 console, allega anche la policy AWS Cloud9 `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.

### Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







## Risoluzione dei problemi AWS Cloud9 di identità e accesso
<a name="security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS Cloud9 IAM.

**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS Cloud9](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Cloud9 risorse](#security_iam_troubleshoot-cross-account-access)

### Non sono autorizzato a eseguire alcuna azione in AWS Cloud9
<a name="security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `awes:GetWidget` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidget on resource: my-example-widget
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `awes:GetWidget`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

### Non sono autorizzato a eseguire iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Cloud9.

Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS Cloud9. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

### Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Cloud9 risorse
<a name="security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS Cloud9 supporta queste funzionalità, consulta. [Come AWS Cloud9 funziona con IAM](#security_iam_service-with-iam)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.

## Come AWS Cloud9 funziona con le risorse e le operazioni IAM
<a name="how-cloud9-with-iam"></a>

AWS Identity and Access Management viene utilizzato per gestire le autorizzazioni che consentono di lavorare sia con ambienti di AWS Cloud9 sviluppo che con altre Servizi AWS risorse.

### AWS Cloud9 risorse e operazioni
<a name="access-permissions-overview-resources-and-operations"></a>

Nel AWS Cloud9, la risorsa principale è un ambiente di AWS Cloud9 sviluppo. In una policy, devi utilizzare un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy stessa. La tabella seguente elenca l'ambiente ARNs. Per ulteriori informazioni, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) nel. *Riferimenti generali di Amazon Web Services*


****  

| Tipo di risorsa | Formato ARN | 
| --- | --- | 
|  Ambiente  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|  Tutti gli ambienti di proprietà dell'account indicato nella Regione AWS specificata  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:*`   | 
|  Tutti gli ambienti di proprietà dell'account indicato nella regione specificata  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:*`   | 
|  Ogni AWS Cloud9 risorsa, indipendentemente dall'account e dalla regione  |   `arn:aws:cloud9:*`   | 

Ad esempio, nell'istruzione puoi indicare un ambiente specifico utilizzando il relativo nome della risorsa Amazon (ARN) come segue:

```
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
```

Per specificare tutte le risorse, utilizza il carattere jolly (`*`) nell'elemento `Resource`.

```
"Resource": "*"
```

Per specificare più risorse in un'unica istruzione, separa i rispettivi Amazon Resource Names (ARNs) con una virgola.

```
"Resource": [
  "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX",
  "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
]
```

AWS Cloud9 fornisce una serie di operazioni per lavorare con AWS Cloud9 le risorse. Per un elenco, consulta [AWS Cloud9 riferimento alle autorizzazioni](#auth-and-access-control-ref).

### Informazioni sulla proprietà delle risorse
<a name="auth-and-access-control-overview-resource-ownership"></a>

L' Account AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse. 

Considera i casi d'uso e gli scenari seguenti:
+ Supponiamo di utilizzare le credenziali dell'account root del proprio account Account AWS per creare un ambiente di AWS Cloud9 sviluppo. Sebbene possibile, questa operazione non è consigliata. In questo caso, il proprietario dell'ambiente Account AWS è tuo.
+ Supponiamo di creare un utente IAM nel tuo ambiente Account AWS e di concedere le autorizzazioni per creare un ambiente a quell'utente. Quindi, l'utente può creare un ambiente. Tuttavia, il tuo Account AWS, a cui appartiene l'utente, è ancora proprietario dell'ambiente.
+ Supponiamo che tu crei un ruolo IAM nel tuo ambiente Account AWS con le autorizzazioni necessarie per creare un ambiente. Quindi, chiunque possa assumere il ruolo può creare un ambiente. L' Account AWS a cui appartiene il ruolo è il proprietario dell'ambiente.

**Nota**  
Se si elimina un account utente che è il proprietario ARN di uno o più AWS Cloud9 ambienti, questi ambienti non avranno alcun proprietario. Una soluzione alternativa per questo scenario consiste nell'utilizzare l' AWS Cloud9 SDK per aggiungere un altro utente IAM con privilegi di lettura e scrittura utilizzando l'`CreateEnvironmentMembership`azione e il tipo di dati. `EnvironmentMember` Dopo aver aggiunto questo utente IAM, puoi copiare i file di ambiente in nuovi AWS Cloud9 ambienti e rendere questo proprietario il proprietario dell'ARN. Per ulteriori informazioni su questa azione [CreateEnvironmentMembership](https://docs.aws.amazon.com/cloud9/latest/APIReference/API_CreateEnvironmentMembership.html), consulta e per ulteriori informazioni su questo tipo di dati, consulta [EnvironmentMember](https://docs.aws.amazon.com/cloud9/latest/APIReference/API_EnvironmentMember.html)la *Guida di riferimento dell'AWS Cloud9 API*.

### Gestione dell'accesso alle risorse
<a name="access-permissions-overview-managing-access"></a>

La policy delle autorizzazioni descrive chi ha accesso a quali risorse.

**Nota**  
In questa sezione si esamina l'utilizzo di IAM in AWS Cloud9. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alla policy JSON di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

Le policy allegate a un'identità IAM; vengono definite *policy basate su identità* (o *policy IAM*). Le politiche allegate a una risorsa vengono chiamate politiche basate sulle *risorse*. AWS Cloud9 supporta politiche basate sull'identità e sulle risorse.

Ognuna delle seguenti operazioni API richiede solo una policy IAM da allegare all'identità IAM che desidera chiamare queste operazioni API:
+  `CreateEnvironmentEC2` 
+  `DescribeEnvironments` 

Le seguenti operazioni API richiedono una policy basata sulle risorse. Una policy IAM non è obbligatoria, ma AWS Cloud9 utilizza una policy IAM se è collegata all'identità IAM che desidera richiamare queste azioni API. La policy basata sulle risorse deve essere applicata alla risorsa desiderata: AWS Cloud9 
+  `CreateEnvironmentMembership` 
+  `DeleteEnvironment` 
+  `DeleteEnvironmentMembership` 
+  `DescribeEnvironmentMemberships` 
+  `DescribeEnvironmentStatus` 
+  `UpdateEnvironment` 
+  `UpdateEnvironmentMembership` 

Per ulteriori informazioni su ogni operazione API, consulta la *Documentazione di riferimento delle API di AWS Cloud9 *.

Non è possibile allegare una politica basata sulle risorse direttamente a una risorsa. AWS Cloud9 Al contrario, AWS Cloud9 associa alle risorse le politiche appropriate basate sulle risorse man mano che si aggiungono, modificano, aggiornano o eliminano i membri dell'ambiente. AWS Cloud9 

Per concedere a un utente le autorizzazioni per eseguire azioni sulle AWS Cloud9 risorse, alleghi una policy di autorizzazione a un gruppo IAM a cui l'utente appartiene. Ti consigliamo di allegare una policy AWS gestita (predefinita) per AWS Cloud9 ogni volta che è possibile. AWS le politiche gestite contengono set predefiniti di autorizzazioni di accesso per scenari di utilizzo e tipi di utente comuni, ad esempio l'amministrazione completa di un ambiente, gli utenti dell'ambiente e gli utenti che hanno accesso solo in sola lettura a un ambiente. Per un elenco delle politiche AWS gestite per, vedere. AWS Cloud9[AWS politiche gestite per AWS Cloud9](#auth-and-access-control-managed-policies)

Per ulteriori scenari di utilizzo e tipi di utente unici, è possibile creare e allegare le policy gestite dal cliente. Consulta [Opzioni di configurazione aggiuntive per AWS Cloud9](setup-teams.md) e [Creazione di politiche gestite dai clienti per AWS Cloud9](#auth-and-access-control-customer-policies).

Per allegare una policy IAM (AWS gestita o gestita dal cliente) a un'identità IAM, consulta [Allegare le politiche IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#attach-managed-policy-console) nella *IAM User Guide*.

### Autorizzazioni di sessione per operazioni API
<a name="session-and-resource-permissions"></a>

Quando utilizzi l' AWS API AWS CLI or per creare a livello di codice una sessione temporanea per un ruolo o un utente federato, puoi passare le policy di sessione come parametro per estendere l'ambito della sessione di ruolo. Vale a dire, che le autorizzazioni della sessione effettive sono [l'intersezione tra le policy basate sull'identità del ruolo e le policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session).

Quando viene effettuata una richiesta di accesso a una risorsa durante una sessione, in mancanza di istruzione `Deny` e istruzione `Allow` applicabile nella policy di sessione, il risultato della valutazione della policy è un [rifiuto implicito](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#AccessPolicyLanguage_Interplay). (Per ulteriori informazioni, consulta [Determinare se una richiesta è consentita o rifiutata in un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow) nella *Guida per l'utente di IAM*.)

Tuttavia, per le operazioni AWS Cloud9 API che richiedono una politica basata sulle risorse (vedi sopra), le autorizzazioni vengono concesse all'entità IAM che effettua la chiamata se è specificata come nella politica delle risorse. `Principal` Questa autorizzazione esplicita ha la precedenza sulla negazione implicita della politica di sessione, consentendo così alla sessione di chiamare correttamente l'operazione API. AWS Cloud9 

## AWS politiche gestite per AWS Cloud9
<a name="auth-and-access-control-managed-policies"></a>

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.

### AWS politica gestita: AWSCloud9 amministratore
<a name="security-iam-awsmanpol-AWSCloud9Administrator"></a>

È possibile allegare la policy `AWSCloud9Administrator` alle identità IAM.

Questa politica concede *administrative* le autorizzazioni che forniscono l'accesso come amministratore a. AWS Cloud9

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ AWS Cloud9 — Tutte le AWS Cloud9 azioni contenute nel loro. Account AWS
+ Amazon EC2: ottieni informazioni su più risorse Amazon VPC e subnet al loro interno. Account AWS
+ IAM: ottieni informazioni sugli utenti IAM e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze. Account AWS Account AWS 
+ Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la rispettiva istanza EC2 tramite Systems Manager. Per ulteriori informazioni, consulta [Accesso alle istanze EC2 senza ingresso con AWS Systems Manager](ec2-ssm.md)

Per visualizzare le autorizzazioni per questa politica, vedere [AWSCloud9Administrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloud9Administrator.html) nel *AWS Managed Policy* Reference.

### AWS policy gestita: Utente AWSCloud9
<a name="security-iam-awsmanpol-AWSCloud9User"></a>

È possibile allegare la policy `AWSCloud9User` alle identità IAM.

Questa politica concede *user* le autorizzazioni per creare ambienti di AWS Cloud9 sviluppo e gestire ambienti di proprietà.

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ AWS Cloud9 — Crea e ottieni informazioni sui loro ambienti e ottieni e modifica le impostazioni utente per i loro ambienti. 
+ Amazon EC2: ottieni informazioni su più risorse Amazon VPC e subnet al loro interno. Account AWS
+ IAM: ottieni informazioni sugli utenti IAM e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze. Account AWS Account AWS 
+ Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la rispettiva istanza EC2 tramite Systems Manager. Per ulteriori informazioni, consulta [Accesso alle istanze EC2 senza ingresso con AWS Systems Manager](ec2-ssm.md)

Per visualizzare le autorizzazioni per questa politica, consulta [AWSCloud9User](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloud9User.html) nel *AWS Managed Policy* Reference.

### AWS politica gestita: AWSCloud9 EnvironmentMember
<a name="security-iam-awsmanpol-AWSCloud9EnvironmentMember"></a>

È possibile allegare la policy `AWSCloud9EnvironmentMember` alle identità IAM.

Questa politica concede *membership* autorizzazioni che forniscono la possibilità di entrare a far parte di un ambiente AWS Cloud9 condiviso.

**Dettagli delle autorizzazioni**

Questa policy include le seguenti autorizzazioni:
+ AWS Cloud9 — Ottieni informazioni sui loro ambienti e ottieni e modifica le impostazioni utente per i loro ambienti. 
+ IAM: ottieni informazioni sugli utenti IAM nei loro Account AWS ambienti e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze Account AWS .
+ Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la rispettiva istanza EC2 tramite Systems Manager. Per ulteriori informazioni, consulta [Accesso alle istanze EC2 senza ingresso con AWS Systems Manager](ec2-ssm.md)

Per vedere le autorizzazioni per questa policy, consulta [AWSCloud9EnvironmentMember](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloud9EnvironmentMember.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWS politica gestita: `AWSCloud9ServiceRolePolicy`
<a name="security-iam-awsmanpol-AWSCloud9SLR"></a>

Il ruolo collegato ai servizi **AWSServiceRoleForAWSCloud9**utilizza questa policy per consentire all' AWS Cloud9 ambiente di interagire con Amazon CloudFormation EC2 e le risorse. 

**Dettagli delle autorizzazioni**

**AWSCloud9ServiceRolePolicy**Concede AWSService RoleFor AWSCloud9 le autorizzazioni necessarie AWS Cloud9 per consentire l'interazione con Servizi AWS (Amazon EC2 CloudFormation e) necessarie per creare ed eseguire ambienti di sviluppo.

AWS Cloud9 definisce le autorizzazioni dei suoi ruoli collegati ai servizi e solo può assumerne i ruoli. AWS Cloud9 Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

Per ulteriori informazioni sull' AWS Cloud9 utilizzo dei ruoli collegati ai servizi, vedere. [Utilizzo di ruoli collegati ai servizi per AWS Cloud9](using-service-linked-roles.md)

Per vedere le autorizzazioni per questa policy, consulta [AWSCloud9ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloud9ServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.

### AWS Cloud9 aggiornamenti alle politiche gestite AWS
<a name="security-iam-awsmanpol-updates"></a>

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Cloud9 da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Cloud9 documenti.


| Modifica | Descrizione | Data | 
| --- | --- | --- | 
|  È stata aggiunta una nuova azione alla politica **AWSCloud9dell'amministratore**.  |  L'`ssm:OpenDataChannel`azione è stata aggiunta alla politica **AWSCloud9dell'amministratore**. Questa azione garantirà agli utenti le autorizzazioni per aprire il canale dati per le sessioni SSM.  | 25 settembre 2025 | 
|  È stata aggiunta una nuova azione alla politica **AWSCloud9degli utenti**.  |  L'`ssm:OpenDataChannel`azione è stata aggiunta alla politica **AWSCloud9dell'utente**. Questa azione garantirà agli utenti le autorizzazioni per aprire il canale dati per le sessioni SSM.  | 25 settembre 2025 | 
|  È stata aggiunta una nuova azione alla **AWSCloud9EnvironmentMember**politica.  |  L'`ssm:OpenDataChannel`azione è stata aggiunta alla **AWSCloud9EnvironmentMember**politica. Questa azione garantirà agli utenti le autorizzazioni per aprire il canale dati per le sessioni SSM.  | 25 settembre 2025 | 
|  È stata aggiunta una nuova azione a **AWSCloud9Utente**, **AWSCloud9Amministratore** e **AWSCloud9EnvironmentMember**politiche.  |  L'`ssm:GetConnectionStatus`azione è stata aggiunta a **AWSCloud9User AWSCloud9** **Administrator** e **AWSCloud9EnvironmentMember**policy. Questa azione garantirà agli utenti le autorizzazioni per verificare lo stato della connessione SSM. L'`cloud9:ValidateEnvironmentName`API è stata rimossa dalla politica **AWSCloud9utente** in quanto obsoleta.  | 12 ottobre 2023 | 
|  **L'API è stata aggiunta alle politiche **AWSCloud9degli utenti e degli amministratori**AWSCloud9.**  |  Due nuove API sono state aggiunte alle politiche **AWSCloud9utente** e **AWSCloud9amministratore**, queste API sono `ec2:DescribeInstanceTypeOfferings` e`ec2:DescribeRouteTables`. Lo scopo di queste API è consentire di AWS Cloud9 verificare che la sottorete predefinita supporti il tipo di istanza scelto dal cliente durante la creazione di un AWS Cloud9 ambiente.  | 02 agosto 2023 | 
|  Aggiornato a [** AWSCloud9ServiceRolePolicy**](#security-iam-awsmanpol-AWSCloud9SLR)  |  [** AWSCloud9ServiceRolePolicy**](#security-iam-awsmanpol-AWSCloud9SLR)è stato aggiornato AWS Cloud9 per consentire l'avvio e l'arresto delle istanze Amazon EC2 gestite dalle configurazioni di licenza di License Manager.  | 12 gennaio 2022 | 
|  AWS Cloud9 ha iniziato a tenere traccia delle modifiche  |  AWS Cloud9 ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite.  | 15 marzo 2021 | 

## Creazione di politiche gestite dai clienti per AWS Cloud9
<a name="auth-and-access-control-customer-policies"></a>

Se nessuna delle politiche AWS gestite soddisfa i requisiti di controllo degli accessi, puoi creare e allegare politiche gestite dai clienti personalizzate.

Per creare una policy gestita dal cliente, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l'utente di IAM*.

**Topics**
+ [Specifica degli elementi della policy: effetti, principali, operazioni e risorse](#auth-and-access-control-customer-policies-specifying-policy-elements)
+ [Esempi di policy gestite dal cliente](#auth-and-access-control-customer-policies-examples)

### Specifica degli elementi della policy: effetti, principali, operazioni e risorse
<a name="auth-and-access-control-customer-policies-specifying-policy-elements"></a>

Per ogni AWS Cloud9 risorsa, il servizio definisce una serie di operazioni API. Per concedere le autorizzazioni per queste operazioni API, AWS Cloud9 definisce una serie di azioni che è possibile specificare in una politica.

Di seguito sono elencati gli elementi di base di una policy:
+  `Effect`: specifica l'effetto, ovvero l'autorizzazione o il diniego, quando l'utente richiede l'operazione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non possa accedere alla risorsa, anche se l'accesso viene concesso da un'altra policy.
+  `Principal`: nelle policy basate su identità (policy IAM), l'utente a cui la policy è allegata l'entità principale implicita. Per le policy basate sulle risorse, devi specificare utente, account, servizio o altre entità che desideri ricevano le autorizzazioni.
+  `Resource`: utilizza un nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy.
+  `Action`: utilizza parole chiave di operazione per identificare le operazioni sulla risorsa da consentire o rifiutare. Ad esempio, l'autorizzazione `cloud9:CreateEnvironmentEC2` fornisce all'utente le autorizzazioni per eseguire l'operazione `CreateEnvironmentEC2`.

Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [Riferimento alle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.

Per una tabella che mostra tutte le azioni AWS Cloud9 API e le risorse a cui si applicano, consulta la[AWS Cloud9 riferimento alle autorizzazioni](#auth-and-access-control-ref).

### Esempi di policy gestite dal cliente
<a name="auth-and-access-control-customer-policies-examples"></a>

In questa sezione sono disponibili policy di esempio che concedono le autorizzazioni per le operazioni di AWS Cloud9 . È possibile adattare le seguenti policy IAM di esempio per permettere o rifiutare esplicitamente l'accesso di AWS Cloud9 alle identità IAM.

Per creare o allegare una policy gestita dal cliente a un'identità IAM, consulta la sezione [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) e [Collegamento di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#attach-managed-policy-console) nella *Guida per l'utente di IAM*.

**Nota**  
I seguenti esempi utilizzano la regione degli Stati Uniti orientali (Ohio) (`us-east-2`), un Account AWS ID fittizio (`123456789012`) e un ambiente di AWS Cloud9 sviluppo fittizio ID (). `81e900317347585a0601e04c8d52eaEX`

**Topics**
+ [Informazioni sugli ambienti](#auth-and-access-control-customer-policies-examples-describe-environments)
+ [Creazione di ambienti EC2](#auth-and-access-control-customer-policies-examples-create-environment-ec2)
+ [Creazione di ambienti EC2 con tipi di istanze specifici di Amazon EC2](#auth-and-access-control-customer-policies-examples-ec2-instance-types)
+ [Creazione di ambienti EC2 in sottoreti Amazon VPC specifiche](#auth-and-access-control-customer-policies-examples-ec2-subnets)
+ [Creazione di ambienti EC2 con nome ambiente specifico](#auth-and-access-control-customer-policies-examples-ec2-name)
+ [Creazione solo di ambienti SSH](#auth-and-access-control-customer-policies-examples-no-ec2)
+ [Aggiornamento di ambienti o prevenzione aggiornamento di un ambiente](#auth-and-access-control-customer-policies-examples-update-environment)
+ [Elenchi di membri dell'ambiente](#auth-and-access-control-customer-policies-examples-describe-environment-memberships)
+ [Condivisione di ambienti solo con un utente specifico](#auth-and-access-control-customer-policies-examples-restrict-collaboration)
+ [Prevenzione della condivisione degli ambienti](#auth-and-access-control-customer-policies-examples-no-collaboration)
+ [Modifica o prevenzione della modifica delle impostazioni dei membri dell'ambiente](#auth-and-access-control-customer-policies-examples-update-environment-membership)
+ [Rimozione o prevenzione della rimozione dei membri dell'ambiente](#auth-and-access-control-customer-policies-examples-delete-environment-membership)
+ [Eliminazione o prevenzione dell'eliminazione di un ambiente](#auth-and-access-control-customer-policies-examples-delete-environment)
+ [Policy IAM personalizzata per la creazione di ambienti SSM](#custom-policy-ssm-environment)

#### Informazioni sugli ambienti
<a name="auth-and-access-control-customer-policies-examples-describe-environments"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di acquisire informazioni su qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DescribeEnvironments",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nelle politiche gestite e. AWS `AWSCloud9Administrator` `AWSCloud9User`

#### Creazione di ambienti EC2
<a name="auth-and-access-control-customer-policies-examples-create-environment-ec2"></a>

Il seguente esempio di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 EC2 nel proprio account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
La precedente autorizzazione di accesso è già inclusa nelle politiche AWS `AWSCloud9Administrator` gestite e. `AWSCloud9User`

#### Creazione di ambienti EC2 con tipi di istanze specifici di Amazon EC2
<a name="auth-and-access-control-customer-policies-examples-ec2-instance-types"></a>

Il seguente esempio di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 EC2 nel proprio account. Tuttavia, gli ambienti EC2 possono utilizzare solo la classe specificata dei tipi di istanza Amazon EC2.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t3.*"
        }
      }
    }
  ]
}
```

------

**Nota**  
Se la policy AWS gestita `AWSCloud9Administrator` o `AWSCloud9User` è già associata all'entità IAM, tale policy AWS gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.

#### Creazione di ambienti EC2 in sottoreti Amazon VPC specifiche
<a name="auth-and-access-control-customer-policies-examples-ec2-subnets"></a>

L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 EC2 nel proprio account. Tuttavia gli ambienti EC2 possono utilizzare solo sottoreti Amazon VPC specifiche.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:SubnetId": [
            "subnet-12345678",
            "subnet-23456789"
          ]
        }
      }
    }
  ]
}
```

------

**Nota**  
Se la policy AWS gestita `AWSCloud9Administrator` o `AWSCloud9User` è già associata all'entità IAM, tale policy AWS gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.

#### Creazione di ambienti EC2 con nome ambiente specifico
<a name="auth-and-access-control-customer-policies-examples-ec2-name"></a>

L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare un ambiente di sviluppo AWS Cloud9 EC2 nel proprio account. Tuttavia, l'ambiente EC2 può utilizzare solo il nome specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    }
  ]
}
```

------

**Nota**  
Se la policy AWS gestita `AWSCloud9Administrator` o `AWSCloud9User` è già associata all'entità IAM, tale policy AWS gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.

#### Creazione solo di ambienti SSH
<a name="auth-and-access-control-customer-policies-examples-no-ec2"></a>

L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 SSH nel proprio account. Tuttavia, l'entità non può creare ambienti di sviluppo AWS Cloud9 EC2.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentSSH",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}
```

------

#### Aggiornamento di ambienti o prevenzione aggiornamento di un ambiente
<a name="auth-and-access-control-customer-policies-examples-update-environment"></a>

L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di modificare le informazioni su qualsiasi ambiente di AWS Cloud9 sviluppo del proprio account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:UpdateEnvironment",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nella policy AWS `AWSCloud9Administrator` gestita.

La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di modificare le informazioni sull'ambiente con il nome della risorsa Amazon (ARN) specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:UpdateEnvironment",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}
```

------

#### Elenchi di membri dell'ambiente
<a name="auth-and-access-control-customer-policies-examples-describe-environment-memberships"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di acquisire un elenco di membri per qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DescribeEnvironmentMemberships",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. `AWSCloud9Administrator` Inoltre, l'autorizzazione di accesso precedente è più permissiva dell'autorizzazione di accesso equivalente nella politica gestita. AWS `AWSCloud9User`

#### Condivisione di ambienti solo con un utente specifico
<a name="auth-and-access-control-customer-policies-examples-restrict-collaboration"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di condividere qualsiasi ambiente nell'account solo con l'utente specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentMembership"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser"
        }
      }
    }
  ]
}
```

------

**Nota**  
Se la policy AWS gestita `AWSCloud9Administrator` o `AWSCloud9User` è già associata all'entità IAM, tali policy AWS gestite hanno la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.

#### Prevenzione della condivisione degli ambienti
<a name="auth-and-access-control-customer-policies-examples-no-collaboration"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di condividere qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentMembership",
        "cloud9:UpdateEnvironmentMembership"
      ],
      "Resource": "*"
    }
  ]
}
```

------

#### Modifica o prevenzione della modifica delle impostazioni dei membri dell'ambiente
<a name="auth-and-access-control-customer-policies-examples-update-environment-membership"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di modificare le impostazioni dei membri in qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:UpdateEnvironmentMembership",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nella politica gestita. AWS `AWSCloud9Administrator`

La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di modificare le impostazioni dei membri nell'ambiente con il nome della risorsa Amazon (ARN) specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:UpdateEnvironmentMembership",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}
```

------

#### Rimozione o prevenzione della rimozione dei membri dell'ambiente
<a name="auth-and-access-control-customer-policies-examples-delete-environment-membership"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di rimuovere qualunque membro da qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DeleteEnvironmentMembership",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. `AWSCloud9Administrator`

La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di rimuovere qualunque membro dall'ambiente con il nome della risorsa Amazon (ARN) specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:DeleteEnvironmentMembership",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}
```

------

#### Eliminazione o prevenzione dell'eliminazione di un ambiente
<a name="auth-and-access-control-customer-policies-examples-delete-environment"></a>

L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di eliminare qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloud9:DeleteEnvironment",
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. `AWSCloud9Administrator`

La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di eliminare l'ambiente con il nome della risorsa Amazon (ARN) specificato.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:DeleteEnvironment",
      "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX"
    }
  ]
}
```

------

#### Policy IAM personalizzata per la creazione di ambienti SSM
<a name="custom-policy-ssm-environment"></a>

Attualmente esiste un problema di autorizzazioni che si verifica quando si crea un ambiente SSM con le politiche `AWSCloud9Administrator` o `AWSCloud9User` allegate. L'esempio seguente di dichiarazione di policy IAM, se collegata a un'entità IAM, consente agli utenti di allegare e utilizzare la policy AWS `AWSCloud9Administrator` gestita o. `AWSCloud9User` 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:UpdateUserSettings",
                "cloud9:GetUserSettings",
                "iam:GetUser",
                "iam:ListUsers",
                "iam:ListRoles",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:CreateEnvironmentEC2",
                "cloud9:CreateEnvironmentSSH"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:OwnerArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:GetUserPublicKey"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloud9:DescribeEnvironmentMemberships"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "Null": {
                    "cloud9:UserArn": "true",
                    "cloud9:EnvironmentId": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/aws:cloud9:environment": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "cloud9.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"],
            "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"]
        },
        {
            "Effect": "Allow",
            "Action": ["iam:AttachRolePolicy"],
            "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"],
            "Condition": {
                "StringEquals": {
                    "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": [
                "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile"
            ]
        }
    ]
}
```

------

## AWS Cloud9 riferimento alle autorizzazioni
<a name="auth-and-access-control-ref"></a>

Puoi utilizzare chiavi AWS di condizione ampie nelle tue AWS Cloud9 politiche per esprimere le condizioni. Per ulteriori informazioni, consulta [Elementi delle policy JSON IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.

Puoi specificare le operazioni nel campo `Action` della policy. Per specificare un'operazione, utilizza il prefisso `cloud9:` seguito dal nome dell'operazione API (ad esempio, `"Action": "cloud9:DescribeEnvironments"`). Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola (ad esempio, `"Action": [ "cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]`).

### Utilizzo di caratteri jolly
<a name="auth-and-access-control-ref-wildcards"></a>

Puoi specificare un ARN, con o senza un carattere jolly (`*`), come valore della risorsa nel campo `Resource` della policy. È possibile utilizzare un carattere jolly per specificare più operazioni o risorse. Ad esempio, `cloud9:*` specifica tutte le AWS Cloud9 azioni e `cloud9:Describe*` specifica tutte le AWS Cloud9 azioni che iniziano con. `Describe`

L'esempio seguente permette a un'entità IAM di ottenere informazioni sugli ambienti e sulle appartenenze all'ambiente per qualsiasi ambiente nell'account.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:Describe*"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**Nota**  
L'autorizzazione di accesso precedente è già inclusa nella politica gestita. AWS `AWSCloud9Administrator` Inoltre, l'autorizzazione di accesso precedente è più permissiva dell'autorizzazione di accesso equivalente nella politica gestita. AWS `AWSCloud9User`

### AWS Cloud9 Operazioni API e autorizzazioni richieste per le azioni
<a name="auth-and-access-control-ref-matrix"></a>

**Nota**  
Puoi utilizzare le seguenti tabelle come riferimento quando configuri il controllo dell'accesso e scrivi le policy di autorizzazione da allegare a un'identità IAM (policy basate su identità).   
La [Public API operations](#callable-api) tabella elenca le operazioni API che possono essere richiamate dai clienti utilizzando SDKs e il AWS Command Line Interface.  
 [Permission-only API operations](#permissions-only-api) elenca le operazioni API che non sono direttamente richiamabili dal codice cliente o da AWS Command Line Interface. Tuttavia, gli utenti IAM richiedono autorizzazioni per tali operazioni che vengono chiamate quando le operazioni di AWS Cloud9 vengono eseguite dalla console. 


**Operazioni API pubbliche**  

| AWS Cloud9 operazione | Autorizzazioni richieste (operazione API) | Risorsa | 
| --- | --- | --- | 
|   `CreateEnvironmentEC2`   |   `cloud9:CreateEnvironmentEC2`  Necessario per creare un ambiente di sviluppo AWS Cloud9 EC2.  |   `*`   | 
|   `CreateEnvironmentMembership`   |   `cloud9:CreateEnvironmentMembership`  Necessario per aggiungere un membro a un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|   `DeleteEnvironment`   |   `cloud9:DeleteEnvironment`  Necessario per eliminare un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|   `DeleteEnvironmentMembership`   |   `cloud9:DeleteEnvironmentMembership`  Necessario per rimuovere un membro da un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|   `DescribeEnvironmentMemberships`   |   `cloud9:DescribeEnvironmentMemberships`  Necessario per ottenere un elenco di membri in un ambiente.  |   `*`   | 
|   `DescribeEnvironments`   |   `cloud9:DescribeEnvironments`  Necessario per ottenere informazioni su un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|   `DescribeEnvironmentStatus`   |   `cloud9:DescribeEnvironmentStatus`  Necessario per ottenere informazioni sullo stato di un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|   `UpdateEnvironment`   |   `cloud9:UpdateEnvironment`  Necessario per aggiornare le impostazioni di un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 
|   `UpdateEnvironmentMembership`   |   `cloud9:UpdateEnvironmentMembership`  Necessario per aggiornare le impostazioni di un membro di un ambiente.  |   `arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID `   | 


**Operazioni API di sola autorizzazione**  

| AWS Cloud9 operazione | Description | Documentazione della console | 
| --- | --- | --- | 
|   `ActivateEC2Remote`   |   `cloud9:ActivateEC2Remote`  Avvia l'istanza Amazon EC2 a cui si connette il tuo AWS Cloud9 IDE.  |   [Aprire un ambiente in AWS Cloud9](open-environment.md)   | 
|   `CreateEnvironmentSSH`   |   `cloud9:CreateEnvironmentSSH`  Crea un ambiente di sviluppo AWS Cloud9 SSH.  |   [Creazione di un ambiente SSH](create-environment-ssh.md)  | 
|   `CreateEnvironmentToken`   |   `cloud9:CreateEnvironmentToken`  Crea un token di autenticazione che permette una connessione tra l'IDE AWS Cloud9 e l'ambiente dell'utente.  |   [Creare un ambiente EC2](create-environment-main.md)  | 
|   `DescribeEC2Remote`   |   `cloud9:DescribeEC2Remote`  Ottiene i dettagli sulla connessione all'ambiente di sviluppo EC2, inclusi host, utente e porta.  |   [Creare un ambiente EC2](create-environment-main.md)  | 
|   `DescribeSSHRemote`   |   `cloud9:DescribeSSHRemote`  Ottiene i dettagli sulla connessione all'ambiente di sviluppo SSH, inclusi host, utente e porta.  |   [Creazione di un ambiente SSH](create-environment-ssh.md)   | 
|   `GetEnvironmentConfig`   |  `cloud9:GetEnvironmentConfig`  Ottiene informazioni sulla configurazione utilizzata per inizializzare l'IDE AWS Cloud9 .  |   [Lavorare con l' AWS Cloud9 IDE](ide.md)   | 
|   `GetEnvironmentSettings`   |  `cloud9:GetEnvironmentSettings`  Ottiene le impostazioni AWS Cloud9 IDE per un ambiente di sviluppo specificato.  |   [Lavorare con l' AWS Cloud9 IDE](ide.md)   | 
|   `GetMembershipSettings`   |   `cloud9:GetMembershipSettings`  Ottiene le impostazioni AWS Cloud9 IDE per un membro dell'ambiente specificato.  |   [Lavorare con un ambiente condiviso in AWS Cloud9](share-environment.md)   | 
|   `GetUserPublicKey`   |   `cloud9:GetUserPublicKey`  Ottiene la chiave SSH pubblica dell'utente, utilizzata da per connettersi AWS Cloud9 agli ambienti di sviluppo SSH.  |   [Creazione di un ambiente SSH](create-environment-ssh.md)   | 
|   `GetUserSettings`   |   `cloud9:GetUserSettings`  Ottiene le impostazioni AWS Cloud9 IDE per un utente specificato.  |   [Lavorare con l' AWS Cloud9 IDE](ide.md)   | 
|   `ModifyTemporaryCredentialsOnEnvironmentEC2`   |  `cloud9:ModifyTemporaryCredentialsOnEnvironmentEC2`  Imposta credenziali temporanee AWS gestite sull'istanza Amazon EC2 utilizzata AWS Cloud9 dall'ambiente di sviluppo integrato (IDE).  |   [AWS credenziali temporanee gestite](#auth-and-access-control-temporary-managed-credentials)   | 
|   `UpdateEnvironmentSettings`   |   `cloud9:UpdateEnvironmentSettings`  Aggiorna le impostazioni AWS Cloud9 IDE per un ambiente di sviluppo specificato.  |   [Lavorare con l' AWS Cloud9 IDE](ide.md)   | 
|   `UpdateMembershipSettings`   |   `cloud9:UpdateMembershipSettings`  Aggiorna le impostazioni AWS Cloud9 IDE per un membro dell'ambiente specificato.  |   [Lavorare con un ambiente condiviso in AWS Cloud9](share-environment.md)   | 
|   `UpdateSSHRemote`   |   `cloud9:UpdateSSHRemote`  Aggiorna i dettagli sulla connessione all'ambiente di sviluppo SSH, inclusi host, utente e porta.  |   [Creazione di un ambiente SSH](create-environment-ssh.md)   | 
|   `UpdateUserSettings`   |   `cloud9:UpdateUserSettings`  Aggiorna le impostazioni AWS Cloud9 IDE per un utente specificato.  |   [Lavorare con l' AWS Cloud9 IDE](ide.md)   | 
|   `GetMigrationExperiences`   |   `cloud9:GetMigrationExperiences`  Concede l'autorizzazione a un AWS Cloud9 utente per ottenere l'esperienza di migrazione da AWS Cloud9 a CodeCatalyst.  | 

## AWS credenziali temporanee gestite
<a name="auth-and-access-control-temporary-managed-credentials"></a>


****  

|  | 
| --- |
|  Se stai solo cercando l'elenco delle azioni supportate dalla AWS gestione delle credenziali temporanee, vai avanti a. [Azioni supportate da credenziali temporanee AWS gestite](#auth-and-access-control-temporary-managed-credentials-supported)  | 

Per un ambiente di sviluppo AWS Cloud9 EC2, AWS Cloud9 rende disponibili le credenziali di AWS accesso temporanee nell'ambiente. Tali credenziali sono definite *credenziali temporanee gestite da AWS *. Ciò fornisce i seguenti vantaggi:
+ Non è necessario archiviare le credenziali di AWS accesso permanenti di un' AWS entità (ad esempio, un utente IAM) in qualsiasi parte dell'ambiente. In questo modo si impedisce ai membri dell'ambiente di accedere alle credenziali senza consenso e approvazione.
+ Non è necessario impostare manualmente, gestire o allegare un profilo dell'istanza all'istanza Amazon EC2 che si connette all'ambiente. Un profilo di istanza è un altro approccio per la gestione delle credenziali di AWS accesso temporanee.
+ AWS Cloud9 rinnova continuamente le proprie credenziali temporanee, quindi un singolo set di credenziali può essere utilizzato solo per un periodo di tempo limitato. Si tratta di una procedura consigliata in materia di sicurezza. AWS Per ulteriori informazioni, consulta [Creazione e aggiornamento di credenziali temporanee AWS gestite](#auth-and-access-control-temporary-managed-credentials-create-update).
+ AWS Cloud9 impone ulteriori restrizioni sul modo in cui le sue credenziali temporanee possono essere utilizzate per accedere ad AWS azioni e risorse dall'ambiente. Si tratta anche di una best practice in AWS materia di sicurezza.

**Importante**  
Attualmente, se l'istanza EC2 dell'ambiente viene lanciata in una **sottorete privata**, non è possibile utilizzare credenziali temporanee AWS gestite per consentire all'ambiente EC2 di accedere a un AWS servizio per conto di un' AWS entità (ad esempio, un utente IAM).  
Per ulteriori informazioni su quando è possibile avviare un'istanza EC2 in una sottorete privata, consulta [Crea una sottorete per AWS Cloud9](vpc-settings.md#vpc-settings-create-subnet).

**Nota**  
Prendi in considerazione l'utilizzo di una policy AWS gestita anziché una policy in linea quando utilizzi credenziali temporanee gestite. AWS 

Ecco come funzionano le credenziali temporanee AWS gestite ogni volta che un ambiente EC2 tenta di accedere a un file per Servizio AWS conto di un' AWS entità (ad esempio, un utente IAM):

1. AWS Cloud9 verifica se l' AWS entità chiamante (ad esempio, l'utente IAM) dispone delle autorizzazioni per eseguire l'azione richiesta per la risorsa richiesta in. AWS Se l'autorizzazione non esiste o è negata esplicitamente, la richiesta ha esito negativo.

1. AWS Cloud9 controlla le credenziali temporanee AWS gestite per vedere se le relative autorizzazioni consentono l'azione richiesta per la risorsa richiesta in. AWS Se l'autorizzazione non esiste o è negata esplicitamente, la richiesta ha esito negativo. Per un elenco delle autorizzazioni supportate dalla AWS gestione delle credenziali temporanee, vedere. [Azioni supportate da credenziali temporanee AWS gestite](#auth-and-access-control-temporary-managed-credentials-supported)
+ Se sia l' AWS entità che le credenziali temporanee AWS gestite consentono l'azione richiesta per la risorsa richiesta, la richiesta ha esito positivo.
+ Se l' AWS entità o le credenziali temporanee AWS gestite negano o non consentono esplicitamente l'azione richiesta per la risorsa richiesta, la richiesta ha esito negativo. Ciò significa che, anche se l' AWS entità chiamante dispone delle autorizzazioni corrette, la richiesta avrà esito negativo se AWS Cloud9 non la consente anche in modo esplicito. Allo stesso modo, se AWS Cloud9 consente di eseguire un'azione specifica per una risorsa specifica, la richiesta ha esito negativo se l' AWS entità non la consente anche esplicitamente.

Il proprietario di un ambiente EC2 può attivare o disattivare le credenziali temporanee AWS gestite per quell'ambiente in qualsiasi momento, come segue:

1. **Con l'ambiente aperto, nell' AWS Cloud9 IDE, nella barra dei menu scegli Preferenze AWS Cloud9.**

1. Nella scheda **Preferences (Preferenze)** nel riquadro di navigazione, selezionare **AWS Settings, Credentials (Impostazioni AWS , credenziali)**.

1. Utilizza **AWS managed temporary credentials** (Credenziali temporanee gestite da AWS ) per attivare o disattivare le credenziali temporanee gestite da AWS .

**Nota**  
È inoltre possibile attivare o disattivare le credenziali temporanee AWS gestite richiamando l'operazione AWS Cloud9 API [https://docs.aws.amazon.com/cloud9/latest/APIReference/API_UpdateEnvironment.html](https://docs.aws.amazon.com/cloud9/latest/APIReference/API_UpdateEnvironment.html)e assegnando un valore al `managedCredentialsAction` parametro. È possibile richiedere questa operazione API utilizzando AWS strumenti standard come AWS SDKs e il. AWS CLI

Se disattivi le credenziali temporanee AWS gestite, l'ambiente non può accedervi a nessuna Servizi AWS, indipendentemente dall' AWS entità che effettua la richiesta. Supponiamo tuttavia che tu non possa o non voglia attivare le credenziali temporanee AWS gestite per un ambiente e che tu abbia comunque bisogno dell'ambiente per accedere. Servizi AWS In questo caso, considera le seguenti alternative:
+ Allega un profilo dell'istanza all'istanza Amazon EC2 che si connette all'ambiente. Per istruzioni, consulta la sezione relativa alla [creazione e utilizzo di un profilo dell'istanza per gestire credenziali temporanee](credentials.md#credentials-temporary).
+ Archivia le tue credenziali di AWS accesso permanenti nell'ambiente, ad esempio impostando variabili di ambiente speciali o eseguendo il comando. `aws configure` Per istruzioni, consulta [Creazione e archiviazione di credenziali di accesso permanenti in un ambiente](credentials.md#credentials-permanent-create).

Le precedenti alternative sostituiscono tutte le autorizzazioni permesse (o negate) dalle credenziali temporanee gestite da AWS in un ambiente EC2.

### Azioni supportate da credenziali temporanee AWS gestite
<a name="auth-and-access-control-temporary-managed-credentials-supported"></a>

In un ambiente di sviluppo AWS Cloud9 EC2, le credenziali temporanee AWS gestite consentono tutte AWS le azioni per tutte le AWS risorse del chiamante Account AWS, con le seguenti restrizioni:
+ Infatti AWS Cloud9, sono consentite solo le seguenti azioni:
  +  `cloud9:CreateEnvironmentEC2` 
  +  `cloud9:CreateEnvironmentSSH` 
  +  `cloud9:DescribeEnvironmentMemberships` 
  +  `cloud9:DescribeEnvironments` 
  +  `cloud9:DescribeEnvironmentStatus` 
  +  `cloud9:UpdateEnvironment` 
+ Per IAM, sono consentite solo le seguenti operazioni:
  +  `iam:AttachRolePolicy` 
  +  `iam:ChangePassword` 
  +  `iam:CreatePolicy` 
  +  `iam:CreatePolicyVersion` 
  +  `iam:CreateRole` 
  +  `iam:CreateServiceLinkedRole` 
  +  `iam:DeletePolicy` 
  +  `iam:DeletePolicyVersion` 
  +  `iam:DeleteRole` 
  +  `iam:DeleteRolePolicy` 
  +  `iam:DeleteSSHPublicKey` 
  +  `iam:DetachRolePolicy` 
  +  `iam:GetInstanceProfile` 
  +  `iam:GetPolicy` 
  +  `iam:GetPolicyVersion` 
  +  `iam:GetRole` 
  +  `iam:GetRolePolicy` 
  +  `iam:GetSSHPublicKey` 
  +  `iam:GetUser` 
  +  `iam:List*` 
  +  `iam:PassRole` 
  +  `iam:PutRolePolicy` 
  +  `iam:SetDefaultPolicyVersion` 
  +  `iam:UpdateAssumeRolePolicy` 
  +  `iam:UpdateRoleDescription` 
  +  `iam:UpdateSSHPublicKey` 
  +  `iam:UploadSSHPublicKey` 
+ Tutte le operazioni &IAM; che interagiscono con i ruoli sono consentite solo per i nomi dei ruoli che iniziano con `Cloud9-`. Tuttavia, `iam:PassRole` funziona con tutti i nomi di ruolo.
+ Per AWS Security Token Service (AWS STS), sono consentite solo le seguenti azioni:
  +  `sts:GetCallerIdentity` 
  +  `sts:DecodeAuthorizationMessage` 
+ Tutte le AWS azioni supportate sono limitate all'indirizzo IP dell'ambiente. Si tratta di una procedura consigliata in materia di AWS sicurezza.

Se AWS Cloud9 non supporta un'azione o una risorsa a cui è necessario accedere in un ambiente EC2, o se le credenziali temporanee AWS gestite sono disattivate per un ambiente EC2 e non puoi riattivarle, considera le seguenti alternative:
+ Allega un profilo dell'istanza all'istanza Amazon EC2 che si connette all'ambiente EC2. Per istruzioni, consulta [Creazione e utilizzo di un profilo dell'istanza per gestire le credenziali temporanee](credentials.md#credentials-temporary).
+ Archivia le tue credenziali di AWS accesso permanenti nell'ambiente EC2, ad esempio impostando variabili di ambiente speciali o eseguendo il comando. `aws configure` Per istruzioni, consulta [Creazione e archiviazione di credenziali di accesso permanenti in un ambiente](credentials.md#credentials-permanent-create).

Le precedenti alternative sostituiscono tutte le autorizzazioni permesse (o negate) dalle credenziali temporanee gestite da AWS in un ambiente EC2.

#### Creazione e aggiornamento di credenziali temporanee AWS gestite
<a name="auth-and-access-control-temporary-managed-credentials-create-update"></a>

Per un ambiente di sviluppo AWS Cloud9 EC2, le credenziali temporanee AWS gestite vengono create la prima volta che si apre l'ambiente.

AWS le credenziali temporanee gestite vengono aggiornate in una delle seguenti condizioni:
+ Dopo un determinato periodo di tempo. Attualmente, questo periodo è ogni cinque minuti.
+ Quando si ricarica la scheda del browser Web che visualizza l'IDE per l'ambiente.
+ Quando viene raggiunto il timestamp elencato nel file `~/.aws/credentials` per l'ambiente.
+ Ogni volta che si riattiva l'impostazione **AWS managed temporary credentials (Credenziali temporanee gestite da AWS )** se è disattivata (per visualizzare o modificare questa impostazione, scegli **AWS Cloud9, Preferences (AWS Cloud9, Preferenze)** nella barra dei menu dell'IDE. Nella scheda **Preferences (Preferenze)**, nel pannello di navigazione, scegli **AWS Settings, Credentials (Impostazioni AWS , Credenziali)**).
+ Per motivi di sicurezza, le credenziali temporanee AWS gestite scadono automaticamente dopo 15 minuti. Per aggiornare le credenziali, il proprietario dell'ambiente deve essere connesso all'ambiente AWS Cloud9 tramite l'IDE. Per ulteriori informazioni sul ruolo del proprietario dell'ambiente, consulta [Controllo dell'accesso alle credenziali temporanee AWS gestite](#temporary-managed-credentials-control).

#### Controllo dell'accesso alle credenziali temporanee AWS gestite
<a name="temporary-managed-credentials-control"></a>

Un collaboratore con credenziali temporanee AWS gestite può utilizzarle AWS Cloud9 per interagire con altri. Servizi AWS Per garantire che vengano fornite solo a collaboratori di fiducia, le credenziali temporanee gestite da AWS vengono disabilitate se un nuovo membro viene aggiunto da un utente diverso dal proprietario dell'ambiente Le credenziali vengono disabilitate mediante l'eliminazione del file `~/.aws/credentials`.

**Importante**  
AWS Inoltre, le credenziali temporanee gestite scadono automaticamente ogni 15 minuti. Affinché le credenziali vengano aggiornate in modo che i collaboratori possano continuare a utilizzarle, il proprietario dell'ambiente deve essere connesso all' AWS Cloud9 ambiente tramite l'IDE. 

Solo il proprietario dell'ambiente può riattivare le credenziali temporanee AWS gestite in modo che possano essere condivise con altri membri. Quando il proprietario dell'ambiente apre l'IDE, una finestra di dialogo conferma che le credenziali temporanee AWS gestite sono disabilitate. Il proprietario dell'ambiente può abilitare di nuovo le credenziali o tenerle disabilitate per tutti i membri.

**avvertimento**  
Per rispettare le best practice di sicurezza, tieni disabilitate le credenziali temporanee gestite se non sei certo dell'identità dell'ultimo utente aggiunto all'ambiente. Puoi controllare l'elenco dei membri con read/write autorizzazioni nella finestra [Collaborate](share-environment-members-list.md).