Permissões de função vinculada ao serviço AWS Cloud9 Crie uma função vinculada ao serviço para o AWS Cloud9 Editar uma função vinculada ao serviço para o AWS Cloud9 Excluir uma função vinculada ao serviço para o AWS Cloud9 Regiões suportadas para funções vinculadas a AWS Cloud9 serviços

Usar perfis vinculados ao serviço do AWS Cloud9

AWS Cloud9 usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada a serviços é um tipo exclusivo de IAM função vinculada diretamente a. AWS Cloud9 Os perfis vinculados a serviços são predefinidos pelo AWS Cloud9 e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração AWS Cloud9 porque você não precisa adicionar as permissões necessárias. AWS Cloud9 define as permissões de suas funções vinculadas ao serviço e só AWS Cloud9 pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.

É possível excluir as funções somente depois de primeiro excluir seus recursos relacionados. Isso protege seus AWS Cloud9 recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço do AWS Cloud9
Criação de uma função vinculada ao serviço para AWS Cloud9
Editando uma função vinculada ao serviço para AWS Cloud9
Excluindo uma função vinculada ao serviço para AWS Cloud9
Regiões suportadas para funções vinculadas a AWS Cloud9 serviços

Permissões de função vinculada ao serviço AWS Cloud9

AWS Cloud9 usa a função vinculada ao serviço chamada AWSServiceRoleForAWSCloud 9. Essa função vinculada a serviço confia no serviço cloud9.amazonaws.com para assumir a função.

A política de permissões para essa função vinculada ao serviço é nomeada AWSCloud9ServiceRolePolicye permite AWS Cloud9 concluir as ações listadas na política nos recursos especificados.

Importante

Se você estiver usando o License Manager e receber um erro unable to access your environment, será necessário substituir a antiga função vinculada a serviço pela versão compatível com o License Manager. É possível substituir a função antiga simplesmente excluindo-a. Em seguida, a função atualizada será criada automaticamente.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateSecurityGroup",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceStatus",
				"cloudformation:CreateStack",
				"cloudformation:DescribeStacks",
				"cloudformation:DescribeStackEvents",
				"cloudformation:DescribeStackResources"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:TerminateInstances",
				"ec2:DeleteSecurityGroup",
				"ec2:AuthorizeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStack"
			],
			"Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringLike": {
					"aws:RequestTag/Name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": [
				"arn:aws:license-manager:*:*:license-configuration:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListInstanceProfiles",
				"iam:GetInstanceProfile"
			],
			"Resource": [
				"arn:aws:iam::*:instance-profile/cloud9/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"
			],
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com"
				}
			}
		}
	]
}

Você deve configurar permissões AWS Cloud9 para permitir a criação de uma função vinculada ao serviço em nome de uma IAM entidade (como um usuário, grupo ou função).

AWS Cloud9 Para permitir a criação da função vinculada ao serviço AWSServiceRoleForAWSCloud 9, adicione a seguinte declaração à política de permissões da IAM entidade em nome da qual AWS Cloud9 precisa criar a função vinculada ao serviço.


{
  "Effect": "Allow",
  "Action": [
    "iam:CreateServiceLinkedRole"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Como alternativa, você pode adicionar as políticas AWS gerenciadas AWSCloud9User ou AWSCloud9Administrator à IAM entidade.

Para permitir que uma IAM entidade exclua a função vinculada ao serviço AWSServiceRoleForAWSCloud 9, adicione a seguinte declaração à política de permissões da IAM entidade que precisa excluir uma função vinculada ao serviço.


{
  "Effect": "Allow",
  "Action": [
    "iam:DeleteServiceLinkedRole",
    "iam:GetServiceLinkedRoleDeletionStatus"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Crie uma função vinculada ao serviço para o AWS Cloud9

Não é necessário criar uma função vinculada ao serviço. Quando você cria um ambiente de AWS Cloud9 desenvolvimento, AWS Cloud9 cria a função vinculada ao serviço para você.

Editar uma função vinculada ao serviço para o AWS Cloud9

Você não pode editar a função vinculada a AWSServiceRoleForAWSCloud 9 serviços em. AWS Cloud9 Por exemplo, depois de criar uma função vinculada a serviço, não é possível alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Editando uma função vinculada ao serviço no Guia do IAMusuário.

Excluir uma função vinculada ao serviço para o AWS Cloud9

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Excluindo uma função vinculada ao serviço no IAM

Antes de poder usar IAM para excluir uma função vinculada ao serviço, você deve remover todos AWS Cloud9 os recursos usados pela função. Para remover AWS Cloud9 recursos, consulte Excluindo um ambiente.

Você pode usar o IAM console para excluir a função AWSServiceRoleForAWSCloud 9 vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.

Regiões suportadas para funções vinculadas a AWS Cloud9 serviços

AWS Cloud9 suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para ter mais informações, consulte AWS Cloud9 no Referência geral da Amazon Web Services.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AMIconteúdos

Registrando API chamadas com CloudTrail