适用于 AWS Cloud9 的企业设置 - AWS Cloud9

AWS Cloud9 现已不再向新客户提供。AWS Cloud9 的现有客户可以继续正常使用该服务。了解更多

适用于 AWS Cloud9 的企业设置

本主题介绍如何使用 AWS IAM Identity Center 以允许一个或多个 AWS 账户 在企业中使用 AWS Cloud9。要进行设置以将 AWS Cloud9 用于任何其他使用模式,请参阅 设置 AWS Cloud9 获取正确说明。

警告

为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供商的联合身份验证,例如 AWS IAM Identity Center

这些说明假定您具有或将有 AWS Organizations 中组织的管理访问权限。如果您在 AWS Organizations 中还没有对于组织的管理访问权限,请联系 AWS 账户 管理员。有关更多信息,请参阅以下资源:

有关与此主题相关的介绍性信息,请参阅以下资源:

以下概念图说明了您将了解的内容。

设置企业以使用 AWS Cloud9 的概念图

要使一个或多个 AWS 账户 能够在企业中开始使用 AWS Cloud9,请按照您已经拥有的 AWS 资源执行步骤。

您是否已有可以在 AWS Organizations 中用作组织的管理账户的 AWS 账户? 您在 AWS Organizations 的管理账户中是否有一个企业? 所需的全部 AWS 账户 是否均为该组织的成员? 该企业是否设置为使用 IAM Identity Center? 对于需要使用 AWS Cloud9 的所有用户和组,是否在该组织中进行了设置? 从这一步开始

步骤 1:为企业创建管理账户

步骤 2:为管理账户创建企业

步骤 3:将成员账户添加到企业

步骤 4:在企业中启用 IAM Identity Center

第 5 步。在企业中设置组和用户

步骤 6:在企业中允许组和用户使用 AWS Cloud9

步骤 1:为企业创建管理账户

注意

您的企业可能已经设置了一个管理账户。如果您的企业有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。如果您已有一个管理账户,请向前跳至步骤 2:为管理账户创建企业

要使用 AWS IAM Identity Center(IAM Identity Center),您必须具有 AWS 账户。您的 AWS 账户 用作 AWS Organizations 中某个组织的管理账户。有关更多信息,请参阅 AWS Organizations 用户指南AWS Organizations 术语和概念中有关管理账户的讨论。

要观看与以下过程相关的 4 分钟视频,请观看 YouTube 上的 Creating an Amazon Web Services account(创建 Amazon Web Services 账户)。

要创建管理账户:

  1. 转到 https://aws.amazon.com/

  2. 选择 Sign In to the Console (登录控制台)

  3. 选择创建新的 AWS 账户

  4. 按照屏幕上的说明完成该过程。其中包括向 AWS 提供您的电子邮件地址和信用卡信息。另外,您必须使用手机输入 AWS 提供的验证码。

在完成创建账户后,AWS 会向您发送确认电子邮件。不要转到下一步,直到您收到该确认。

步骤 2:为管理账户创建企业

注意

您的企业可能已经将 AWS Organizations 设置为使用管理账户。如果您的企业有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。如果您已将 AWS Organizations 设置为使用管理账户,请向前跳至步骤 3:将成员账户添加到企业

要使用 IAM Identity Center,您在 AWS Organizations 中必须有使用管理账户的企业。有关更多信息,请参阅 AWS Organizations 用户指南中的 AWS Organizations 术语和概念中有关企业的讨论。

要在 AWS Organizations 中为管理 AWS 账户 创建组织,请按照《AWS Organizations 用户指南》中的以下说明操作:

要观看与这些过程相关的 4 分钟视频,请查看 YouTube 上的 AWS 知识中心视频:如何开始使用 AWS Organizations

步骤 3:将成员账户添加到企业

注意

您的企业可能已经为 AWS Organizations 设置了所需的成员账户。如果您的企业有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。如果您已使用所需成员账户设置 AWS Organizations,请向前跳至步骤 4:在企业中启用 IAM Identity Center

在此步骤中,您在 AWS Organizations 中添加将用作组织的成员账户的 AWS 账户。有关更多信息,请参阅 AWS 用户指南AWS Organizations Organizations 术语和概念中有关成员账户的讨论。

注意

您不需要将任何成员账户添加到组织。您可以在企业中只有一个管理账户时使用 IAM Identity Center。稍后,您可以添加成员到组织(如果需要)。如果您不希望现在添加成员账户,请向前跳至步骤 4:在企业中启用 IAM Identity Center

要将成员账户添加到 AWS Organizations 中的企业,请按照 AWS Organizations 用户指南 中的下列一组或两组说明操作。您可以根据需要多次按照这些说明重复操作,直至所需的全部 AWS 账户 均已成为组织的成员:

步骤 4:在企业中启用 IAM Identity Center

注意

您的企业可能已经将 AWS Organizations 设置为使用 IAM Identity Center。如果您的企业有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。如果您已将 AWS Organizations 设置为使用 IAM Identity Center,请向前跳至步骤 5:在企业中设置组和用户

在本步骤中,您允许 AWS Organizations 中的企业使用 IAM Identity Center。为此,请按照《AWS IAM Identity Center用户指南》中的这些说明集操作:

步骤 5:在企业中设置组和用户

注意

您的企业可能已经从 IAM Identity Center 目录、AWS Managed Microsoft AD 或在 AWS Directory Service 中托管的 AD Connector 目录为 AWS Organizations 设置了组和用户。如果您的企业有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。如果您已经从 IAM Identity Center 目录或 AWS Directory Service 为 AWS Organizations 设置了组和用户,请向前跳至步骤 6:允许组和用户在企业中使用 AWS Cloud9

在此步骤中,您可以在 IAM Identity Center 目录中为组织创建组和用户。或者,您连接到 AWS Managed Microsoft AD 或在组织的 AWS Directory Service 中托管的 AD Connector 目录。在后面的步骤中,您向组授予使用 AWS Cloud9 所需的访问权限。

  • 如果您使用的是适用于企业的 IAM Identity Center 目录,请按照《AWS IAM Identity Center用户指南》中的这些说明集操作。根据需要多次重复这些步骤,直至您添加了所有需要的组和用户:

    1. 添加组。我们建议为组织中的任何 AWS Cloud9 管理员创建至少一个组。然后,重复此步骤,为组织中的所有 AWS Cloud9 用户创建另一个组。(可选)您也可以重复此步骤,为组织中您要与其共享现有 AWS Cloud9 开发环境的所有用户创建第三个组。但不允许他们自行创建环境。为便于使用,我们建议分别将这些组命名为 AWSCloud9AdministratorsAWSCloud9UsersAWSCloud9EnvironmentMembers。有关更多信息,请参阅适用于 AWS Cloud9 的 AWS 托管式(预定义)策略

    2. 添加用户

    3. 将用户添加到组。将任何 AWS Cloud9 管理员添加到 AWSCloud9Administrators 组,重复此步骤以将 AWS Cloud9 用户添加到 AWSCloud9Users 组。或者,也可以重复此步骤,以将所有剩余的用户添加到 AWSCloud9EnvironmentMembers 组中。将用户添加到组是 AWS 最佳安全实践,可帮助您更好地控制、跟踪 AWS 资源访问以及排除问题。

  • 如果您为组织使用 AWS Managed Microsoft AD 或在您 AWS Directory Service 中管理的 AD Connector 目录,请参阅《AWS IAM Identity Center 用户指南》中的连接至 Microsoft AD 目录

步骤 6:在企业中允许组和用户使用 AWS Cloud9

原定设置情况下,在 AWS Organizations 中,组织中的大多数用户和组没有 AWS 服务 的访问权限,包括 AWS Cloud9。在此步骤中,您使用 IAM Identity Center 以允许 AWS Organizations 中企业的用户和组通过任意参与账户的组合使用 AWS Cloud9。

  1. IAM Identity Center 控制台中,在服务导航窗格中选择 AWS 账户

  2. 选择 Permission sets (权限集) 选项卡。

  3. 选择 Create permission set (创建权限集) 设置。

  4. 选择 Create a custom permission set (创建自定义权限集)

  5. 为此权限集输入 Name (名称)。我们建议为组织中的任何 AWS Cloud9 管理员创建至少一个权限集。然后,重复此过程中的步骤 3 到 10,为组织中的所有 AWS Cloud9 用户创建另一个权限集。(可选)您也可以重复此过程中的步骤 3 到 10,为组织中您希望与其共享现有 AWS Cloud9 开发环境的所有用户创建第三个权限集。但不允许他们自行创建环境。为便于使用,我们建议分别将这些权限集命名为 AWSCloud9AdministratorsPermsAWSCloud9UsersPermsAWSCloud9EnvironmentMembersPerms。有关更多信息,请参阅适用于 AWS Cloud9 的 AWS 托管式(预定义)策略

  6. 为权限集输入可选的 Description (描述)

  7. 为权限集选择 Session duration (会话持续时间),或者保留默认的会话持续时间 1 hour (1 小时)

  8. 选择附加 AWS 托管式策略

  9. 在策略列表中,选中正确的 Policy name (策略名称) 条目旁边的下列框之一。(请勿选择策略名称。如果在列表中没有看到任何策略名称,请在 Search(搜索)框中输入策略名称以显示该名称。)

    • 对于 AWSCloud9AdministratorsPerms 权限集,选择 AWSCloud9Administrator

    • 对于 AWSCloud9UsersPerms 权限集,选择 AWSCloud9User

    • (可选)对于 AWSCloud9EnvironmentMembersPerms 权限集,选择 AWSCloud9EnvironmentMember

    注意

    要了解除 AWS Cloud9 所需策略之外您还可以添加的策略,请参阅 IAM 用户指南中的托管式策略和内联策略以及了解策略授予的权限

  10. 选择创建

  11. 完成创建所需的全部权限集之后,在 AWS Organizations 选项卡上,选择要为其分配 AWS Cloud9 访问权限的 AWS 账户。如果 AWS Organization 选项卡不可见,则在服务导航窗格中,选择 AWS 账户。这将显示 AWS Organization 选项卡。

  12. 选择 分配用户

  13. Groups(组)选项卡上,选择要将 AWS Cloud9 访问权限分配到的组名称旁边的框。请勿选择组名称本身。

    • 如果您为组织使用 IAM Identity Center 目录,您可能已经为 AWS Cloud9 管理员创建了一个名为 AWSCloud9Administrators 的组。

    • 如果您为组织使用 AWS Managed Microsoft AD 或在您 AWS Directory Service 中管理的 AD Connector 目录,请选择目录的 ID。接下来,输入组的部分或全部名称,然后选择 Search connected directory(搜索连接的目录)。最后,选择要将 AWS Cloud9 访问权限分配到的组名称旁边的框。

    注意

    我们建议您将 AWS Cloud9 访问权限分配到组而非单独的用户。此 AWS 安全最佳实践可帮助您更好地控制、跟踪 AWS 资源访问以及排除问题。

  14. 选择 Next: Permissions sets (下一步:权限集)

  15. 选中要分配给该组的权限集名称旁边的框(例如,一组 AWS Cloud9 管理员的 AWSCloud9AdministratorsPerms)。请勿选择权限集名称本身。

  16. 选择完成

  17. 选择转至 AWS 账户

  18. 对于要分配给组织中 AWS 账户 的其他 AWS Cloud9 访问权限,请重复此过程中的步骤 11 到 17。

步骤 7:开始使用 AWS Cloud9

在完成本主题中的上述步骤后,您和您的用户就可以登录到 IAM Identity Center 并开始使用 AWS Cloud9。

  1. 如果您已登录到 AWS 账户或 IAM Identity Center,请注销。要执行此操作,请参阅 AWS Support 网站上的如何注销我的 AWS 账户或《AWS IAM Identity Center用户指南》中的如何注销用户门户

  2. 要登录 IAM Identity Center,请按照《AWS IAM Identity Center用户指南》中如何接受邀请加入 IAM Identity Center 中的说明操作。这包括转至唯一登录 URL,并使用登录凭证进行登录。您的 AWS 账户 管理员将通过电子邮件或其他方式向您提供此信息。

    注意

    确保将您获得的唯一登录 URL 加入书签。这样,以后就可以轻松地返回到它了。此外,请确保将此 URL 的唯一登录凭证存储在安全的位置。

    根据 AWS 账户 管理员向您提供的不同级别的 AWS Cloud9 访问权限,此 URL、用户名和密码的组合可能会有不同。例如,您可以使用一个 URL、用户名和密码来获得对一个账户的 AWS Cloud9 管理员访问权限。您可以使用不同的 URL、用户名和密码,仅允许 AWS Cloud9 用户访问不同的账户。

  3. 登录 IAM Identity Center 之后,选择 AWS 账户磁贴。

  4. 从显示的下拉列表中选择用户的显示名称。如果显示多个名称,请选择开始使用 AWS Cloud9 所需的名称。如果您不确定应该选择哪个名称,请联系 AWS 账户 管理员。

  5. 选择您的用户显示名称旁的 Management console (管理控制台) 链接。如果显示多个 Management console(管理控制台)链接,请选择正确权限集旁边的链接。如果您不确定应该选择哪个链接,请联系 AWS 账户 管理员。

  6. 在 AWS Management Console 中,执行下列操作之一:

    • 如果已经显示 Cloud9,则选择此项。

    • 展开 All services (所有服务),然后选择 Cloud9

    • Find services (查找服务) 框中,键入 Cloud9,然后按 Enter

    • 在 AWS 导航栏上,选择 Service(服务),然后选择 Cloud9

此时将显示 AWS Cloud9 控制台,您可以开始使用 AWS Cloud9。

后续步骤

Task 请参阅本主题

创建 AWS Cloud9 开发环境,然后使用 AWS Cloud9 IDE 在新环境中处理代码。

创建环境

了解如何使用 AWS Cloud9 IDE。

入门:基本教程使用 IDE

利用文本聊天支持实时邀请其他用户与您一起使用新环境。

使用共享环境