AWS Cloud9 不再向新客户提供。 AWS Cloud9 的现有客户可以继续正常使用这项服务。[了解详情](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的企业设置 AWS Cloud9
本主题介绍如何使用[AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)使一个或多个 AWS 账户 能够在企业 AWS Cloud9 中使用。要设置 AWS Cloud9 为用于任何其他使用模式,请参见[设置 AWS Cloud9](setting-up.md)以获取正确的说明。
**警告**
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供者的联合身份验证,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
这些说明假定您具有或将有 AWS Organizations中组织的管理访问权限。如果您还没有中组织的管理权限 AWS Organizations,请 AWS 账户 咨询您的管理员。有关更多信息,请参阅以下资源:
+ 在 Organi@@ [zati AWS ons *用户指南中管理AWS 组织的*访问权限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html)(IAM Identity Center 需要使用 AWS Organizations)
+ 《AWS IAM Identity Center 用户指南》中的[对 IAM Identity Center 资源的访问权限管理的概览](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)
+ [使用](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)AWS Control Tower,这是一项可用于设置和管理 AWS 多账户环境的服务。 AWS Control Tower 使用其他人的能力 AWS 服务,包括 AWS Organizations AWS IAM Identity Center、 AWS Service Catalog 和,在不到一小时的时间内建造一个着陆区。
有关与此主题相关的介绍性信息,请参阅以下资源:
+ *AWS Organizations 用户指南*中的 [AWS Organizations 是什么](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)(需要使用 IAM 身份中心 AWS Organizations)
+ *AWS IAM Identity Center 用户指南*中的[什么是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ 《[AWS 控制塔*用户指南》中的 Cont AWS rol Tower* 入门](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)
+ 4 分钟视频[AWS 知识中心视频:如何开始使用 Organization AWS s](https://www.youtube.com/watch?v=mScBPL8VV48) YouTube
+ 7 分钟视频[使用 AWS IAM Identity Center开管理用户对多个 AWS 账户的访问权限](https://www.youtube.com/watch?v=bXrsUEI1V38) YouTube
+ 9 分钟的视频[如何为本地 Active Directory 用户设置 AWS 单点登录](https://www.youtube.com/watch?v=nuPjljOVZmU) YouTube
以下概念图说明了您将了解的内容。
![\[设置要使用的企业的概念图 AWS Cloud9\]](http://docs.aws.amazon.com/zh_cn/cloud9/latest/user-guide/images/enterprise_update.png)
要在企业 AWS Cloud9 中开始使用一个或多个 AWS 账户 资源,请根据您已有的 AWS 资源执行相应步骤。
****
| **您是否有 AWS 账户 可以或确实可以用作该组织的管理帐户 AWS Organizations?** | **您是否有该管理账户 AWS Organizations 的组织?** | **所有被通缉的 AWS 账户 成员都是该组织吗?** | **该企业是否设置为使用 IAM Identity Center?** | **对于需要使用 AWS Cloud9的所有用户和组,是否在该组织中进行了设置?** | **从这一步开始** |
| --- | --- | --- | --- | --- | --- |
| 否 | — | — | — | — | [步骤 1:为企业创建管理账户](#setup-enterprise-create-account) |
| 是 | 否 | — | — | — | [步骤 2:为管理账户创建企业](#setup-enterprise-create-organization) |
| 支持 | 是 | 否 | — | — | [步骤 3:将成员账户添加到企业](#setup-enterprise-add-to-organization) |
| 支持 | 是 | 是 | 否 | — | [步骤 4:在企业中启用 IAM Identity Center](#setup-enterprise-set-up-sso) |
| 支持 | 是 | 是 | 是 | 否 | [第 5 步。在企业中设置组和用户](#setup-enterprise-set-up-groups-users) |
| 支持 | 是 | 是 | 是 | 是 | [步骤 6:允许组织内的群组和用户使用 AWS Cloud9](#setup-enterprise-groups-users-access) |
## 步骤 1:为企业创建管理账户
**注意**
您的企业可能已经设置了一个管理账户。如果您的企业有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。如果您已有一个管理账户,请向前跳至[步骤 2:为管理账户创建企业](#setup-enterprise-create-organization)。
要使用 AWS IAM Identity Center (IAM 身份中心),您必须拥有 AWS 账户. 您的账户 AWS 账户 充当中某个组织的管理帐户 AWS Organizations。有关更多信息,请参阅 *AWS Organizations 用户指南*中 [AWS Organizations 术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)中有关*管理账户*的讨论。
要观看与以下步骤相关的 4 分钟视频,请参阅[创建亚马逊 Web Services 账户](https://www.youtube.com/watch?v=WviHsoz8yHk)。 YouTube
要创建管理账户:
1. 前往 [https://aws.amazon.com/](https://aws.amazon.com/)。
1. 选择 **Sign In to the Console (登录控制台)**。
1. 选择**创建新的AWS 账户**。
1. 按照屏幕上的说明完成该过程。其中包括向 AWS 提供您的电子邮件地址和信用卡信息。您还必须使用手机输入可 AWS 为您提供的验证码。
创建完账户后, AWS 将向您发送一封确认电子邮件。不要转到下一步,直到您收到该确认。
## 步骤 2:为管理账户创建企业
**注意**
您的企业可能已经 AWS Organizations 设置为使用管理帐户。如果您的企业有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。如果您已 AWS Organizations 设置使用管理帐户,请跳至[步骤 3:向组织添加成员帐户](#setup-enterprise-add-to-organization)。
要使用 IAM Identity Center AWS Organizations ,您必须拥有一个使用管理账户的组织。有关更多信息,请参阅 *AWS Organizations 用户指南*中的 [AWS Organizations 术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)中有关*企业*的讨论。
要 AWS Organizations 为管理层创建组织 AWS 账户,请按照《*AWS Organizations 用户指南》*中的以下说明进行操作:
1. [创建企业](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_create.html)
1. [启用企业中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
要观看与这些程序相关的 4 分钟视频,请参阅[AWS 知识中心视频:如何开始使用 Organization AWS YouTube s](https://www.youtube.com/watch?v=mScBPL8VV48)。
## 步骤 3:将成员账户添加到企业
**注意**
您的企业可能已经 AWS Organizations 设置了想要的成员帐户。如果您的企业有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。如果您已经 AWS Organizations 设置了想要的成员账户,请跳至[步骤 4:在整个组织中启用 IAM 身份中心](#setup-enterprise-set-up-sso)。
在此步骤中,您将添加任何 AWS 账户 将作为组织成员帐户的帐户 AWS Organizations。有关更多信息,请参阅 *AWS 用户指南*中 [AWS Organizations Organizations 术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)中有关*成员账户*的讨论。
**注意**
您不需要将任何成员账户添加到组织。您可以在企业中只有一个管理账户时使用 IAM Identity Center。稍后,您可以添加成员到组织(如果需要)。如果您不希望现在添加成员账户,请向前跳至[步骤 4:在企业中启用 IAM Identity Center](#setup-enterprise-set-up-sso)。
要向中的组织添加成员帐户 AWS Organizations,请按照《*AWS Organizations 用户指南*》中的以下一组或两组说明进行操作。根据需要多次重复这些说明,直到组织成员拥有所有你想要的东西: AWS 账户
+ [AWS 账户 在您的组织中创建](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)
+ [邀请一个 AWS 账户 人加入你的组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)
## 步骤 4:在企业中启用 IAM Identity Center
**注意**
您的企业可能已经 AWS Organizations 设置为使用 IAM 身份中心。如果您的企业有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。如果您已 AWS Organizations 设置使用 IAM 身份中心,请跳至[步骤 5。在企业中设置组和用户](#setup-enterprise-set-up-groups-users)。
在此步骤中,您将允许组织使用 IAM 身份中心。 AWS Organizations 为此,请按照《AWS IAM Identity Center 用户指南》中的这些说明集操作:
1. [IAM Identity Center 先决条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-prereqs-considerations.html)
1. [启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)
## 步骤 5:在企业中设置组和用户
**注意**
您的企业可能已经 AWS Organizations 设置了来自 IAM Identity Center 目录或中管理的 AD C AWS Managed Microsoft AD onnector 目录中的群组和用户 AWS Directory Service。如果您的企业有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。如果您已经 AWS Organizations 设置了来自 IAM Identity Center 目录或的群组和用户 AWS Directory Service,请跳至[步骤 6。允许组和用户在企业中使用 AWS Cloud9](#setup-enterprise-groups-users-access)。
在此步骤中,您可以在 IAM Identity Center 目录中为组织创建组和用户。或者,您可以连接到组织中管理的 AWS Managed Microsoft AD 或 AD Connect AWS Directory Service or 目录。在后面的步骤中,您向组授予使用 AWS Cloud9所需的访问权限。
+ 如果您使用的是适用于企业的 IAM Identity Center 目录,请按照《AWS IAM Identity Center 用户指南》中的这些说明集操作。根据需要多次重复这些步骤,直至您添加了所有需要的组和用户:
1. [添加组](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)。我们建议为组织中的任何 AWS Cloud9 管理员创建至少一个组。然后,重复此步骤,为组织中的所有 AWS Cloud9 用户创建另一个群组。或者,您也可以重复此步骤,为组织中想要与之共享现有 AWS Cloud9 开发环境的所有用户创建第三个群组。但不允许他们自行创建环境。为便于使用,我们建议分别将这些组命名为 `AWSCloud9Administrators`、`AWSCloud9Users` 和 `AWSCloud9EnvironmentMembers`。有关更多信息,请参阅[适用于 AWS Cloud9的AWS 托管式(预定义)策略](security-iam.md#auth-and-access-control-managed-policies)。
1. [添加用户](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)。
1. [将用户添加到组](https://docs.aws.amazon.com/singlesignon/latest/userguide/adduserstogroups.html)。向`AWSCloud9Administrators`群组中添加任何 AWS Cloud9 管理员,重复此步骤将 AWS Cloud9 用户添加到`AWSCloud9Users`群组。或者,也可以重复此步骤,以将所有剩余的用户添加到 `AWSCloud9EnvironmentMembers` 组中。将用户添加到群组是一种 AWS 安全最佳实践,可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
+ 如果你使用的是组织中管理的 AWS Managed Microsoft AD 或 AD Connector 目录,请参阅《*AWS IAM Identity Center 用户指南》*中的 AWS Directory Service “[连接到你的 Microsoft AD 目录](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-directory-connected.html)”。
## 步骤 6. 允许组织内的群组和用户使用 AWS Cloud9
默认情况下,组织中的大多数用户和群组都 AWS Organizations 无法访问任何用户和群组 AWS 服务,包括 AWS Cloud9。在此步骤中,您将使用 IAM Identity Center AWS Organizations 来允许组织中的群组和用户在参与账户的任意组合中使用 AWS Cloud9 。
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,在服务导航窗格中选择 **AWS 账户**。
1. 选择 **Permission sets (权限集)** 选项卡。
1. 选择 **Create permission set (创建权限集)** 设置。
1. 选择 **Create a custom permission set (创建自定义权限集)**。
1. 为此权限集输入 **Name (名称)**。我们建议为组织中的任何 AWS Cloud9 管理员创建至少一个权限集。然后,重复此过程中的步骤 3 到 10,为组织中的所有 AWS Cloud9 用户创建另一个权限集。或者,您也可以重复此过程中的步骤 3 到 10,为组织中要与之共享现有 AWS Cloud9 开发环境的所有用户创建第三个权限集。但不允许他们自行创建环境。为便于使用,我们建议分别将这些权限集命名为 `AWSCloud9AdministratorsPerms`、`AWSCloud9UsersPerms` 和 `AWSCloud9EnvironmentMembersPerms`。有关更多信息,请参阅[适用于 AWS Cloud9的AWS 托管式(预定义)策略](security-iam.md#auth-and-access-control-managed-policies)。
1. 为权限集输入可选的 **Description (描述)**。
1. 为权限集选择 **Session duration (会话持续时间)**,或者保留默认的会话持续时间 **1 hour (1 小时)**。
1. 选择**附加 AWS 托管策略**。
1. 在策略列表中,选中正确的 **Policy name (策略名称)** 条目旁边的下列框之一。(请勿选择策略名称。如果在列表中没有看到任何策略名称,请在 **Search(搜索)**框中输入策略名称以显示该名称。)
+ 对于`AWSCloud9AdministratorsPerms`权限集,选择 “**AWSCloud9管理员**”。
+ 对于`AWSCloud9UsersPerms`权限集,选择 “**AWSCloud9用户**”。
+ (可选)对于`AWSCloud9EnvironmentMembersPerms`权限集,选择**AWSCloud9EnvironmentMember**。
**注意**
要了解除了所需的策略之外还可以添加的策略 AWS Cloud9,请参阅 *IAM 用户指南*中的[托管策略和内联](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)策略以及[了解策略授予的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)。
1. 选择**创建**。
1. 创建完所需的所有权限集后,在**AWS 组织**选项卡上,选择要为 AWS 账户 其分配 AWS Cloud9 访问权限的权限集。如果 **AWS Organization** 选项卡不可见,则在服务导航窗格中,选择 **AWS 账户**。这将显示 **AWS Organization** 选项卡。
1. 选择 **分配用户**。
1. 在 “**群组**” 选项卡上,选中要向其分配 AWS Cloud9 访问权限的群组名称旁边的复选框。请勿选择组名称本身。
+ 如果您使用的是组织的 IAM Identity Center 目录,则可能已经创建了一个名为 “**AWSCloud9管理员管理员**” 的群组。 AWS Cloud9
+ 如果您使用的是组织中管理的 AWS Managed Microsoft AD 或 AD Connect AWS Directory Service or 目录,请选择该目录的 ID。接下来,输入组的部分或全部名称,然后选择 **Search connected directory**(搜索连接的目录)。最后,选中要为其分配 AWS Cloud9 访问权限的群组名称旁边的复选框。
**注意**
我们建议将 AWS Cloud9 访问权限分配给群组而不是单个用户。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
1. 选择 **Next: Permissions sets (下一步:权限集)**。
1. 选中要分配给该组(例如, AWS Cloud9 管理员组)的权限集名称旁边的复选框。**AWSCloud9AdministratorsPerms**请勿选择权限集名称本身。
1. 选择**结束**。
1. 选择 “**继续” AWS 账户**。
1. 对于要在 AWS 账户 整个组织中分配的任何其他 AWS Cloud9 访问权限,请重复此过程中的步骤 11 到 17。
## 第 7 步:开始使用 AWS Cloud9
完成本主题中前面的步骤后,您和您的用户就可以登录 IAM Identity Center 并开始使用了 AWS Cloud9。
1. 如果您已经登录 AWS 账户或 IAM 身份中心,请注销。为此,请参阅《用户*指南[》中的 “如何在 Su AWS pport 网站上注销我的 AWS 帐户](https://aws.amazon.com/premiumsupport/knowledge-center/sign-out-account/)” 或 “如何退出AWS IAM Identity Center 用户*[门户](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignout.html)”。
1. 要登录 IAM Identity Center,请按照《AWS IAM Identity Center 用户指南》中[如何接受邀请加入 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtoactivateaccount.html) 中的说明操作。这包括转至唯一登录 URL,并使用登录凭证进行登录。您的 AWS 账户 管理员将通过电子邮件向您发送此信息,或者以其他方式将其提供给您。
**注意**
确保将您获得的唯一登录 URL 加入书签。这样,以后就可以轻松地返回到它了。此外,请确保将此 URL 的唯一登录凭证存储在安全的位置。
URL、用户名和密码的组合可能会根据 AWS 账户 管理员授予您的不同 AWS Cloud9 访问权限级别而变化。例如,您可以使用一个 URL、用户名和密码来获得对一个账户的 AWS Cloud9 管理员访问权限。您可以使用不同的 URL、用户名和密码,仅允许 AWS Cloud9 用户访问其他帐户。
1. 登录 IAM Identity Center 之后,选择 **AWS 账户**磁贴。
1. 从显示的下拉列表中选择用户的显示名称。如果显示多个名称,请选择要开始使用的名称 AWS Cloud9。如果您不确定应该选择哪个名称,请联系 AWS 账户 管理员。
1. 选择您的用户显示名称旁的 **Management console (管理控制台)** 链接。如果显示多个 **Management console**(管理控制台)链接,请选择正确权限集旁边的链接。如果您不确定要选择这些链接中的哪一个,请 AWS 账户 咨询您的管理员。
1. 从中 AWS 管理控制台,执行以下任一操作:
+ 如果已经显示 **Cloud9**,则选择此项。
+ 展开 **All services (所有服务)**,然后选择 **Cloud9**。
+ 在 **Find services (查找服务)** 框中,键入 **Cloud9**,然后按 `Enter`。
+ 在 AWS 导航栏中,选择**服务**,然后选择 **Cloud9**。
AWS Cloud9 控制台随即显示出来,您可以开始使用 AWS Cloud9了。
## 后续步骤
****
| **Task** | **请参阅本主题** |
| --- | --- |
| 创建 AWS Cloud9 开发环境,然后使用 AWS Cloud9 IDE 在新环境中处理代码。 | [创建环境](create-environment.md) |
| 学习如何使用 AWS Cloud9 IDE。 | [入门:基本教程](tutorials-basic.md) 和 [使用 IDE](ide.md) |
| 利用文本聊天支持实时邀请其他用户与您一起使用新环境。 | [使用共享环境](share-environment.md) |