AWS Cloud9 不再向新客户提供。 AWS Cloud9 的现有客户可以继续正常使用这项服务。[了解详情](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 的其他设置选项 AWS Cloud9
<a name="setup-teams"></a>

本主题假定您已完成[团队设置](setup.md)或[企业设置](setup-enterprise.md)中的设置步骤。

在 Tea [m Setup](setup.md) 或 E [nterprise S](setup-enterprise.md) etup 中，您创建了群组并直接向这些群组添加了 AWS Cloud9 访问权限。这是为了确保这些组中的用户可以访问 AWS Cloud9。在本主题中，您添加更多的访问权限，以限制这些组中的用户可以创建的环境类型。这可以帮助控制与 AWS 账户和组织相关的成本。 AWS Cloud9 

要添加这些访问权限，您可以创建一组自己的策略，定义您要实施的 AWS 访问权限。我们将其中每个策略称为*客户管理型策略*。然后，您将这些客户管理型策略附加到用户所属的组。在某些情况下，您还必须分离已附加到这些组的现有 AWS 托管策略。要进行此设置，请按照本主题中的步骤操作。

**注意**  
以下过程仅涵盖为 AWS Cloud9 用户附加和分离策略。这些过程假设您已经有一个单独的 AWS Cloud9 用户组和 AWS Cloud9 管理员组。这些过程还假设您在 AWS Cloud9 管理员组中只有有限数量的用户。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。

## 步骤 1：创建客户托管式策略
<a name="setup-teams-create-policy"></a>

您可以使用 [AWS 管理控制台](#setup-teams-create-policy-console) 或 [AWS Command Line Interface (AWS CLI)](#setup-teams-create-policy-cli) 创建客户托管式策略。

**注意**  
此步骤仅用于为 IAM 组创建托管式策略。要在中为群组创建自定义权限集 AWS IAM Identity Center，请跳过此步骤并按照《*AWS IAM Identity Center 用户指南》*中[创建权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset)中的说明进行操作。在本主题中，按照说明创建自定义权限集。如需了解相关的自定义权限策略，请参阅本主题后面的[使用 AWS Cloud9的团队的客户托管式策略示例](setup-teams-policy-examples.md)。

### 步骤 1.1：使用控制台创建客户管理型策略
<a name="setup-teams-create-policy-console"></a>

1. 如果您尚未登录 AWS 管理控制台，请登录。

   我们建议您使用您 AWS 账户中的管理员用户的凭证登录。如果您无法执行此操作，请咨询您的 AWS 账户 管理员。

1. 打开 IAM 控制台。为此，请在控制台的导航栏中选择 **Service（服务）**。然后，选择 **IAM**。

1. 在服务导航窗格中，选择**策略**。

1. 选择**创建策略**。

1. 在 **JSON** 选项卡中，粘贴我们建议的[客户托管式策略示例](setup-teams-policy-examples.md)之一。
**注意**  
您还可以创建自己的客户托管式策略。有关更多信息，请参阅《IAM 用户指南》**中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)和 AWS 服务的[文档](https://aws.amazon.com/documentation/)。

1. 选择**查看策略**。

1. 在**查看策略**页面上，为策略键入**名称**和可选的**描述**，然后选择**创建策略**。

对您要创建的每个其他客户管理型策略重复此步骤。然后，向前跳到[使用控制台向组添加客户管理型策略](#setup-teams-add-policy-console)。

### 步骤 1.2：使用创建客户托管策略 AWS CLI
<a name="setup-teams-create-policy-cli"></a>

1. 在运行的计算机上 AWS CLI，创建一个描述策略的文件（例如`policy.json`）。

   如果您创建具有不同文件名的文件，请在整个过程中使用此名称进行替换。

1. 将我们建议的[客户托管式策略示例](setup-teams-policy-examples.md)之一粘贴到 `policy.json` 文件中。
**注意**  
您还可以创建自己的客户托管式策略。有关更多信息，请参阅《IAM 用户指南》和 AWS 服务的[文档](https://aws.amazon.com/documentation/)中的 [IAM JSON 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。

1. 从终端或命令提示符处，切换到包含 `policy.json` 文件的目录。

1. 运行 IAM `create-policy` 命令，为策略和 `policy.json` 文件指定名称。

   ```
   aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
   ```

   在上述命令中，将 `MyPolicy` 替换为策略的名称。

向前跳至[使用将客户托管策略添加到群组 AWS CLI](#setup-teams-add-policy-cli)。

## 步骤 2：向组添加客户托管式策略
<a name="setup-teams-add-policy"></a>

您可以使用 [AWS 管理控制台](#setup-teams-add-policy-console)或 [AWS 命令行界面（AWS CLI）](#setup-teams-add-policy-cli)向组添加客户管理型策略。有关更多信息，请参阅[团队使用的客户托管策略示例 AWS Cloud9](setup-teams-policy-examples.md)。

**注意**  
此步骤仅用于将客户托管式策略添加到 IAM 组。要向中的群组添加自定义权限集 AWS IAM Identity Center，请跳过此步骤，改为按照《用户*指南》*中[分配用户访问权限](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers)中的AWS IAM Identity Center 说明进行操作。

### 步骤 2.1：使用控制台在组中添加客户管理型策略
<a name="setup-teams-add-policy-console"></a>

1. 使用之前步骤中打开的 IAM 控制台，在服务的导航窗格中，选择 **Groups（组）**。

1. 选择组名。

1. 在 **Permissions（权限）**选项卡中，在 **Manged Policies（托管式策略）**处，选择 **Attach Policy（附加策略）**。

1. 在策略名称列表中，选择要附加到组的各个客户管理型策略旁的复选框。如果在列表中没有看到特定策略名称，请在 **Filter**（筛选条件）框中输入策略名称以显示该名称。

1. 选择**附加策略**。

### 步骤 2.2：使用将客户托管策略添加到群组中 AWS CLI
<a name="setup-teams-add-policy-cli"></a>

**注意**  
如果您使用的是[AWS 托管临时凭证](security-iam.md#auth-and-access-control-temporary-managed-credentials)，则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践， AWS 托管临时证书不允许运行某些命令。相反，您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。

运行 IAM `attach-group-policy` 命令，在命令中指定组的名称和策略的 Amazon Resource Name (ARN)。

```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```

在上述命令中，将 `MyGroup` 替换为组的名称。`123456789012`替换为 AWS 账户 ID。并将 `MyPolicy` 替换为客户管理型策略的名称。

## 后续步骤
<a name="setup-teams-next-steps"></a>


****  

|  **Task**  |  **请参阅本主题**  | 
| --- | --- | 
|  创建 AWS Cloud9 开发环境，然后使用 AWS Cloud9 IDE 在新环境中处理代码。  |   [创建环境](create-environment.md)   | 
|  学习如何使用 AWS Cloud9 IDE。  |   [入门：基本教程](tutorials-basic.md) 和 [使用 IDE](ide.md)   | 
|  利用文本聊天支持实时邀请其他用户与您一起使用新环境。  |   [使用共享环境](share-environment.md)   |