为组建小组 AWS Cloud9 - AWS Cloud9
先决条件步骤 1:创建IAM群组和用户,然后将该用户添加到群组步骤 2:向群组添加 AWS Cloud9 访问权限第 3 步:登录 AWS Cloud9 控制台后续步骤

AWS Cloud9 不再向新客户提供。 AWS Cloud9 的现有客户可以继续正常使用该服务。了解更多

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为组建小组 AWS Cloud9

本主题介绍AWS IAM Identity Center如何使用在单个 AWS 账户 用户中允许多个用户使用 AWS Cloud9。要设置 AWS Cloud9 为用于任何其他使用模式,请参见设置 AWS Cloud9以获取正确的说明。

这些说明假定您具有或将具有对单个 AWS 账户的管理访问权限。有关更多信息,请参阅《用户指南》中的 AWS 账户 root 用户和创建您的第一个管理员和群组。IAM如果您已经拥有该账户 AWS 账户 但没有管理权限,请 AWS 账户 咨询您的管理员。

警告

为避免安全风险,在开发专用软件或处理真实数据时,请勿使用IAM用户进行身份验证。而是使用与身份提供商的联合身份验证,例如 AWS IAM Identity Center

注意

您可以改用 IAMIdentity Cen ter,而不是在单个 AWS 账户 用户中允许多个用户使用 AWS Cloud9。IAM在这种使用模式中,单一账户 AWS 账户 充当中组织的管理账户 AWS Organizations。此外,该组织没有成员账户。要使用 IAM Identity Center,请跳过此主题,改为按照企业设置中的说明进行操作。有关信息,请参阅以下资源:

要使单个 AWS 账户 用户可以开始使用 AWS Cloud9,请启动适用于您拥有的 AWS 资源的步骤。

你有 AWS 账号吗? 您的账户中是否至少有一个IAM群组和一个用户? 从这一步开始

第 1 步:注册 AWS 账户

步骤 2:创建IAM群组和用户,然后将该用户添加到群组

步骤 3:向群组添加 AWS Cloud9 访问权限

先决条件

注册获取 AWS 账户

如果您没有 AWS 账户,请完成以下步骤来创建一个。

报名参加 AWS 账户

  1. 打开https://portal.aws.amazon.com/billing/注册。

  2. 按照屏幕上的说明进行操作。

    在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。

    当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务

AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/并选择 “我的账户”,查看您当前的账户活动并管理您的账户

创建具有管理访问权限的用户

注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。

保护你的 AWS 账户根用户

  1. 选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console在下一页上,输入您的密码。

    要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录

  2. 为您的 root 用户开启多重身份验证 (MFA)。

    有关说明,请参阅《用户指南》中的 “为 AWS 账户 root 用户(控制台)启用虚拟MFA设备” IAM。

创建具有管理访问权限的用户

  1. 启用 “IAM身份中心”。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center

  2. 在 IAM Identity Center 中,向用户授予管理访问权限。

    有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限

以具有管理访问权限的用户身份登录
将访问权限分配给其他用户

  1. 在 IAM Identity Center 中,创建一个遵循应用最低权限权限的最佳实践的权限集。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的创建权限集

  2. 将用户分配到一个组,然后为该组分配单点登录访问权限。

    有关说明,请参阅《AWS IAM Identity Center 用户指南》中的添加组

步骤 1:创建IAM群组和用户,然后将该用户添加到群组

在此步骤中,您将在 AWS Identity and Access Management (IAM) 中创建一个群组和一个用户,将该用户添加到群组中,然后使用该用户进行访问 AWS Cloud9。这是一种 AWS 安全最佳实践。有关更多信息,请参阅《IAM用户指南》中的IAM最佳实践

如果您已经拥有所需的所有IAM群组和用户,请跳至步骤 3:向群组添加 AWS Cloud9 访问权限

注意

您的组织可能已经为您设置了IAM群组和用户。如果您的组织有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。

您可以使用 AWS Management ConsoleAWS Command Line Interface (AWS CLI) 完成这些任务。

要观看与以下控制台过程相关的 9 分钟视频,请参阅如何设置IAM用户并 AWS Management Console 使用IAM凭据登 YouTube录

步骤 1.1:使用控制台创建IAM群组

  1. 如果您尚未登录 AWS Management Console,请在 https://console.aws.amazon.com/codeco mmit 上登录。

    注意

    您可以使用创建时提供的电子邮件地址和密码登录。 AWS Management Console AWS 账户 这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。将来,我们建议您使用 AWS 账户中管理员用户的凭据登录。管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法以管理员用户身份登录,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅《IAM用户指南》中的创建您的第一个IAM用户和群组

  2. 打开控制IAM台。为此,请在 AWS 导航栏中选择 “服务”。然后选择IAM

  3. 在IAM控制台的导航窗格中,选择群组

  4. 选择 Create New Group (创建新组)

  5. 设置组名页的组名框中输入新组的名称。

  6. 选择下一步

  7. 附加策略页中,选择下一步而不附加任何策略。您将在步骤 3:向群组添加 AWS Cloud9 访问权限中附加策略。

  8. 选择创建组

    注意

    我们建议您重复此过程以创建至少两个组:一个 AWS Cloud9 用户组,另一个组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。

跳至步骤 2.2:使用控制台创建IAM用户并将该用户添加到群组

步骤 1.2:使用创建IAM群组 AWS CLI

注意

如果您使用的是AWS 托管临时证书,则不能使用中的终端会话 AWS Cloud9 IDE来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。

  1. 如果您尚未 AWS CLI 在计算机上安装和配置,请执行此操作。为此,请参阅 AWS Command Line Interface 用户指南中的以下内容:

    注意

    您可以使用与 AWS CLI 创建时提供的电子邮件地址和密码关联的凭 AWS 账户 据进行配置。这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。相反,我们建议您为 AWS 账户中的IAM管理员用户配置 AWS CLI 使用凭据。IAM管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法将配置 AWS CLI 为IAM管理员用户,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅《用户指南》中的创建您的第一个IAM管理员IAM用户和群组

  2. 运行IAMcreate-group命令,指定新组的名称(例如MyCloud9Group)。

    aws iam create-group --group-name MyCloud9Group
    注意

    我们建议您重复此过程以创建至少两个组:一个 AWS Cloud9 用户组,另一个组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。

跳至步骤 2.2:创建IAM用户并将该用户添加到群组中 AWS CLI

步骤 1.3:使用控制台创建IAM用户并将该用户添加到群组

  1. 按照上一个步骤打开IAM控制台后,在导航窗格中选择 U sers

  2. 选择添加用户

  3. 对于用户名,为新用户输入名称。

    注意

    您可以选择添加其他用户以同时创建多个用户。该过程中的其他设置适用于其中的每个新用户。

  4. 选中 Programmatic access(编程访问)AWS Management Console access(控制台访问)复选框。这能让新用户使用各种 AWS 开发工具和服务控制台。

  5. 保留默认选项自动生成密码。这会创建一个随机密码,供新用户登录控制台。或者,选择 Custom password(自定义密码),然后为新用户输入特定的密码。

  6. 保留默认选项需要重置密码。这会提示新用户在首次登录到控制台后更改其密码。

  7. 选择下一步: 权限

  8. 保留将用户添加到组向组添加多个用户(对于多个用户)的默认选择。

  9. 在组列表中,选中要将用户添加到的组旁边的复选框(不是名称)。

  10. 选择 Next: Review (下一步: 审核)

  11. 选择 Create user。或者,对于多个用户,则 Create users(创建用户)。

  12. 在向导的最后一页上,执行下列操作之一:

    • 在每个新用户旁边,选择发送电子邮件,然后按照屏幕上的说明通过电子邮件向新用户发送其控制台登录名URL和用户名。然后,分别向每位新用户传达他们的控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。

    • 选择下载 .csv。然后,向每位新用户传达其主机登录信息URL、控制台登录密码、 AWS 访问 AWS 密钥 ID 和已下载文件中的私有访问密钥。

    • 在每个新用户旁边,为 Secret access key(秘密访问密钥)Password(密码)选择 Show(显示)。然后向每位新用户传达他们的主机登录信息URL、控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。

    注意

    如果您不选择 Download .csv,则这是您唯一一次可以查看新用户的 AWS 私有访问密钥和控制台登录密码。要为新用户生成新的 AWS 私有访问密钥或控制台登录密码,请参阅《IAM用户指南》中的以下内容。

  13. 对要创建的每个其他IAM用户重复此过程,然后跳至步骤 3:向群组添加 AWS Cloud9 访问权限

步骤 1.4:创建IAM用户并将该用户添加到群组中 AWS CLI

注意

如果您使用的是AWS 托管临时证书,则不能使用中的终端会话 AWS Cloud9 IDE来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。

  1. 运行IAMcreate-user命令创建用户,指定新用户的名称(例如,MyCloud9User)。

    aws iam create-user --user-name MyCloud9User

  2. 运行IAMcreate-login-profile命令为用户创建新的控制台登录密码,指定用户名和初始登录密码(例如)。MyC10ud9Us3r!在用户登录后, AWS 会要求用户更改其登录密码。

    aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required

    如果您以后需要为用户生成替代控制台登录密码,请参阅《用户指南》中的创建、更改或删除IAM用户密码(APICLI、、 PowerShell)。IAM

  3. 运行IAMcreate-access-key命令为用户创建新的 AWS 访问 AWS 密钥和相应的私有访问密钥。

    aws iam create-access-key --user-name MyCloud9User

    记下显示的 AccessKeyIdSecretAccessKey 值。运行IAMcreate-access-key命令后,这是您唯一一次可以查看用户的 AWS 私有访问密钥。如果您需要稍后为用户生成新的 AWS 私有访问密钥,请参阅《IAM用户指南》中的创建、修改和查看访问密钥(APICLI、、 PowerShell)

  4. 运行IAMadd-user-to-group命令将用户添加到群组,指定群组和用户名。

    aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User

  5. 向用户传达他们的控制台登录信息URL、初始控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。

  6. 对要创建的每个其他IAM用户重复此过程。

步骤 2:向群组添加 AWS Cloud9 访问权限

默认情况下,大多数IAM群组和用户都无权访问任何群组和用户 AWS 服务 AWS Cloud9,包括(管理员群组和IAM管理员用户除外, AWS 账户 默认情况下,IAM管理员组和管理员用户可以访问其 AWS 服务 中的所有群组)。在此步骤中,您可以使用直接IAM向一个或多个用户所属的IAM群组添加 AWS Cloud9 访问权限。这样,您可以确保这些用户可以访问 AWS Cloud9。

注意

您的组织可能已为您设置一个具有相应访问权限的组。如果您的组织有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。

您可以使用AWS Management Console或来完成此任务AWS CLI

步骤 2.1:使用控制台向群组添加 AWS Cloud9 访问权限

  1. 如果您尚未登录 AWS Management Console,请在 https://console.aws.amazon.com/codeco mmit 上登录。

    注意

    您可以使用创建时提供的电子邮件地址和密码登录。 AWS Management Console AWS 账户 这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。将来,我们建议您使用中IAM管理员用户的凭据登录 AWS 账户。管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法以管理员用户身份登录,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅《用户指南》中的创建您的第一个IAM管理员IAM用户和群组

  2. 打开控制IAM台。为此,请在 AWS 导航栏中选择 “服务”。然后,选择IAM

  3. 选择 Groups(组)

  4. 选择组名。

  5. 决定是要向群组添加 AWS Cloud9 用户访问权限还是 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。

    AWS Cloud9 用户访问权限允许群组中的每位用户在其内部执行以下操作 AWS 账户:

    • 创建自己的 AWS Cloud9 开发环境。

    • 获取有关自己的环境的信息。

    • 更改自己的环境的设置。

    AWS Cloud9 管理员访问权限允许群组中的每位用户在其内部执行其他操作 AWS 账户:

    • 为自己或其他人创建环境。

    • 获取有关自己或其他人的环境的信息。

    • 删除自己或其他人的环境。

    • 更改自己或其他人的环境的设置。

    注意

    我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。

  6. Permissions(权限)选项卡中,在 Manged Policies(托管式策略)处,选择 Attach Policy(附加策略)

  7. 在策略名称列表中,选中 AWS Cloud9 用户访问权限或 AWS Cloud9 管理员访问权限旁边AWSCloud9Administrator的复选框。AWSCloud9User如果在列表中看不到任一策略名称,请在 Filter(筛选条件)框中输入策略名称以显示该策略。

  8. 选择附加策略

    注意

    如果您要向多个群组添加 AWS Cloud9 访问权限,请对每个群组重复此步骤。

要查看这些 AWS 托管策略授予群组的访问权限列表,请参阅AWS 托管(预定义)策略

要了解除了所需的 AWS 访问权限之外还可以向群组添加的访问权限 AWS Cloud9,请参阅IAM用户指南中的托管策略和内联策略以及了解策略授予的权限

向前跳至 步骤 4:登录到 AWS Cloud9 控制台

步骤 2.2:使用向群组添加 AWS Cloud9 访问权限 AWS CLI

注意

如果您使用的是AWS 托管临时证书,则不能使用中的终端会话 AWS Cloud9 IDE来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。

  1. 如果您尚未 AWS CLI 在计算机上安装和配置,请执行此操作。为此,请参阅 AWS Command Line Interface 用户指南中的以下内容:

    注意

    您可以使用与 AWS CLI 创建时提供的电子邮件地址和密码关联的凭 AWS 账户 据进行配置。这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。相反,我们建议您在中为IAM管理员用户配置 AWS CLI 使用凭据 AWS 账户。IAM管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法将配置 AWS CLI 为管理员用户,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅《用户指南》中的创建您的第一个IAM管理员IAM用户和群组

  2. 决定是向群组添加 AWS Cloud9 用户访问权限还是 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。

    AWS Cloud9 用户访问权限允许群组中的每位用户在其内部执行以下操作 AWS 账户:

    • 创建自己的 AWS Cloud9 开发环境。

    • 获取有关自己的环境的信息。

    • 更改自己的环境的设置。

    AWS Cloud9 管理员访问权限允许群组中的每位用户在其内部执行其他操作 AWS 账户:

    • 为自己或其他人创建环境。

    • 获取有关自己或其他人的环境的信息。

    • 删除自己或其他人的环境。

    • 更改自己或其他人的环境的设置。

    注意

    我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。

  3. 运行IAMattach-group-policy命令,指定群组名称和要添加的 AWS Cloud9 访问权限策略的 Amazon 资源名称 (ARN)。

    对于 AWS Cloud9 用户访问权限,请指定以下内容ARN。

    aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User

    对于 AWS Cloud9 管理员访问权限,请指定以下内容ARN。

    aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator
    注意

    如果您要向多个群组添加 AWS Cloud9 访问权限,请对每个群组重复此步骤。

要查看这些 AWS 托管策略授予群组的访问权限列表,请参阅AWS 托管(预定义)策略

要了解除了所需的 AWS 访问权限之外还可以添加到群组的访问权限 AWS Cloud9,请参阅IAM用户指南中的托管策略和内联策略以及了解策略授予的权限

第 3 步:登录 AWS Cloud9 控制台

完成本主题中前面的步骤后,您和您的用户就可以登录 AWS Cloud9 控制台了。

  1. 如果您已 AWS 账户 以 root 用户 AWS Management Console 身份登录,请退出控制台。

  2. 打开 AWS Cloud9 控制台,网址为https://console.aws.amazon.com/cloud9/

  3. 输入您之前创建或识别的IAM用户的 AWS 账户 号码,然后选择 “下一步”。

    注意

    如果您看不到用于输入 AWS 账号的选项,请选择 “登录其他帐户”。在下一页上输入 AWS 账户 号码,然后选择 Next(下一步)。

  4. 输入您之前创建或识别的IAM用户的登录凭据,然后选择 S ign In。

  5. 如果出现提示,请按照屏幕上的说明更改您用户的初始登录密码。将您的新登录密码保存在安全的位置。

AWS Cloud9 控制台随即显示出来,您可以开始使用 AWS Cloud9了。

后续步骤

Task 请参阅本主题

限制您的其他人 AWS Cloud9 使用 AWS 账户,以控制成本。

其他设置选项

创建 AWS Cloud9 开发环境,然后使用在新环境中处理代码。 AWS Cloud9 IDE

创建环境

了解如何使用 AWS Cloud9 IDE。

入门:基本教程使用 IDE

利用文本聊天支持实时邀请其他用户与您一起使用新环境。

使用共享环境