AWS Cloud9 现已不再向新客户提供。AWS Cloud9 的现有客户可以继续正常使用该服务。了解更多
为 AWS Cloud9 设置团队
本主题介绍如何使用 AWS IAM Identity Center
这些说明假定您具有或将具有对单个 AWS 账户 的管理访问权限。有关更多信息,请参阅《IAM 用户指南》中的 AWS 账户 根用户和创建您的第一个管理员和组。如果您已有 AWS 账户 但还没有对该账户的管理访问权限,请联系 AWS 账户 管理员。
警告
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供商的联合身份验证,例如 AWS IAM Identity Center。
注意
您可以使用 IAM Identity Center
-
《AWS Organizations 用户指南》中的什么是 AWS Organizations(IAM Identity Center 需要使用 AWS Organizations)
-
AWS IAM Identity Center 用户指南中的什么是 AWS IAM Identity Center
-
YouTube 上的 4 分钟视频 AWS 知识中心视频:如何开始使用 AWS Organizations
-
YouTube 上的 7 分钟视频 使用 IAM Identity Center 管理用户对多个 AWS 账户的访问权限
-
YouTube 上的 9 分钟视频 How to set up IAM Identity Center for your on-premise Active Directory users
(如何为本地 Active Directory 用户设置 IAM Identity Center)
要让单个 AWS 账户 中的多个用户能够开始使用 AWS Cloud9,请启动适用于您所拥有的 AWS 资源的步骤。
| 您是否拥有 AWS 账户? | 您是否在该账户中至少有一个 IAM 组和用户? | 从这一步开始 |
|---|---|---|
|
否 |
— |
第 1 步:注册 AWS 账户 |
|
是 |
否 |
|
|
是 |
是 |
先决条件
注册 AWS 账户
如果您还没有 AWS 账户,请完成以下步骤来创建一个。
注册 AWS 账户
打开 https://portal.aws.amazon.com/billing/signup
。 按照屏幕上的说明进行操作。
在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。
当您注册 AWS 账户时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
注册过程完成后,AWS 会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/
创建具有管理访问权限的用户
注册 AWS 账户 后,请保护好您的 AWS 账户根用户,启用 AWS IAM Identity Center,并创建一个管理用户,以避免使用根用户执行日常任务。
保护您的 AWS 账户根用户
-
选择根用户并输入您的 AWS 账户电子邮件地址,以账户拥有者身份登录 AWS Management Console
。在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录。
-
为您的根用户启用多重身份验证 (MFA)。
有关说明,请参阅《IAM 用户指南》中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关如何使用 IAM Identity Center 目录 作为身份源的教程,请参阅《AWS IAM Identity Center 用户指南》中的使用默认的 IAM Identity Center 目录 配置用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
要获取使用 IAM Identity Center 用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的登录 AWS 访问门户。
将访问权限分配给其他用户
步骤 1:创建一个 IAM 组和用户并在组中添加该用户
在该步骤中,您在 AWS Identity and Access Management (IAM) 中创建一个组和用户,在组中添加该用户,然后使用该用户访问 AWS Cloud9。这是一种 AWS 安全最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 最佳实操。
如果您已具有所需的全部 IAM 组和用户,请向前跳至步骤 3:在组中添加 AWS Cloud9 访问权限。
注意
您的企业可能已为您设置一个 IAM 组和用户。如果您的组织有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。
您可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 完成这些任务。
要观看与以下控制台过程相关的 9 分钟视频,请参阅 YouTube 上的 如何设置 IAM 用户并使用 IAM 凭证登录到 AWS Management Console
步骤 1.1:使用控制台创建 IAM 组
-
如果尚未登录,请登录到 AWS Management Console,网址为 https://console.aws.amazon.com/codecommit
。 注意
您可以使用创建 AWS 账户 时提供的电子邮件地址和密码登录 AWS Management Console。这称为以根用户身份登录。但这不是 AWS 安全最佳实践。以后,我们建议您使用 AWS 账户中的管理员用户的凭证登录。管理员用户具有与 AWS 账户 根用户类似的 AWS 访问权限,并避免一些关联的安全风险。如果无法以管理员用户身份登录,请与 AWS 账户 管理员联系。有关更多信息,请参阅《IAM 用户指南》中的创建您的第一个 IAM 用户和组。
-
打开 IAM 控制台。为此,请在 AWS 导航栏中选择 Service(服务)。然后,选择 IAM。
-
在 IAM 控制台的导航窗格中,选择 Groups(组)。
-
选择 Create New Group (创建新组)。
-
在设置组名页的组名框中输入新组的名称。
-
选择下一步。
-
在附加策略页中,选择下一步而不附加任何策略。将在步骤 3:在组中添加 AWS Cloud9 访问权限中附加一个策略。
-
选择创建组。
注意
我们建议您重复此过程来至少创建两个组:一组用于 AWS Cloud9 用户,另一组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可帮助您更好地控制、跟踪 AWS 资源访问以及排除问题。
向前跳到步骤 2.2:使用控制台创建 IAM 用户并在组中添加该用户。
步骤 1.2:使用 AWS CLI 创建 IAM 组
注意
如果您使用的是 AWS 托管式临时凭证,您将无法使用 AWS Cloud9 IDE 中的终端会话来运行本部分中的某些或所有命令。为了符合 AWS 安全最佳实践,AWS 托管式临时凭证不允许运行某些命令。不过,您可以从单独的 AWS Command Line Interface (AWS CLI) 安装来运行这些命令。
-
如果尚未在您的计算机上安装并配置 AWS CLI,请执行此操作。为此,请参阅 AWS Command Line Interface 用户指南中的以下内容:
注意
您可以使用与创建 AWS 账户 时提供的电子邮件地址和密码关联的凭证配置 AWS CLI。这称为以根用户身份登录。但这不是 AWS 安全最佳实践。我们建议您使用 AWS 账户中的 IAM 管理员用户的凭证配置 AWS CLI。IAM 管理员用户具有与 AWS 账户 根用户类似的 AWS 访问权限,并避免一些关联的安全风险。如果无法以 IAM 管理员用户身份配置 AWS CLI,请与 AWS 账户 管理员联系。有关更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
-
运行 IAM
create-group命令,并指定新组的名称(如MyCloud9Group)。aws iam create-group --group-name MyCloud9Group注意
我们建议您重复此过程来至少创建两个组:一组用于 AWS Cloud9 用户,另一组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可帮助您更好地控制、跟踪 AWS 资源访问以及排除问题。
向前跳到步骤 2.2:使用 AWS CLI 创建 IAM 用户并在组中添加该用户。
步骤 1.3:使用控制台创建 IAM 用户并在组中添加该用户
-
使用之前步骤打开 IAM 控制台,在导航窗格中选择 Users(用户)。
-
选择添加用户。
-
对于用户名,为新用户输入名称。
注意
您可以选择添加其他用户以同时创建多个用户。该过程中的其他设置适用于其中的每个新用户。
-
选中 Programmatic access(编程访问)和 AWS Management Console access(控制台访问)复选框。这能让新用户使用各种 AWS 开发工具和服务控制台。
-
保留默认选项自动生成密码。这会创建一个随机密码,供新用户登录控制台。或者,选择 Custom password(自定义密码),然后为新用户输入特定的密码。
-
保留默认选项需要重置密码。这会提示新用户在首次登录到控制台后更改其密码。
-
选择下一步: 权限。
-
保留将用户添加到组或向组添加多个用户(对于多个用户)的默认选择。
-
在组列表中,选中要将用户添加到的组旁边的复选框(不是名称)。
-
选择 Next: Review (下一步: 审核)。
-
选择 Create user。或者,对于多个用户,则 Create users(创建用户)。
-
在向导的最后一页上,执行下列操作之一:
-
在每个新用户旁边,选择发送电子邮件,并按照屏幕上的说明通过电子邮件向新用户发送其控制台登录 URL 和用户名。然后,分别告诉每个新用户其控制台登录密码、AWS 访问密钥 ID 以及 AWS 秘密访问密钥。
-
选择下载 .csv。然后,告诉每个新用户其控制台登录 URL、控制台登录密码、AWS 访问密钥 ID 以及 AWS 秘密访问密钥(位于下载的文件中)。
-
在每个新用户旁边,为 Secret access key(秘密访问密钥)和Password(密码)选择 Show(显示)。然后,告诉每个新用户其控制台登录 URL、控制台登录密码、AWS 访问密钥 ID 以及 AWS 秘密访问密钥。
注意
如果未选择 Download .csv(下载 .csv),这是您唯一一次可以查看新用户的 AWS 秘密访问密钥和控制台登录密码的机会。要为新用户生成新的 AWS 秘密访问密钥或控制台登录密码,请参阅 IAM 用户指南中的以下内容。
-
-
为希望创建的其他每个 IAM 用户重复此过程,然后向前跳至步骤 3:向组添加 AWS Cloud9 访问权限。
步骤 1.4:使用 AWS CLI 创建 IAM 用户并在组中添加该用户
注意
如果您使用的是 AWS 托管式临时凭证,您将无法使用 AWS Cloud9 IDE 中的终端会话来运行本部分中的某些或所有命令。为了符合 AWS 安全最佳实践,AWS 托管式临时凭证不允许运行某些命令。不过,您可以从单独的 AWS Command Line Interface (AWS CLI) 安装来运行这些命令。
-
运行 IAM
create-user命令以创建用户,并指定新用户的名称 (如MyCloud9User)。aws iam create-user --user-name MyCloud9User -
运行 IAM
create-login-profile命令,以便为用户创建新的控制台登录密码,并指定用户的名称和初始登录密码(如MyC10ud9Us3r!)。在用户登录后,AWS 会要求用户更改其登录密码。aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required要在以后需要时为用户生成替换控制台登录密码,请参阅 IAM 用户指南中的创建、更改或删除 IAM 用户密码 (API、CLI、PowerShell)。
-
运行 IAM
create-access-key命令,以便为用户创建新的 AWS 访问密钥和相应的 AWS 秘密访问密钥。aws iam create-access-key --user-name MyCloud9User记下显示的
AccessKeyId和SecretAccessKey值。在运行 IAMcreate-access-key命令后,这是您唯一一次可以查看用户的 AWS 秘密访问密钥的机会。要在以后需要时为用户生成新的 AWS 秘密访问密钥,请参阅 IAM 用户指南中的创建、修改和查看访问密钥 (API、CLI、PowerShell)。 -
运行 IAM
add-user-to-group命令以在组中添加用户,并指定组和用户的名称。aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User -
告诉用户其控制台登录 URL、初始控制台登录密码、AWS 访问密钥 ID 以及 AWS 秘密访问密钥。
-
对您需要创建的每个其他 IAM 用户重复此过程。
步骤 2:在组中添加 AWS Cloud9 访问权限
默认情况下,大多数 IAM 组和用户无权访问任何 AWS 服务,包括 AWS Cloud9(IAM 管理员组和 IAM 管理员用户是例外,默认情况下,他们有权访问其 AWS 账户中的所有 AWS 服务)。在该步骤中,您使用 IAM 将 AWS Cloud9 访问权限直接添加到一个或多个用户所属的 IAM 组中。这样,您可以确保这些用户可以访问 AWS Cloud9。
注意
您的组织可能已为您设置一个具有相应访问权限的组。如果您的组织有 AWS 账户 管理员,请在开始执行以下过程之前与该管理员联系。
您可以使用 AWS Management Console 或 AWS CLI 完成此任务。
步骤 2.1:使用控制台在组中添加 AWS Cloud9 访问权限
-
如果尚未登录,请登录到 AWS Management Console,网址为 https://console.aws.amazon.com/codecommit
。 注意
您可以使用创建 AWS 账户 时提供的电子邮件地址和密码登录 AWS Management Console。这称为以根用户身份登录。但这不是 AWS 安全最佳实践。以后,我们建议您使用 AWS 账户 中的 IAM 管理员用户的凭证登录。管理员用户具有与 AWS 账户 根用户类似的 AWS 访问权限,并避免一些关联的安全风险。如果无法以管理员用户身份登录,请与 AWS 账户 管理员联系。有关更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
-
打开 IAM 控制台。为此,请在 AWS 导航栏中选择 Service(服务)。然后,选择 IAM。
-
选择 Groups(组)。
-
选择组名。
-
决定是否要在组中添加 AWS Cloud9 用户或 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。
AWS Cloud9 用户访问权限允许组中的每个用户在其 AWS 账户 中执行以下操作:
-
创建自己的 AWS Cloud9 开发环境。
-
获取有关自己的环境的信息。
-
更改自己的环境的设置。
AWS Cloud9 管理员访问权限允许组中的每个用户在其 AWS 账户 中执行额外的操作:
-
为自己或其他人创建环境。
-
获取有关自己或其他人的环境的信息。
-
删除自己或其他人的环境。
-
更改自己或其他人的环境的设置。
注意
我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可帮助您更好地控制、跟踪 AWS 资源访问以及排除问题。
-
-
在 Permissions(权限)选项卡中,在 Manged Policies(托管式策略)处,选择 Attach Policy(附加策略)。
-
在策略名称列表中,选中 AWSCloud9User 旁边的框以作为 AWS Cloud9 用户访问权限,或选中 AWSCloud9Administrator 旁边的框以作为 AWS Cloud9 管理员访问权限。如果在列表中看不到任一策略名称,请在 Filter(筛选条件)框中输入策略名称以显示该策略。
-
选择附加策略。
注意
如果要将 AWS Cloud9 访问权限添加到多个组,请对其中每个组重复此过程。
要查看这些 AWS 托管式策略为组授予的访问权限列表,请参阅 AWS 托管式(预定义)策略。
要了解除 AWS Cloud9 所需的访问权限之外,您还可以添加到组的 AWS 访问权限,请参阅 IAM 用户指南中的托管式策略和内联策略以及了解策略授予的权限。
向前跳至 步骤 4:登录到 AWS Cloud9 控制台。
步骤 2.2:使用 AWS CLI 在组中添加 AWS Cloud9 访问权限
注意
如果您使用的是 AWS 托管式临时凭证,您将无法使用 AWS Cloud9 IDE 中的终端会话来运行本部分中的某些或所有命令。为了符合 AWS 安全最佳实践,AWS 托管式临时凭证不允许运行某些命令。不过,您可以从单独的 AWS Command Line Interface (AWS CLI) 安装来运行这些命令。
-
如果尚未在您的计算机上安装并配置 AWS CLI,请执行此操作。为此,请参阅 AWS Command Line Interface 用户指南中的以下内容:
注意
您可以使用与创建 AWS 账户 时提供的电子邮件地址和密码关联的凭证配置 AWS CLI。这称为以根用户身份登录。但这不是 AWS 安全最佳实践。我们建议您使用 AWS 账户 中的 IAM 管理员用户的凭证配置 AWS CLI。IAM 管理员用户具有与 AWS 账户 根用户类似的 AWS 访问权限,并避免一些关联的安全风险。如果无法以管理员用户身份配置 AWS CLI,请与 AWS 账户 管理员联系。有关更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
-
决定是否在组中添加 AWS Cloud9 用户或 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。
AWS Cloud9 用户访问权限允许组中的每个用户在其 AWS 账户 中执行以下操作:
-
创建自己的 AWS Cloud9 开发环境。
-
获取有关自己的环境的信息。
-
更改自己的环境的设置。
AWS Cloud9 管理员访问权限允许组中的每个用户在其 AWS 账户 中执行额外的操作:
-
为自己或其他人创建环境。
-
获取有关自己或其他人的环境的信息。
-
删除自己或其他人的环境。
-
更改自己或其他人的环境的设置。
注意
我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可帮助您更好地控制、跟踪 AWS 资源访问以及排除问题。
-
-
运行 IAM
attach-group-policy命令,并指定组的名称以及要添加的 AWS Cloud9 访问权限策略的 Amazon Resource Name (ARN)。对于 AWS Cloud9 用户访问权限,请指定以下 ARN。
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User对于 AWS Cloud9 管理员访问权限,请指定以下 ARN。
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator注意
如果要将 AWS Cloud9 访问权限添加到多个组,请对其中每个组重复此过程。
要查看这些 AWS 托管式策略为组授予的访问权限列表,请参阅 AWS 托管式(预定义)策略。
要了解除 AWS Cloud9 所需的访问权限之外,您还可以添加到组的 AWS 访问权限,请参阅 IAM 用户指南中的托管式策略和内联策略以及了解策略授予的权限。
步骤 3:登录到 AWS Cloud9 控制台
在完成本主题中的上述步骤后,您和您的用户就可以登录到 AWS Cloud9 控制台。
-
如果您已作为 AWS 账户 根用户登录到 AWS Management Console,请注销该控制台。
-
通过以下网址打开 AWS Cloud9 控制台:https://console.aws.amazon.com/cloud9/
。 -
输入您以前创建或确定的 IAM 用户的 AWS 账户,然后选择 Next(下一步)。
注意
如果未看到输入 AWS 账户的选项,请选择 Sign in to a different account(登录到其他账户)。在下一页上输入 AWS 账户 号码,然后选择 Next(下一步)。
-
输入您以前创建或确定的 IAM 用户的登录凭证,然后选择 Sign In(登录)。
-
如果出现提示,请按照屏幕上的说明更改您用户的初始登录密码。将您的新登录密码保存在安全的位置。
此时将显示 AWS Cloud9 控制台,您可以开始使用 AWS Cloud9。
后续步骤
