AWS Cloud9 不再向新客户提供。 AWS Cloud9 的现有客户可以继续正常使用该服务。了解更多
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本主题介绍AWS IAM Identity Center
这些说明假定您具有或将具有对单个 AWS 账户的管理访问权限。有关更多信息,请参阅 IAM 用户指南中的 AWS 账户 根用户和创建您的第一个管理员和群组。如果您已经拥有该账户 AWS 账户 但没有管理权限,请 AWS 账户 咨询您的管理员。
警告
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供者的联合身份验证,例如 AWS IAM Identity Center。
注意
您可以使用 IAM Identity Center 而不是 IAM,以允许单个 AWS 账户 身份中心
-
AWS Organizations 用户指南中的 AWS Organizations 是什么(需要使用 IAM 身份中心 AWS Organizations)
-
AWS IAM Identity Center 用户指南中的什么是 AWS IAM Identity Center
-
4 分钟视频 Kn AWS owledge Center 视频:如何开始使用 on AWS Organizations
YouTube -
7 分钟的视频使用 IAM Identity Center 管理用户对多个 AWS 账户的访问权限
YouTube -
9 分钟的视频如何为您的本地 Active Directory 用户设置 IAM 身份中心
YouTube
要使单个 AWS 账户 用户可以开始使用 AWS Cloud9,请启动适用于您拥有的 AWS 资源的步骤。
| 你有 AWS 账号吗? | 您是否在该账户中至少有一个 IAM 组和用户? | 从这一步开始 |
|---|---|---|
|
否 |
— |
第 1 步:注册 AWS 账户 |
|
是 |
否 |
|
|
支持 |
是 |
先决条件
注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
报名参加 AWS 账户
打开https://portal.aws.amazon.com/billing/注册。
按照屏幕上的说明操作。
在注册时,将接到电话,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 https://aws.amazon.com/
创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
保护你的 AWS 账户根用户
-
选择 Root 用户并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。AWS Management Console
在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的 Signing in as the root user。
-
为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I A M 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Enabling AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
有关使用 IAM Identity Center 用户登录的帮助,请参阅AWS 登录 用户指南中的登录 AWS 访问门户。
将访问权限分配给其他用户
-
在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Create a permission set。
-
将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的 Add groups。
步骤 1:创建一个 IAM 组和用户并在组中添加该用户
在此步骤中,您将在 AWS Identity and Access Management (IAM) 中创建一个群组和一个用户,将该用户添加到群组,然后使用该用户进行访问 AWS Cloud9。这是一种 AWS 安全最佳实践。有关更多信息,请参阅《IAM 用户指南》中的 IAM 最佳实操。
如果您已经拥有所需的所有 IAM 群组和用户,请跳至步骤 3:向群组添加 AWS Cloud9 访问权限。
注意
您的企业可能已为您设置一个 IAM 组和用户。如果您的组织有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。
您可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 完成这些任务。
要观看与以下控制台过程相关的 9 分钟视频,请参阅如何设置 IAM 用户并 AWS Management Console 使用 IAM 证书登 YouTube录
步骤 1.1:使用控制台创建 IAM 组
-
如果您尚未登录 AWS Management Console,请在 https://console.aws.amazon.com/codeco
mmit 上登录。 注意
您可以使用创建时提供的电子邮件地址和密码登录。 AWS Management Console AWS 账户 这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。将来,我们建议您使用 AWS 账户中管理员用户的凭据登录。管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法以管理员用户身份登录,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅《IAM 用户指南》中的创建您的第一个 IAM 用户和组。
-
打开 IAM 管理控制台。为此,请在 AWS 导航栏中选择 “服务”。然后,选择 IAM。
-
在 IAM 控制台的导航窗格中,选择 Groups(组)。
-
选择 Create New Group (创建新组)。
-
在设置组名页的组名框中输入新组的名称。
-
选择下一步。
-
在附加策略页中,选择下一步而不附加任何策略。您将在步骤 3:向群组添加 AWS Cloud9 访问权限中附加策略。
-
选择创建组。
注意
我们建议您重复此过程以创建至少两个组:一个 AWS Cloud9 用户组,另一个组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
向前跳到步骤 2.2:使用控制台创建 IAM 用户并在组中添加该用户。
步骤 1.2:使用创建一个 IAM 群组 AWS CLI
注意
如果您使用的是AWS 托管临时凭证,则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。
-
如果您尚未 AWS CLI 在计算机上安装和配置,请执行此操作。为此,请参阅 AWS Command Line Interface 用户指南中的以下内容:
注意
您可以使用与 AWS CLI 创建时提供的电子邮件地址和密码关联的凭 AWS 账户 据进行配置。这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。相反,我们建议您为 AWS 账户中的 IAM 管理员用户配置 AWS CLI 使用证书。IAM 管理员用户拥有与 AWS 账户 根用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法将配置 AWS CLI 为 IAM 管理员用户,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
-
运行 IAM
create-group命令,并指定新组的名称(如MyCloud9Group)。aws iam create-group --group-name MyCloud9Group注意
我们建议您重复此过程以创建至少两个组:一个 AWS Cloud9 用户组,另一个组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
跳至步骤 2.2:创建 IAM 用户并使用 AWS CLI 将该用户添加到群组。
步骤 1.3:使用控制台创建 IAM 用户并在组中添加该用户
-
使用之前步骤打开 IAM 控制台,在导航窗格中选择 Users(用户)。
-
选择添加用户。
-
对于用户名,为新用户输入名称。
注意
您可以选择添加其他用户以同时创建多个用户。该过程中的其他设置适用于其中的每个新用户。
-
选中 Programmatic access(编程访问)和 AWS Management Console access(控制台访问)复选框。这能让新用户使用各种 AWS 开发工具和服务控制台。
-
保留默认选项自动生成密码。这会创建一个随机密码,供新用户登录控制台。或者,选择 Custom password(自定义密码),然后为新用户输入特定的密码。
-
保留默认选项需要重置密码。这会提示新用户在首次登录到控制台后更改其密码。
-
选择下一步: 权限。
-
保留将用户添加到组或向组添加多个用户(对于多个用户)的默认选择。
-
在组列表中,选中要将用户添加到的组旁边的复选框(不是名称)。
-
选择 Next: Review (下一步: 审核)。
-
选择 Create user。或者,对于多个用户,则 Create users(创建用户)。
-
在向导的最后一页上,执行下列操作之一:
-
在每个新用户旁边,选择发送电子邮件,并按照屏幕上的说明通过电子邮件向新用户发送其控制台登录 URL 和用户名。然后,分别向每位新用户传达他们的控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。
-
选择下载 .csv。然后,向每位新用户传达其主机登录 URL、控制台登录密码、 AWS 访问 AWS 密钥 ID 和已下载文件中的私有访问密钥。
-
在每个新用户旁边,为 Secret access key(秘密访问密钥)和Password(密码)选择 Show(显示)。然后向每位新用户传达他们的主机登录 URL、控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。
注意
如果您不选择 Download .csv,则这是您唯一一次可以查看新用户的 AWS 私有访问密钥和控制台登录密码。要为新用户生成新的 AWS 私有访问密钥或控制台登录密码,请参阅 IAM 用户指南中的以下内容。
-
-
为希望创建的其他每个 IAM 用户重复此过程,然后向前跳至步骤 3:向组添加 AWS Cloud9 访问权限。
步骤 1.4:创建 IAM 用户并将该用户添加到群组中 AWS CLI
注意
如果您使用的是AWS 托管临时凭证,则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。
-
运行 IAM
create-user命令以创建用户,并指定新用户的名称 (如MyCloud9User)。aws iam create-user --user-name MyCloud9User -
运行 IAM
create-login-profile命令,以便为用户创建新的控制台登录密码,并指定用户的名称和初始登录密码(如MyC10ud9Us3r!)。在用户登录后, AWS 会要求用户更改其登录密码。aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required如果您需要稍后为用户生成替代控制台登录密码,请参阅 IAM 用户指南中的创建、更改或删除 IAM 用户密码(API、CLI PowerShell)。
-
运行 IAM
create-access-key命令为用户创建新的 AWS 访问 AWS 密钥和相应的私有访问密钥。aws iam create-access-key --user-name MyCloud9User记下显示的
AccessKeyId和SecretAccessKey值。运行 IAMcreate-access-key命令后,这是您唯一一次可以查看用户的 AWS 私有访问密钥。如果您需要稍后为用户生成新的 AWS 私有访问密钥,请参阅 I AM 用户指南中的创建、修改和查看访问密钥(API、CLI PowerShell)。 -
运行 IAM
add-user-to-group命令以在组中添加用户,并指定组和用户的名称。aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User -
向用户传达他们的主机登录 URL、初始控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。
-
对您需要创建的每个其他 IAM 用户重复此过程。
步骤 2:向群组添加 AWS Cloud9 访问权限
默认情况下,大多数 IAM 群组和用户都无权访问任何群组和用户 AWS 服务 AWS Cloud9,包括(IAM 管理员群组和 IAM 管理员用户除外,它们在 AWS 账户 默认情况下可以访问其 AWS 服务 中的所有群组)。在此步骤中,您将使用 IAM 直接向一个或多个用户所属的 IAM 群组添加 AWS Cloud9 访问权限。这样,您可以确保这些用户可以访问 AWS Cloud9。
注意
您的组织可能已为您设置一个具有相应访问权限的组。如果您的组织有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。
您可以使用 AWS Management Console 或 AWS CLI 完成此任务。
步骤 2.1:使用控制台向群组添加 AWS Cloud9 访问权限
-
如果您尚未登录 AWS Management Console,请在 https://console.aws.amazon.com/codeco
mmit 上登录。 注意
您可以使用创建时提供的电子邮件地址和密码登录。 AWS Management Console AWS 账户 这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。以后,我们建议您使用 AWS 账户中的 IAM 管理员用户的凭证登录。管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法以管理员用户身份登录,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
-
打开 IAM 管理控制台。为此,请在 AWS 导航栏中选择 “服务”。然后,选择 IAM。
-
选择 Groups(组)。
-
选择组名。
-
决定是要向群组添加 AWS Cloud9 用户访问权限还是 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。
AWS Cloud9 用户访问权限允许群组中的每位用户在其内部执行以下操作 AWS 账户:
-
创建自己的 AWS Cloud9 开发环境。
-
获取有关自己的环境的信息。
-
更改自己的环境的设置。
AWS Cloud9 管理员访问权限允许群组中的每位用户在其内部执行其他操作 AWS 账户:
-
为自己或其他人创建环境。
-
获取有关自己或其他人的环境的信息。
-
删除自己或其他人的环境。
-
更改自己或其他人的环境的设置。
注意
我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
-
-
在 Permissions(权限)选项卡中,在 Manged Policies(托管式策略)处,选择 Attach Policy(附加策略)。
-
在策略名称列表中,选中 “用户” 旁边的复选框表示AWSCloud9 AWS Cloud9 用户访问权限,或选择 “AWSCloud9管理员” 旁边的复选框以获得 AWS Cloud9 管理员访问权限。如果在列表中看不到任一策略名称,请在 Filter(筛选条件)框中输入策略名称以显示该策略。
-
选择附加策略。
注意
如果您要向多个群组添加 AWS Cloud9 访问权限,请对每个群组重复此步骤。
要查看这些 AWS 托管策略授予群组的访问权限列表,请参阅AWS 托管(预定义)策略。
要了解除了所需的 AWS 访问权限之外还可以添加到群组的访问权限 AWS Cloud9,请参阅 IAM 用户指南中的托管策略和内联策略以及了解策略授予的权限。
向前跳至 步骤 4:登录到 AWS Cloud9 控制台。
步骤 2.2:使用向群组添加 AWS Cloud9 访问权限 AWS CLI
注意
如果您使用的是AWS 托管临时凭证,则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。
-
如果您尚未 AWS CLI 在计算机上安装和配置,请执行此操作。为此,请参阅 AWS Command Line Interface 用户指南中的以下内容:
注意
您可以使用与 AWS CLI 创建时提供的电子邮件地址和密码关联的凭 AWS 账户 据进行配置。这称为以根用户身份登录。但是,这不是 AWS 安全最佳实践。相反,我们建议您在中为 IAM 管理员用户配置 AWS CLI 使用证书 AWS 账户。IAM 管理员用户拥有与 AWS 账户 根用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法将配置 AWS CLI 为管理员用户,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅 IAM 用户指南中的创建您的第一个 IAM 管理员用户和组。
-
决定是向群组添加 AWS Cloud9 用户访问权限还是 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。
AWS Cloud9 用户访问权限允许群组中的每位用户在其内部执行以下操作 AWS 账户:
-
创建自己的 AWS Cloud9 开发环境。
-
获取有关自己的环境的信息。
-
更改自己的环境的设置。
AWS Cloud9 管理员访问权限允许群组中的每位用户在其内部执行其他操作 AWS 账户:
-
为自己或其他人创建环境。
-
获取有关自己或其他人的环境的信息。
-
删除自己或其他人的环境。
-
更改自己或其他人的环境的设置。
注意
我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
-
-
运行 IAM
attach-group-policy命令,指定要添加的群组名称和 AWS Cloud9 访问权限策略的 Amazon 资源名称 (ARN)。要获得 AWS Cloud9 用户访问权限,请指定以下 ARN。
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User要获得 AWS Cloud9 管理员访问权限,请指定以下 ARN。
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator注意
如果您要向多个群组添加 AWS Cloud9 访问权限,请对每个群组重复此步骤。
要查看这些 AWS 托管策略授予群组的访问权限列表,请参阅AWS 托管(预定义)策略。
要了解除了所需的 AWS 访问权限之外还可以添加到群组的访问权限 AWS Cloud9,请参阅 IAM 用户指南中的托管策略和内联策略以及了解策略授予的权限。
第 3 步:登录 AWS Cloud9 控制台
完成本主题中前面的步骤后,您和您的用户就可以登录 AWS Cloud9 控制台了。
-
如果您已 AWS 账户 以 root 用户 AWS Management Console 身份登录,请退出控制台。
-
打开 AWS Cloud9 控制台,网址为https://console.aws.amazon.com/cloud9/
。 -
输入您之前创建或识别的 IAM 用户的 AWS 账户 号码,然后选择下一步。
注意
如果您看不到用于输入 AWS 账号的选项,请选择 “登录其他帐户”。在下一页上输入 AWS 账户 号码,然后选择 Next(下一步)。
-
输入您以前创建或确定的 IAM 用户的登录凭证,然后选择 Sign In(登录)。
-
如果出现提示,请按照屏幕上的说明更改您用户的初始登录密码。将您的新登录密码保存在安全的位置。
AWS Cloud9 控制台随即显示出来,您可以开始使用 AWS Cloud9了。
后续步骤
