AWS Cloud9 不再向新客户提供。 AWS Cloud9 的现有客户可以继续正常使用这项服务。[了解详情](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为组建小组 AWS Cloud9
本主题介绍[AWS IAM Identity Center](https://aws.amazon.com/iam/)如何使用在单个 AWS 账户 用户中允许多个用户使用 AWS Cloud9。要设置 AWS Cloud9 为用于任何其他使用模式,请参见[设置 AWS Cloud9](setting-up.md)以获取正确的说明。
这些说明假定您具有或将具有对单个 AWS 账户的管理访问权限。有关更多信息,请参阅 *IAM 用户指南*[中的 AWS 账户 根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)[和创建您的第一个管理员和群组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。如果您已经拥有该账户 AWS 账户 但没有管理权限,请 AWS 账户 咨询您的管理员。
**警告**
为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供者的联合身份验证,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**注意**
您可以使用 [IAM Identity Center 而不是 IAM,以允许单个 AWS 账户 身份中心](https://aws.amazon.com/iam/identity-center/)中的多个用户使用 AWS Cloud9。在这种使用模式中,单一账户 AWS 账户 充当中组织的管理账户 AWS Organizations。此外,该组织没有成员账户。要使用 IAM Identity Center,请跳过此主题并改为按照[企业设置](setup-enterprise.md)中的说明进行操作。有关信息,请参阅以下资源:
*AWS Organizations 用户指南*中的 [AWS Organizations 是什么](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)(需要使用 IAM 身份中心 AWS Organizations)
*AWS IAM Identity Center 用户指南*中的[什么是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
4 分钟视频 Kn [AWS owledge Center 视频:如何开始使用 on AWS Organizations](https://www.youtube.com/watch?v=8VKMrkKXu2w) YouTube
7 分钟的视频[使用 IAM Identity Center 管理用户对多个 AWS 账户的访问权限](https://www.youtube.com/watch?v=bXrsUEI1V38) YouTube
9 分钟的视频[如何为您的本地 Active Directory 用户设置 IAM 身份中心](https://www.youtube.com/watch?v=nuPjljOVZmU) YouTube
要使单个 AWS 账户 用户可以开始使用 AWS Cloud9,请启动适用于您拥有的 AWS 资源的步骤。
****
| **你有 AWS 账号吗?** | **您是否在该账户中至少有一个 IAM 组和用户?** | **从这一步开始** |
| --- | --- | --- |
| 否 | — | 第 1 步:注册 AWS 账户 |
| 是 | 否 | [步骤 2:创建一个 IAM 组和用户并在组中添加该用户](#setup-create-iam-resources) |
| 支持 | 是 | [步骤 3:向群组添加 AWS Cloud9 访问权限](#setup-give-user-access) |
**Topics**
+ [先决条件](#setup-prerequisites)
+ [步骤 1:创建一个 IAM 组和用户并在组中添加该用户](#setup-create-iam-resources)
+ [步骤 2:向群组添加 AWS Cloud9 访问权限](#setup-give-user-access)
+ [第 3 步:登录 AWS Cloud9 控制台](#setup-sign-in-ide)
+ [后续步骤](#setup-next-steps)
## 先决条件
### 注册获取 AWS 账户
如果您没有 AWS 账户,请完成以下步骤来创建一个。
**报名参加 AWS 账户**
1. 打开[https://portal.aws.amazon.com/billing/注册。](https://portal.aws.amazon.com/billing/signup)
1. 按照屏幕上的说明操作。
在注册时,将接到电话或收到短信,要求使用电话键盘输入一个验证码。
当您注册时 AWS 账户,就会创建*AWS 账户根用户*一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践,请为用户分配管理访问权限,并且只使用根用户来执行[需要根用户访问权限的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 注册过程完成后会向您发送一封确认电子邮件。您可以随时前往 [https://aws.amazon.com/](https://aws.amazon.com/)并选择 “**我的账户”,查看您当前的账户活动并管理您的账户**。
### 创建具有管理访问权限的用户
注册后,请保护您的安全 AWS 账户 AWS 账户根用户 AWS IAM Identity Center,启用并创建管理用户,这样您就不会使用 root 用户执行日常任务。
**保护你的 AWS 账户根用户**
1. 选择 **Root 用户**并输入您的 AWS 账户 电子邮件地址,以账户所有者的身份登录。[AWS 管理控制台](https://console.aws.amazon.com/)在下一页上,输入您的密码。
要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》**中的 [Signing in as the root user](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 为您的根用户启用多重身份验证(MFA)。
有关说明,请参阅 I [A *M* 用户指南中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**创建具有管理访问权限的用户**
1. 启用 IAM Identity Center。
有关说明,请参阅**《AWS IAM Identity Center 用户指南》中的[启用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,为用户授予管理访问权限。
有关使用 IAM Identity Center 目录 作为身份源的教程,请参阅《[用户*指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户*访问权限](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理访问权限的用户身份登录**
+ 要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录 URL。
有关使用 IAM Identity Center 用户[登录的帮助,请参阅*AWS 登录 用户指南*中的登录 AWS 访问门户](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**将访问权限分配给其他用户**
1. 在 IAM Identity Center 中,创建一个权限集,该权限集遵循应用最低权限的最佳做法。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 将用户分配到一个组,然后为该组分配单点登录访问权限。
有关说明,请参阅《AWS IAM Identity Center 用户指南》**中的 [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步骤 1:创建一个 IAM 组和用户并在组中添加该用户
在此步骤中,您将在 AWS Identity and Access Management (IAM) 中创建一个群组和一个用户,将该用户添加到群组,然后使用该用户进行访问 AWS Cloud9。这是一种 AWS 安全最佳实践。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
如果您已经拥有所需的所有 IAM 群组和用户,请跳至[步骤 3:向群组添加 AWS Cloud9 访问权限](#setup-give-user-access)。
**注意**
您的企业可能已为您设置一个 IAM 组和用户。如果您的组织有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。
您可以使用 [AWS 管理控制台](#setup-create-iam-resources-group-console) 或 [AWS Command Line Interface (AWS CLI)](#setup-create-iam-resources-group-cli) 完成这些任务。
要观看与以下控制台过程相关的 9 分钟视频,请参阅[如何设置 IAM 用户并 AWS 管理控制台 使用 IAM 证书登 YouTube录](https://www.youtube.com/watch?v=XMi5fXL2Hes)。
### 步骤 1.1:使用控制台创建 IAM 组
1. 如果您尚未登录 AWS 管理控制台,请在 [https://console.aws.amazon.com/codeco](https://console.aws.amazon.com/codecommit) mmit 上登录。
**注意**
您可以使用创建时提供的电子邮件地址和密码登录。 AWS 管理控制台 AWS 账户 这称为以*根用户*身份登录。但是,这不是 AWS 安全最佳实践。将来,我们建议您使用 AWS 账户中管理员用户的凭据登录。管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法以管理员用户身份登录,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅《IAM 用户指南》**中的[创建您的第一个 IAM 用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。
1. 打开 IAM 控制台。为此,请在 AWS 导航栏中选择 “**服务**”。然后,选择 **IAM**。
1. 在 IAM 控制台的导航窗格中,选择 **Groups(组)**。
1. 选择 **Create New Group (创建新组)**。
1. 在**设置组名**页的**组名**框中输入新组的名称。
1. 选择**下一步**。
1. 在**附加策略**页中,选择**下一步**而不附加任何策略。您将在[步骤 3:向群组添加 AWS Cloud9 访问权限](#setup-give-user-access)中附加策略。
1. 选择**创建组**。
**注意**
我们建议您重复此过程以创建至少两个组:一个 AWS Cloud9 用户组,另一个组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
向前跳到[步骤 2.2:使用控制台创建 IAM 用户并在组中添加该用户](#setup-create-iam-resources-user-console)。
### 步骤 1.2:使用创建一个 IAM 群组 AWS CLI
**注意**
如果您使用的是[AWS 托管临时凭证](security-iam.md#auth-and-access-control-temporary-managed-credentials),则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。
1. 如果您尚未 AWS CLI 在计算机上安装和配置,请执行此操作。为此,请参阅 *AWS Command Line Interface 用户指南*中的以下内容:
+ [安装 AWS 命令行界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [快速配置](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)
**注意**
您可以使用与 AWS CLI 创建时提供的电子邮件地址和密码关联的凭 AWS 账户 据进行配置。这称为以*根用户*身份登录。但是,这不是 AWS 安全最佳实践。相反,我们建议您为 AWS 账户中的 IAM 管理员用户配置 AWS CLI 使用证书。IAM 管理员用户拥有与 AWS 账户 根用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法将配置 AWS CLI 为 IAM 管理员用户,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅 *IAM 用户指南*中的[创建您的第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。
1. 运行 IAM `create-group` 命令,并指定新组的名称(如 `MyCloud9Group`)。
```
aws iam create-group --group-name MyCloud9Group
```
**注意**
我们建议您重复此过程以创建至少两个组:一个 AWS Cloud9 用户组,另一个组用于 AWS Cloud9 管理员。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
跳至[步骤 2.2:创建 IAM 用户并使用 AWS CLI 将该用户添加到群组](#setup-create-iam-resources-user-cli)。
### 步骤 1.3:使用控制台创建 IAM 用户并在组中添加该用户
1. 使用之前步骤打开 IAM 控制台,在导航窗格中选择 **Users(用户)**。
1. 选择**添加用户**。
1. 对于**用户名**,为新用户输入名称。
**注意**
您可以选择**添加其他用户**以同时创建多个用户。该过程中的其他设置适用于其中的每个新用户。
1. 选中 **Programmatic access(编程访问)**和 **AWS 管理控制台 access(控制台访问)**复选框。这能让新用户使用各种 AWS 开发工具和服务控制台。
1. 保留默认选项**自动生成密码**。这会创建一个随机密码,供新用户登录控制台。或者,选择 **Custom password**(自定义密码),然后为新用户输入特定的密码。
1. 保留默认选项**需要重置密码**。这会提示新用户在首次登录到控制台后更改其密码。
1. 选择**下一步: 权限**。
1. 保留**将用户添加到组**或**向组添加多个用户**(对于多个用户)的默认选择。
1. 在组列表中,选中要将用户添加到的组旁边的复选框(不是名称)。
1. 选择 **Next: Review (下一步: 审核)**。
1. 选择 **Create user**。或者,对于多个用户,则 **Create users**(创建用户)。
1. 在向导的最后一页上,执行下列操作之一:
+ 在每个新用户旁边,选择**发送电子邮件**,并按照屏幕上的说明通过电子邮件向新用户发送其控制台登录 URL 和用户名。然后,分别向每位新用户传达他们的控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。
+ 选择**下载 .csv**。然后,向每位新用户传达其主机登录 URL、控制台登录密码、 AWS 访问 AWS 密钥 ID 和已下载文件中的私有访问密钥。
+ 在每个新用户旁边,为 **Secret access key(秘密访问密钥)**和**Password(密码)**选择 **Show(显示)**。然后向每位新用户传达他们的主机登录 URL、控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。
**注意**
如果您不选择 **Download .csv**,则这是您唯一一次可以查看新用户的 AWS 私有访问密钥和控制台登录密码。要为新用户生成新的 AWS 私有访问密钥或控制台登录密码,请参阅 *IAM 用户指南*中的以下内容。
[创建、修改和查看访问密钥(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)
[创建、更改或删除 IAM 用户密码(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)
1. 为希望创建的其他每个 IAM 用户重复此过程,然后向前跳至[步骤 3:向组添加 AWS Cloud9 访问权限](#setup-give-user-access)。
### 步骤 1.4:创建 IAM 用户并将该用户添加到群组中 AWS CLI
**注意**
如果您使用的是[AWS 托管临时凭证](security-iam.md#auth-and-access-control-temporary-managed-credentials),则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。
1. 运行 IAM `create-user` 命令以创建用户,并指定新用户的名称 (如 `MyCloud9User`)。
```
aws iam create-user --user-name MyCloud9User
```
1. 运行 IAM `create-login-profile` 命令,以便为用户创建新的控制台登录密码,并指定用户的名称和初始登录密码(如 `MyC10ud9Us3r!`)。在用户登录后, AWS 会要求用户更改其登录密码。
```
aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required
```
如果您需要稍后为用户生成替代控制台登录密码,请参阅 IAM 用户*指南*中的[创建、更改或删除 IAM 用户密码(API、CLI PowerShell)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#Using_ManagingPasswordsCLIAPI)。
1. 运行 IAM `create-access-key` 命令为用户创建新的 AWS 访问 AWS 密钥和相应的私有访问密钥。
```
aws iam create-access-key --user-name MyCloud9User
```
记下显示的 `AccessKeyId` 和 `SecretAccessKey` 值。运行 IAM `create-access-key` 命令后,这是您唯一一次可以查看用户的 AWS 私有访问密钥。如果您需要稍后为用户生成新的 AWS 私有访问密钥,请参阅 I *AM 用户指南*中的[创建、修改和查看访问密钥(API、CLI PowerShell)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey_CLIAPI)。
1. 运行 IAM `add-user-to-group` 命令以在组中添加用户,并指定组和用户的名称。
```
aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User
```
1. 向用户传达他们的主机登录 URL、初始控制台登录密码、 AWS 访问密钥 ID 和 AWS 私有访问密钥。
1. 对您需要创建的每个其他 IAM 用户重复此过程。
## 步骤 2:向群组添加 AWS Cloud9 访问权限
默认情况下,大多数 IAM 群组和用户都无权访问任何群组和用户 AWS 服务 AWS Cloud9,包括(IAM 管理员群组和 IAM 管理员用户除外,它们在 AWS 账户 默认情况下可以访问其 AWS 服务 中的所有群组)。在此步骤中,您将使用 IAM 直接向一个或多个用户所属的 IAM 群组添加 AWS Cloud9 访问权限。这样,您可以确保这些用户可以访问 AWS Cloud9。
**注意**
您的组织可能已为您设置一个具有相应访问权限的组。如果您的组织有 AWS 账户 管理员,请在开始以下步骤之前咨询该管理员。
您可以使用 [AWS 管理控制台](#setup-give-user-access-console) 或 [AWS CLI](#setup-give-user-access-cli) 完成此任务。
### 步骤 2.1:使用控制台向群组添加 AWS Cloud9 访问权限
1. 如果您尚未登录 AWS 管理控制台,请在 [https://console.aws.amazon.com/codeco](https://console.aws.amazon.com/) mmit 上登录。
**注意**
您可以使用创建时提供的电子邮件地址和密码登录。 AWS 管理控制台 AWS 账户 这称为以*根用户*身份登录。但是,这不是 AWS 安全最佳实践。以后,我们建议您使用 AWS 账户中的 IAM 管理员用户的凭证登录。管理员用户拥有与 AWS 账户 root 用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法以管理员用户身份登录,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅 *IAM 用户指南*中的[创建您的第一个 IAM 管理员用户和组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。
1. 打开 IAM 控制台。为此,请在 AWS 导航栏中选择 “**服务**”。然后,选择 **IAM**。
1. 选择 **Groups(组)**。
1. 选择组名。
1. 决定是要向群组添加 AWS Cloud9 用户访问权限还是 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。
AWS Cloud9 用户访问权限允许群组中的每位用户在其内部执行以下操作 AWS 账户:
+ 创建自己的 AWS Cloud9 开发环境。
+ 获取有关自己的环境的信息。
+ 更改自己的环境的设置。
AWS Cloud9 管理员访问权限允许群组中的每位用户在其内部执行其他操作 AWS 账户:
+ 为自己或其他人创建环境。
+ 获取有关自己或其他人的环境的信息。
+ 删除自己或其他人的环境。
+ 更改自己或其他人的环境的设置。
**注意**
我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
1. 在 **Permissions(权限)**选项卡中,在 **Manged Policies(托管式策略)**处,选择 **Attach Policy(附加策略)**。
1. 在策略名称列表中,选中 “用户” 旁边的复选框表示**AWSCloud9 AWS Cloud9 用户**访问权限,或选择 “**AWSCloud9管理**员” 旁边的复选框以获得 AWS Cloud9 管理员访问权限。如果在列表中看不到任一策略名称,请在 **Filter**(筛选条件)框中输入策略名称以显示该策略。
1. 选择**附加策略**。
**注意**
如果您要向多个群组添加 AWS Cloud9 访问权限,请对每个群组重复此步骤。
要查看这些 AWS 托管策略授予群组的访问权限列表,请参阅[AWS 托管(预定义)策略](security-iam.md#auth-and-access-control-managed-policies)。
要了解除了所需的 AWS 访问权限之外还可以添加到群组的访问权限 AWS Cloud9,请参阅 *IAM 用户指南*中的[托管策略和内联](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)策略以及[了解策略授予的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)。
向前跳至 [步骤 4:登录到 AWS Cloud9 控制台](#setup-sign-in-ide)。
### 步骤 2.2:使用向群组添加 AWS Cloud9 访问权限 AWS CLI
**注意**
如果您使用的是[AWS 托管临时凭证](security-iam.md#auth-and-access-control-temporary-managed-credentials),则无法在 AWS Cloud9 IDE 中使用终端会话来运行本节中的部分或全部命令。为了解决 AWS 安全最佳实践, AWS 托管临时证书不允许运行某些命令。相反,您可以从单独安装的 AWS Command Line Interface (AWS CLI) 中运行这些命令。
1. 如果您尚未 AWS CLI 在计算机上安装和配置,请执行此操作。为此,请参阅 *AWS Command Line Interface 用户指南*中的以下内容:
+ [安装 AWS 命令行界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [快速配置](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)
**注意**
您可以使用与 AWS CLI 创建时提供的电子邮件地址和密码关联的凭 AWS 账户 据进行配置。这称为以*根用户*身份登录。但是,这不是 AWS 安全最佳实践。相反,我们建议您在中为 IAM 管理员用户配置 AWS CLI 使用证书 AWS 账户。IAM 管理员用户拥有与 AWS 账户 根用户相似的 AWS 访问权限,可以避免一些相关的安全风险。如果您无法将配置 AWS CLI 为管理员用户,请咨询您的 AWS 账户 管理员。有关更多信息,请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)中的*创建您的第一个 IAM 管理员用户和组*。
1. 决定是向群组添加 AWS Cloud9 用户访问权限还是 AWS Cloud9 管理员访问权限。这些权限应用于组中的每个用户。
AWS Cloud9 用户访问权限允许群组中的每位用户在其内部执行以下操作 AWS 账户:
+ 创建自己的 AWS Cloud9 开发环境。
+ 获取有关自己的环境的信息。
+ 更改自己的环境的设置。
AWS Cloud9 管理员访问权限允许群组中的每位用户在其内部执行其他操作 AWS 账户:
+ 为自己或其他人创建环境。
+ 获取有关自己或其他人的环境的信息。
+ 删除自己或其他人的环境。
+ 更改自己或其他人的环境的设置。
**注意**
我们建议您仅将有限数量的用户添加到 AWS Cloud9 管理员组中。此 AWS 安全最佳实践可以帮助您更好地控制、跟踪和解决 AWS 资源访问问题。
1. 运行 IAM `attach-group-policy` 命令,指定要添加的群组名称和 AWS Cloud9 访问权限策略的 Amazon 资源名称 (ARN)。
要获得 AWS Cloud9 用户访问权限,请指定以下 ARN。
```
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User
```
要获得 AWS Cloud9 管理员访问权限,请指定以下 ARN。
```
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator
```
**注意**
如果您要向多个群组添加 AWS Cloud9 访问权限,请对每个群组重复此步骤。
要查看这些 AWS 托管策略授予群组的访问权限列表,请参阅[AWS 托管(预定义)策略](security-iam.md#auth-and-access-control-managed-policies)。
要了解除了所需的 AWS 访问权限之外还可以添加到群组的访问权限 AWS Cloud9,请参阅 *IAM 用户指南*中的[托管策略和内联](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)策略以及[了解策略授予的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)。
## 第 3 步:登录 AWS Cloud9 控制台
完成本主题中前面的步骤后,您和您的用户就可以登录 AWS Cloud9 控制台了。
1. 如果您已 AWS 账户 以 root 用户 AWS 管理控制台 身份登录,请退出控制台。
1. 打开 AWS Cloud9 控制台,网址为[https://console.aws.amazon.com/cloud9/](https://console.aws.amazon.com/cloud9/)。
1. 输入您之前创建或识别的 IAM 用户的 AWS 账户 号码,然后选择**下一步**。
**注意**
如果您看不到用于输入 AWS 账号的选项,请选择 “**登录其他帐户**”。在下一页上输入 AWS 账户 号码,然后选择 **Next**(下一步)。
1. 输入您以前创建或确定的 IAM 用户的登录凭证,然后选择 **Sign In**(登录)。
1. 如果出现提示,请按照屏幕上的说明更改您用户的初始登录密码。将您的新登录密码保存在安全的位置。
AWS Cloud9 控制台随即显示出来,您可以开始使用 AWS Cloud9了。
## 后续步骤
****
| **Task** | **请参阅本主题** |
| --- | --- |
| 限制您的其他人 AWS Cloud9 使用 AWS 账户,以控制成本。 | [其他设置选项](setup-teams.md) |
| 创建 AWS Cloud9 开发环境,然后使用 AWS Cloud9 IDE 在新环境中处理代码。 | [创建环境](create-environment.md) |
| 学习如何使用 AWS Cloud9 IDE。 | [入门:基本教程](tutorials-basic.md) 和 [使用 IDE](ide.md) |
| 利用文本聊天支持实时邀请其他用户与您一起使用新环境。 | [使用共享环境](share-environment.md) |