AWS Cloud9 不再提供給新客戶。的現有客戶 AWS Cloud9 可以繼續正常使用服務。進一步了解
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的身分和存取管理 AWS Cloud9
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員會控制誰可以驗證 (登入) 和授權 (具有許可) 使用 AWS Cloud9 資源。IAM 是 AWS 服務 您可以免費使用的 。
主題
物件
使用 AWS Identity and Access Management (IAM) 的方式會有所不同,具體取決於您在 中執行的工作 AWS Cloud9。
服務使用者 – 如果您使用 AWS Cloud9 服務來執行您的工作,則您的管理員會為您提供所需的憑證和許可。當您使用更多 AWS Cloud9 功能來執行工作時,您可能需要額外的許可。了解存取的管理方式可協助您向管理員請求正確的許可。若您無法存取 AWS Cloud9中的某項功能,請參閱 對 AWS Cloud9 身分和存取權進行故障診斷。
服務管理員 – 如果您負責公司 AWS Cloud9 的資源,您可能擁有 的完整存取權 AWS Cloud9。您的任務是判斷您的服務使用者應該存取哪些 AWS Cloud9 功能和資源。然後,您必須向IAM管理員提交請求,以變更服務使用者的許可。請檢閱此頁面上的資訊,以了解 的基本概念IAM。若要進一步了解貴公司如何IAM搭配 使用 AWS Cloud9,請參閱 AWS Cloud9 如何使用 IAM。
IAM 管理員 – 如果您是IAM管理員,您可能想要了解如何撰寫政策以管理 存取權的詳細資訊 AWS Cloud9。若要檢視您可以在 中使用的以 AWS Cloud9 身分為基礎的政策範例IAM,請參閱 AWS Cloud9的身分型政策範例。
使用身分驗證
驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者身分、IAM使用者身分或擔任IAM角色來驗證 (登入 AWS)。
您可以使用透過身分來源提供的憑證,以聯合身分 AWS 身分登入 。 AWS IAM Identity Center (IAM Identity Center) 使用者、您公司的單一登入身分驗證,以及您的 Google 或 Facebook 憑證,都是聯合身分的範例。當您以聯合身分登入時,您的管理員先前會使用 IAM角色設定身分聯合。當您 AWS 使用聯合存取 時,您間接擔任 角色。
您可以登入 AWS Management Console 或 AWS 存取入口網站,視您是的使用者類型而定。如需登入 的詳細資訊 AWS,請參閱 使用者指南 中的如何登入 AWS 帳戶您的 。 AWS 登入
如果您以 AWS 程式設計方式存取 , AWS 會提供軟體開發套件 (SDK) 和命令列介面 (CLI),以使用您的 憑證以密碼編譯方式簽署您的請求。如果您不使用 AWS 工具,則必須自行簽署請求。如需使用建議方法自行簽署請求的詳細資訊,請參閱 IAM 使用者指南 中的AWS 簽章第 4 版以取得API請求。
無論您使用何種身分驗證方法,您可能都需要提供額外的安全性資訊。例如, AWS 建議您使用多重要素身分驗證 (MFA) 來提高帳戶的安全性。若要進一步了解,請參閱 AWS IAM Identity Center 使用者指南 中的多重要素驗證和 IAM 使用者指南 AWS 中的多重要素驗證IAM。
AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個登入身分開始,該身分可完全存取 帳戶中的所有 AWS 服務 和資源。此身分稱為 AWS 帳戶 根使用者,透過您用來建立帳戶的電子郵件地址和密碼登入來存取。強烈建議您不要以根使用者處理日常任務。保護您的根使用者憑證,並將其用來執行只能由根使用者執行的任務。如需需要您以根使用者身分登入的任務完整清單,請參閱 IAM 使用者指南 中的需要根使用者憑證的任務。
聯合身分
作為最佳實務, 會要求人類使用者,包括需要管理員存取權的使用者,使用 AWS 服務 臨時憑證來與身分提供者使用聯合來存取 。
聯合身分是來自您的企業使用者目錄、Web 身分提供者、 AWS Directory Service、身分中心目錄,或使用透過身分來源提供的 AWS 服務 憑證存取的任何使用者。當聯合身分存取 時 AWS 帳戶,它們會擔任 角色,而角色會提供臨時憑證。
對於集中式存取權管理,我們建議您使用 AWS IAM Identity Center。您可以在 IAM Identity Center 中建立使用者和群組,或者您可以連線並同步到您身分來源中的一組使用者 AWS 帳戶 和群組,以便在所有 和應用程式中使用。如需 IAM Identity Center 的相關資訊,請參閱 AWS IAM Identity Center 使用者指南 中的什麼是 IAM Identity Center?。
IAM 使用者和群組
IAM 使用者是 中具有單一個人或應用程式特定許可 AWS 帳戶 的身分。如果可能,我們建議您依賴臨時憑證,而不是建立具有密碼和存取金鑰等長期憑證IAM的使用者。不過,如果您有特定的使用案例需要IAM使用者的長期憑證,建議您輪換存取金鑰。如需詳細資訊,請參閱 IAM 使用者指南 中的針對需要長期憑證的使用案例定期輪換存取金鑰。
IAM 群組是指定IAM使用者集合的身分。您無法以群組身分簽署。您可以使用群組來一次為多名使用者指定許可。群組可讓管理大量使用者許可的程序變得更為容易。例如,您可以擁有名為 的群組IAMAdmins,並授予該群組管理 IAM 資源的許可。
使用者與角色不同。使用者只會與單一人員或應用程式建立關聯,但角色的目的是在由任何需要它的人員取得。使用者擁有永久的長期憑證,但角色僅提供暫時憑證。若要進一步了解,請參閱 IAM 使用者指南 中的IAM使用者使用案例。
IAM 角色
IAM 角色是 中具有特定許可 AWS 帳戶 的身分。它類似於IAM使用者,但與特定人員無關。若要暫時在 中擔任IAM角色 AWS Management Console,您可以從使用者切換至IAM角色 (主控台)。您可以呼叫 AWS CLI 或 AWS API 操作,或使用自訂 來擔任角色URL。如需使用角色方法的詳細資訊,請參閱 IAM 使用者指南 中的擔任角色的方法。
IAM 具有臨時憑證的角色在下列情況下很有用:
-
聯合身分使用者存取 — 如需向聯合身分指派許可,請建立角色,並為角色定義許可。當聯合身分進行身分驗證時,該身分會與角色建立關聯,並獲授予由角色定義的許可。如需聯合角色的相關資訊,請參閱 IAM 使用者指南 中的為第三方身分提供者建立角色。如果您使用 IAM Identity Center,您可以設定許可集。若要控制身分在身分驗證後可以存取的內容,IAMIdentity Center 會將許可集與 中的角色相關聯IAM。如需有關許可集的資訊,請參閱 AWS IAM Identity Center 使用者指南中的許可集。
-
臨時IAM使用者許可 – IAM使用者或角色可以擔任IAM角色,暫時接受特定任務的不同許可。
-
跨帳戶存取 – 您可以使用 IAM角色,允許不同帳戶中的某人 (受信任的主體) 存取您帳戶中的資源。角色是授予跨帳戶存取權的主要方式。不過,使用某些 AWS 服務,您可以將政策直接連接至資源 (而不是使用角色作為代理)。若要了解跨帳戶存取的角色和資源型政策之間的差異,請參閱 IAM 使用者指南 中的跨帳戶資源存取IAM。
-
跨服務存取 – 有些 AWS 服務 使用其他 中的功能 AWS 服務。例如,當您在 服務中撥打電話時,該服務通常會在 Amazon 中執行應用程式EC2或在 Amazon S3 中儲存物件。服務可能會使用呼叫主體的許可、使用服務角色或使用服務連結角色來執行此作業。
-
轉送存取工作階段 (FAS) – 當您使用IAM使用者或角色在 中執行動作時 AWS,您會被視為主體。使用某些服務時,您可能會執行某個動作,進而在不同服務中啟動另一個動作。FAS 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。FAS 只有在服務收到需要與其他 AWS 服務 或 資源互動才能完成的請求時,才會發出請求。在此情況下,您必須具有執行這兩個動作的許可。如需提出FAS請求的政策詳細資訊,請參閱轉送存取工作階段 。
-
服務角色 – 服務角色是服務代表您執行動作時擔任IAM的角色。IAM 管理員可以從 內部建立、修改和刪除服務角色IAM。如需詳細資訊,請參閱 使用者指南 中的建立角色以將許可委派給 AWS 服務 。 IAM
-
服務連結角色 – 服務連結角色是連結至 的服務角色類型 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的 中 AWS 帳戶 ,並由 服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
-
-
在 Amazon 上執行的應用程式 EC2 – 您可以使用 IAM角色來管理在EC2執行個體上執行的應用程式的臨時憑證,以及提出 AWS CLI 或 AWS API請求。最好將存取金鑰存放在EC2執行個體中。若要將 AWS 角色指派給EC2執行個體並將其提供給其所有應用程式,您可以建立連接至執行個體的執行個體設定檔。執行個體設定檔包含 角色,並啟用執行個體上執行的程式EC2,以取得臨時憑證。如需詳細資訊,請參閱 IAM 使用者指南 中的使用 IAM角色將許可授予在 Amazon EC2執行個體上執行的應用程式。
使用政策管理存取權
您可以透過建立政策並將其連接至 AWS 身分或資源 AWS 來控制 中的存取。政策是 AWS 其中的物件,當與身分或資源建立關聯時, 會定義其許可。當主體 (使用者、根使用者或角色工作階段) 發出請求時, 會 AWS 評估這些政策。政策中的許可決定是否允許或拒絕請求。大多數政策都以JSON文件 AWS 形式儲存在 中。如需JSON政策文件結構和內容的詳細資訊,請參閱 IAM 使用者指南 中的JSON政策概觀。
管理員可以使用 AWS JSON政策來指定誰可以存取什麼。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
預設情況下,使用者和角色沒有許可。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立IAM政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。
IAM 無論您用來執行操作的方法為何,政策都會定義動作的許可。例如,假設您有一個允許 iam:GetRole 動作的政策。具有該政策的使用者可以從 AWS Management Console、 AWS CLI或 AWS 取得角色資訊API。
身分型政策
身分型政策是您可以附加到身分的JSON許可政策文件,例如IAM使用者、使用者群組或角色。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分型政策,請參閱 IAM 使用者指南 中的使用客戶受管政策定義自訂IAM許可。
身分型政策可進一步分類成內嵌政策或受管政策。內嵌政策會直接內嵌到單一使用者、群組或角色。受管政策是獨立的政策,您可以連接到 中的多個使用者、群組和角色 AWS 帳戶。受管政策包括 AWS 受管政策和客戶受管政策。若要了解如何在受管政策或內嵌政策之間進行選擇,請參閱 IAM 使用者指南 中的在受管政策與內嵌政策之間進行選擇。
資源型政策
資源型政策是您附加至資源JSON的政策文件。資源型政策的範例包括IAM角色信任政策和 Amazon S3 儲存貯體政策 。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中指定主體。主體可以包括帳戶、使用者、角色、聯合使用者或 AWS 服務。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策IAM中使用來自 的 AWS 受管政策。
存取控制清單 (ACLs)
存取控制清單 (ACLs) 控制哪些主體 (帳戶成員、使用者或角色) 具有存取 資源的許可。ACLs 類似於資源型政策,雖然它們不使用JSON政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC是支援 的服務範例ACLs。若要進一步了解 ACLs,請參閱 Amazon Simple Storage Service 開發人員指南 中的存取控制清單 (ACL) 概觀。
其他政策類型
AWS 支援其他較不常見的政策類型。這些政策類型可設定較常見政策類型授予您的最大許可。
-
許可界限 – 許可界限是一項進階功能,您可以在其中設定身分型政策可授予IAM實體 (IAM使用者或角色) 的最大許可。您可以為實體設定許可界限。所產生的許可會是實體的身分型政策和其許可界限的交集。會在
Principal欄位中指定使用者或角色的資源型政策則不會受到許可界限限制。所有這類政策中的明確拒絕都會覆寫該允許。如需許可界限的詳細資訊,請參閱 IAM 使用者指南 中的IAM實體許可界限。 -
服務控制政策 (SCPs) – SCPs是在 中指定組織或組織單位 (OU) 最大許可JSON的政策 AWS Organizations。 AWS Organizations 是一種用於分組和集中管理您企業擁有 AWS 帳戶 的多個的服務。如果您啟用組織中的所有功能,則可以將服務控制政策 (SCPs) 套用至任何或所有帳戶。SCP 限制成員帳戶中實體的許可,包括每個 AWS 帳戶根使用者。如需 Organizations 和 的詳細資訊SCPs,請參閱 AWS Organizations 使用者指南 中的服務控制政策。
-
工作階段政策 – 工作階段政策是一種進階政策,您可以在透過編寫程式的方式建立角色或聯合使用者的暫時工作階段時,作為參數傳遞。所產生工作階段的許可會是使用者或角色的身分型政策和工作階段政策的交集。許可也可以來自資源型政策。所有這類政策中的明確拒絕都會覆寫該允許。如需詳細資訊,請參閱 IAM 使用者指南 中的工作階段政策。
多種政策類型
將多種政策類型套用到請求時,其結果形成的許可會更為複雜、更加難以理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱 IAM 使用者指南 中的政策評估邏輯。
AWS Cloud9 如何使用 IAM
在您使用 IAM 管理對 的存取之前 AWS Cloud9,請先了解哪些IAM功能可與 搭配使用 AWS Cloud9。
| IAM 功能 | AWS Cloud9 支援 |
|---|---|
|
是 |
|
|
否 |
|
|
是 |
|
|
是 |
|
|
是 |
|
|
否 |
|
|
是 |
|
|
是 |
|
|
是 |
|
|
是 |
|
|
是 |
若要取得 AWS Cloud9 和其他 AWS 服務如何與大多數 IAM 功能搭配使用的高階檢視,請參閱 IAM 使用者指南 中的 AWS 服務IAM。
的身分型政策 AWS Cloud9
支援身分型政策:是
身分型政策是您可以附加到身分的JSON許可政策文件,例如IAM使用者、使用者群組或角色。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分型政策,請參閱 IAM 使用者指南 中的使用客戶受管政策定義自訂IAM許可。
透過身分IAM型政策,您可以指定允許或拒絕的動作和資源,以及允許或拒絕動作的條件。您無法在身分型政策中指定主體,因為這會套用至連接的使用者或角色。若要了解您可以在JSON政策中使用的所有元素,請參閱 IAM 使用者指南 中的IAMJSON政策元素參考。
的身分型政策範例 AWS Cloud9
若要檢視 AWS Cloud9 身分型政策的範例,請參閱 AWS Cloud9的身分型政策範例。
中的資源型政策 AWS Cloud9
支援資源型政策:否
資源型政策是您附加至資源JSON的政策文件。資源型政策的範例包括IAM角色信任政策和 Amazon S3 儲存貯體政策 。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中指定主體。主體可以包括帳戶、使用者、角色、聯合使用者或 AWS 服務。
若要啟用跨帳戶存取,您可以將另一個帳戶中的整個帳戶或IAM實體指定為資源型政策中的主體。新增跨帳戶主體至資源型政策,只是建立信任關係的一半。當主體和資源位於不同的 時 AWS 帳戶,受信任帳戶中的IAM管理員也必須授予主體實體 (使用者或角色) 存取資源的許可。其透過將身分型政策連接到實體來授與許可。不過,如果資源型政策會為相同帳戶中的主體授予存取,這時就不需要額外的身分型政策。如需詳細資訊,請參閱 IAM 使用者指南 中的跨帳戶資源存取權IAM。
AWS Cloud9 不支援資源型政策,但您仍然可以透過 AWS Cloud9 API和 控制 AWS Cloud9 環境成員 AWS Cloud9 的環境資源許可 AWS Cloud9 IDE。
的政策動作 AWS Cloud9
支援政策動作:是
管理員可以使用 AWS JSON政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
JSON 政策的 Action元素說明您可以用來允許或拒絕政策中存取的動作。政策動作通常具有與相關聯 AWS API操作相同的名稱。有一些例外狀況,例如沒有相符API操作的僅限許可動作。也有一些作業需要政策中的多個動作。這些額外的動作稱為相依動作。
政策會使用動作來授予執行相關聯動作的許可。
若要查看 AWS Cloud9 動作清單,請參閱服務授權參考 中由 定義的動作 AWS Cloud9。
中的政策動作在動作之前 AWS Cloud9 使用下列字首:
account
若要在單一陳述式中指定多個動作,請用逗號分隔。
"Action": [ "account:action1", "account:action2" ]
若要檢視 AWS Cloud9 身分型政策的範例,請參閱 AWS Cloud9的身分型政策範例。
的政策資源 AWS Cloud9
支援政策資源:是
管理員可以使用 AWS JSON政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
Resource JSON 政策元素會指定動作套用的物件。陳述式必須包含 Resource 或 NotResource 元素。最佳實務是使用其 Amazon Resource Name (ARN) 指定資源。您可以針對支援特定資源類型的動作 (稱為資源層級許可) 來這麼做。
對於不支援資源層級許可的動作 (例如列出操作),請使用萬用字元 (*) 來表示陳述式適用於所有資源。
"Resource": "*"
若要查看 AWS Cloud9 資源類型及其 的清單ARNs,請參閱服務授權參考 中的 定義的資源 AWS Cloud9。若要了解您可以使用哪些動作指定每個資源ARN的 ,請參閱 定義的動作 AWS Cloud9。
若要檢視 AWS Cloud9 身分型政策的範例,請參閱 AWS Cloud9的身分型政策範例。
的政策條件索引鍵 AWS Cloud9
支援服務特定政策條件金鑰:是
管理員可以使用 AWS JSON政策來指定誰可以存取內容。也就是說,哪個主體在什麼條件下可以對什麼資源執行哪些動作。
Condition 元素 (或 Condition 區塊) 可讓您指定使陳述式生效的條件。Condition 元素是選用項目。您可以建立使用條件運算子的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。
若您在陳述式中指定多個 Condition 元素,或是在單一 Condition 元素中指定多個索引鍵, AWS 會使用邏輯 AND 操作評估他們。如果您為單一條件索引鍵指定多個值, 會使用邏輯OR操作 AWS 評估條件。必須符合所有條件,才會授與陳述式的許可。
您也可以在指定條件時使用預留位置變數。例如,只有在IAM使用者使用其IAM使用者名稱標記時,您才能授予使用者存取資源的許可。如需詳細資訊,請參閱 IAM 使用者指南 中的IAM政策元素:變數和標籤。
AWS 支援全域條件索引鍵和服務特定條件索引鍵。若要查看所有 AWS 全域條件索引鍵,請參閱 IAM 使用者指南 中的AWS 全域條件內容索引鍵。
若要查看 AWS Cloud9 條件金鑰清單,請參閱服務授權參考 中的 的條件金鑰 AWS Cloud9。若要了解您可以使用條件金鑰的動作和資源,請參閱 定義的動作 AWS Cloud9。
若要檢視 AWS Cloud9 身分型政策的範例,請參閱 AWS Cloud9的身分型政策範例。
ACLs 在 中 AWS Cloud9
支援ACLs:否
存取控制清單 (ACLs) 控制哪些主體 (帳戶成員、使用者或角色) 具有存取 資源的許可。ACLs 類似於資源型政策,雖然它們不使用JSON政策文件格式。
ABAC 使用 AWS Cloud9
支援 ABAC(政策中的標籤):是
屬性型存取控制 (ABAC) 是根據屬性定義許可的授權策略。在 中 AWS,這些屬性稱為標籤 。您可以將標籤連接至IAM實體 (使用者或角色) 和許多 AWS 資源。標記實體和資源是 的第一步ABAC。然後,您可以設計ABAC政策,以便在主體的標籤與其嘗試存取的資源上的標籤相符時允許操作。
ABAC 有助於快速成長的環境,並有助於處理政策管理變得繁瑣的情況。
如需根據標籤控制存取,請使用 aws:ResourceTag/、key-nameaws:RequestTag/ 或 key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 Yes。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 Partial。
如需 的詳細資訊ABAC,請參閱 IAM 使用者指南 中的使用ABAC授權定義許可。若要檢視包含設定 之步驟的教學課程ABAC,請參閱 IAM 使用者指南 中的使用屬性型存取控制 (ABAC)。
搭配 使用臨時憑證 AWS Cloud9
支援臨時憑證:是
當您使用臨時憑證登入時,有些 AWS 服務 無法使用。如需詳細資訊,包括 AWS 服務 使用哪些臨時憑證,請參閱 使用者指南 中的 AWS 服務 使用 IAM 。 IAM
如果您 AWS Management Console 使用使用者名稱和密碼以外的任何方法登入 ,則表示您正在使用臨時憑證。例如,當您 AWS 使用公司的單一登入 (SSO) 連結存取 時,該程序會自動建立臨時憑證。當您以使用者身分登入主控台,然後切換角色時,也會自動建立臨時憑證。如需切換角色的詳細資訊,請參閱 IAM 使用者指南 中的從使用者切換至IAM角色 (主控台)。
您可以使用 AWS CLI 或 手動建立臨時憑證 AWS API。然後,您可以使用這些臨時登入資料來存取 AWS. AWS recommends,讓您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱 中的臨時安全憑證IAM。
轉送 的存取工作階段 AWS Cloud9
支援轉送存取工作階段 (FAS):是
當您使用IAM使用者或角色在 中執行動作時 AWS,您會被視為委託人。使用某些服務時,您可能會執行某個動作,進而在不同服務中啟動另一個動作。FAS 使用呼叫 的委託人許可 AWS 服務,結合 AWS 服務 請求向下游服務提出請求。FAS 只有在服務收到需要與其他 AWS 服務 或 資源互動才能完成的請求時,才會發出請求。在此情況下,您必須具有執行這兩個動作的許可。如需提出FAS請求的政策詳細資訊,請參閱轉送存取工作階段 。
AWS Cloud9的服務角色
支援服務角色:是
服務角色是服務代表您執行動作時擔任IAM的角色。IAM 管理員可以從 內部建立、修改和刪除服務角色IAM。如需詳細資訊,請參閱 使用者指南 中的建立角色以將許可委派給 AWS 服務 。 IAM
警告
變更服務角色的許可可能會中斷 AWS Cloud9 功能。只有在 AWS Cloud9 提供指引時,才能編輯服務角色。
的服務連結角色 AWS Cloud9
支援服務連結角色:是
服務連結角色是連結至 的服務角色類型 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的 中 AWS 帳戶 ,並由 服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱AWS 使用 的服務IAM。在表格中尋找服務,其中包含服務連結角色欄中的 Yes。選擇 Yes (是) 連結,以檢視該服務的服務連結角色文件。
AWS Cloud9的身分型政策範例
根據預設,使用者和角色不具備建立或修改 AWS Cloud9 資源的權限。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 來執行任務 AWS API。若要授予使用者對所需資源執行動作的許可,IAM管理員可以建立IAM政策。然後,管理員可以將IAM政策新增至角色,使用者可以擔任角色。
若要了解如何使用這些範例政策文件來建立身分IAM型JSON政策,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台)。
如需 定義的動作和資源類型詳細資訊 AWS Cloud9,包括ARNs每種資源類型的 格式,請參閱服務授權參考 中的 的動作、資源和條件索引鍵 AWS Cloud9。
政策最佳實務
身分型政策會決定是否有人可以在您的帳戶中建立、存取或刪除 AWS Cloud9 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管政策並邁向最低權限許可 – 若要開始將許可授予您的使用者和工作負載,請使用 AWS 受管政策,將許可授予許多常見使用案例。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策或 AWS 受管政策。
-
套用最低權限許可 – 當您使用IAM政策設定許可時, 只會授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需使用 IAM 套用許可的詳細資訊,請參閱 IAM 使用者指南 中的政策和許可IAM。
-
使用IAM政策中的條件來進一步限制存取:您可以將條件新增至政策,以限制對動作和資源的存取。例如,您可以撰寫政策條件來指定所有請求都必須使用 傳送SSL。如果透過特定 使用服務動作,例如 AWS 服務,您也可以使用 條件來授予其存取權 AWS CloudFormation。如需詳細資訊,請參閱 IAM 使用者指南 中的IAMJSON政策元素:條件。
-
使用 IAM Access Analyzer 驗證您的IAM政策以確保安全且功能許可 – IAM Access Analyzer 會驗證新的和現有的政策,讓政策遵循IAM政策語言 (JSON) 和IAM最佳實務。IAM Access Analyzer 提供超過 100 個政策檢查和可操作的建議,協助您撰寫安全且實用的政策。如需詳細資訊,請參閱 IAM 使用者指南 中的使用 IAM Access Analyzer 驗證政策。
-
需要多重要素身分驗證 (MFA) – 如果您有需要IAM使用者或 根使用者的案例 AWS 帳戶,請開啟 MFA 以獲得額外的安全性。若要在呼叫API操作MFA時要求 ,請將MFA條件新增至您的政策。如需詳細資訊,請參閱 IAM 使用者指南 中的使用 安全API存取MFA。
如需 中最佳實務的詳細資訊IAM,請參閱 IAM 使用者指南 中的安全最佳實務IAM。
使用 AWS Cloud9 主控台
若要存取 AWS Cloud9 主控台,您必須具有一組最低許可。這些許可必須允許您列出和檢視 中 AWS Cloud9 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅對 AWS CLI 或 進行呼叫的使用者,您不需要允許最低主控台許可 AWS API。相反地,僅允許存取與其API嘗試執行的操作相符的動作。
若要確保使用者和角色仍然可以使用 AWS Cloud9 主控台,也請將 AWS Cloud9 ConsoleAccessReadOnly
允許使用者檢視他們自己的許可
此範例示範如何建立政策,允許使用者檢視連接至其IAM使用者身分的內嵌和受管政策。此政策包含在主控台上完成此動作或使用 AWS CLI 或 以程式設計方式完成此動作的許可 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
對 AWS Cloud9 身分和存取權進行故障診斷
使用下列資訊來協助您診斷和修正使用 AWS Cloud9 和 時可能遇到的常見問題IAM。
我無權在 中執行動作 AWS Cloud9
如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。
當mateojacksonIAM使用者嘗試使用主控台檢視虛構my-example-widgetawes:許可時,會發生下列錯誤範例。GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidgeton resource:my-example-widget
在此情況下,必須更新 mateojackson 使用者的政策,允許使用 awes: 動作存取 GetWidgetmy-example-widget
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
我無權執行 iam:PassRole
如果您收到錯誤,告知您未獲授權執行 iam:PassRole 動作,您的政策必須更新,允許您將角色傳遞給 AWS Cloud9。
有些 AWS 服務 允許您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 marymajor IAM的使用者嘗試使用主控台在 中執行動作時,會發生下列錯誤範例 AWS Cloud9。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞至該服務的許可。
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
在這種情況下,Mary 的政策必須更新,允許她執行 iam:PassRole 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
我想要允許 以外的人員 AWS 帳戶 存取我的 AWS Cloud9 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。對於支援資源型政策或存取控制清單 (ACLs) 的服務,您可以使用這些政策來授予人員對資源的存取權。
如需進一步了解,請參閱以下內容:
-
若要了解 是否 AWS Cloud9 支援這些功能,請參閱 AWS Cloud9 如何使用 IAM。
-
若要了解如何 AWS 帳戶 在您擁有的 資源之間提供存取權,請參閱 IAM 使用者指南 中的在您擁有 AWS 帳戶 的另一個資源中為IAM使用者提供存取權。
-
若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱 使用者指南 中的提供存取權給第三方 AWS 帳戶 擁有。 IAM
-
若要了解如何透過身分聯合提供存取權,請參閱 IAM 使用者指南 中的為外部驗證的使用者提供存取權 (身分聯合)。
-
若要了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱 IAM 使用者指南 中的跨帳戶資源存取IAM。
如何使用 AWS Cloud9 IAM資源和操作
AWS Identity and Access Management 用於管理允許您同時使用 AWS Cloud9 開發環境和其他 AWS 服務 和資源的許可。
AWS Cloud9 資源和操作
在 中 AWS Cloud9,主要資源是 AWS Cloud9 開發環境。在政策中,您可以使用 Amazon Resource Name (ARN) 來識別政策適用的資源。下表列出環境 ARNs。如需詳細資訊,請參閱 中的 Amazon Resource Names (ARNs) AWS 和服務命名空間Amazon Web Services 一般參考。
| 資源類型 | ARN 格式 |
|---|---|
|
環境 |
|
|
指定 AWS 區域中的指定帳戶擁有的每個環境 |
|
|
指定區域中的指定帳戶擁有的每個環境 |
|
|
無論帳戶和區域為何,每個 AWS Cloud9 資源 |
|
例如,您可以使用 Amazon Resource Name (ARN) 在陳述式中指出特定環境,如下所示。
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
若要指定所有資源,請在 * 元素中使用萬用字元 (Resource)。
"Resource": "*"
若要在單一陳述式中指定多個資源,請以逗號分隔其 Amazon Resource Names (ARNs)。
"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]
AWS Cloud9 提供一組操作來使用 AWS Cloud9 資源。如需清單,請參閱 AWS Cloud9 許可參考。
了解資源所有權
AWS 帳戶 帳戶擁有在帳戶中建立的資源,無論誰建立資源。
請考慮下列使用案例:
-
假設您使用 的根帳戶憑證 AWS 帳戶 來建立 AWS Cloud9 開發環境。雖然可能,但不建議這樣做。在這種情況下,您的 AWS 帳戶 是環境的擁有者。
-
假設您在 中建立IAM使用者, AWS 帳戶 並授予許可,以建立環境給該使用者。然後,使用者可以建立一個環境。不過,使用者所屬 AWS 帳戶的 仍擁有環境。
-
假設您在 中建立 AWS 帳戶 具有建立環境許可IAM的角色。然後,可以擔任該角色的任何人都能建立環境。您的 AWS 帳戶(即該角色所屬的帳戶) 擁有環境。
注意
如果您刪除作為一或多個 AWS Cloud9 環境ARN擁有者的使用者帳戶,這些環境將沒有擁有者。此案例的解決方法是使用 AWS Cloud9 SDK,使用 CreateEnvironmentMembership動作和EnvironmentMember資料類型來新增具有讀取和寫入權限的其他IAM使用者。新增此IAM使用者後,您可以將環境檔案複製到新 AWS Cloud9 環境,並讓此擁有者成為ARN擁有者。如需此動作的詳細資訊,請參閱 CreateEnvironmentMembership,如需此資料類型的詳細資訊,請參閱 參考指南EnvironmentMember中的 。 AWS Cloud9 API
管理資源存取
許可政策說明誰可以存取哪些資源。
注意
本節討論在 IAM中使用 AWS Cloud9。它不會提供有關 IAM服務的詳細資訊。如需完整IAM文件,請參閱 使用者指南 中的什麼是 IAM?。 IAM 如需有關IAM政策語法和描述的資訊,請參閱 IAM 使用者指南 中的IAMJSON政策參考。
連接到IAM身分的政策稱為身分型政策 (或IAM政策 )。連接至資源的政策稱為資源型政策 。 AWS Cloud9 支援身分型和資源型政策。
下列每個API動作都只需要將IAM政策連接至要呼叫這些API動作的IAM身分:
-
CreateEnvironmentEC2 -
DescribeEnvironments
下列API動作需要資源型政策。IAM 政策不是必要項目,但如果附加至要呼叫這些API動作的IAM身分,則 AWS Cloud9 使用IAM政策。資源型政策必須套用至所需的 AWS Cloud9 資源:
-
CreateEnvironmentMembership -
DeleteEnvironment -
DeleteEnvironmentMembership -
DescribeEnvironmentMemberships -
DescribeEnvironmentStatus -
UpdateEnvironment -
UpdateEnvironmentMembership
如需每個API動作執行動作的詳細資訊,請參閱AWS Cloud9 API參考 。
您無法將資源型政策直接連接至 AWS Cloud9 資源。相反地,當您新增、修改、更新或刪除環境成員時, 會將適當的資源型政策 AWS Cloud9 連接至 AWS Cloud9 資源。
若要授予使用者對 AWS Cloud9 資源執行動作的許可,您可以將許可政策連接至使用者所屬的IAM群組。建議您 AWS Cloud9 盡可能為 附加受 AWS 管 (預先定義) 政策。受 AWS 管政策包含常見使用案例和使用者類型的預先定義存取許可集,例如環境、環境使用者和僅具有唯讀環境存取權的使用者的完整管理。如需 受 AWS 管政策的清單 AWS Cloud9,請參閱 AWS 的 受管政策 AWS Cloud9。
如需更詳細的使用案例和獨特使用者類型,您可以建立並連接自己的客戶受管政策。請參閱 的其他設定選項 AWS Cloud9 和 為 建立客戶受管政策 AWS Cloud9。
若要將IAM政策 (AWS 受管或客戶受管) 連接至IAM身分,請參閱 IAM 使用者指南 中的連接IAM政策 (主控台)。
API 操作的工作階段許可
使用 AWS CLI 或 AWS API 以程式設計方式為角色或聯合使用者建立臨時工作階段時,您可以傳遞工作階段政策作為 參數,以擴展角色工作階段的範圍。也就是說,工作階段的有效許可會是角色的身分類型政策和工作階段政策的交集。
在工作階段期間發出存取資源的請求時,如果工作階段政策中沒有適用的 Deny 陳述式,也沒有適用的 Allow 陳述式,則政策評估的結果會是隱含拒絕。(如需詳細資訊,請參閱 IAM 使用者指南 中的判斷 帳戶內是否允許或拒絕請求。)
但是,對於 AWS Cloud9 API需要資源型政策的操作 (請參閱上述),如果在資源政策Principal中指定為 ,則會將許可授予正在呼叫的IAM實體。此明確許可優先於工作階段政策的隱含拒絕,從而允許工作階段成功呼叫 AWS Cloud9 API操作。
AWS 的 受管政策 AWS Cloud9
AWS 受管政策是由 AWS AWS .managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 最有可能在 AWS 服務 啟動新的 或現有 服務可用的新API操作時更新受 AWS 管政策。
如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策。
AWS 受管政策: AWSCloud9Administrator
您可以將AWSCloud9Administrator政策連接至身分IAM。
此政策授予 administrative 提供管理員存取 的許可 AWS Cloud9。
許可詳細資訊
此政策包含以下許可。
-
AWS Cloud9 – 其 中的所有 AWS Cloud9 動作 AWS 帳戶。
-
Amazon EC2 – 取得其 中多個 Amazon VPC和子網路資源的相關資訊 AWS 帳戶。
-
IAM – 取得使用者在其 IAM中的相關資訊 AWS 帳戶,並視需要在他們的 中建立 AWS Cloud9 服務連結角色 AWS 帳戶 。
-
Systems Manager – 允許使用者呼叫 StartSession ,以啟動 Session Manager 工作階段的執行個體連線。開啟透過 Systems Manager 與其EC2執行個體通訊之環境的使用者需要此許可。如需詳細資訊,請參閱 使用 存取無輸入EC2執行個體 AWS Systems Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:*", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS 受管政策: AWSCloud9User
您可以將AWSCloud9User政策連接至身分IAM。
此政策授予 user 建立 AWS Cloud9 開發環境和管理擁有環境的許可。
許可詳細資訊
此政策包含以下許可。
-
AWS Cloud9 – 建立並取得其環境的相關資訊,以及取得和變更其環境的使用者設定。
-
Amazon EC2 – 取得其 中多個 Amazon VPC和子網路資源的相關資訊 AWS 帳戶。
-
IAM – 取得使用者在其 IAM中的相關資訊 AWS 帳戶,並視需要在他們的 中建立 AWS Cloud9 服務連結角色 AWS 帳戶 。
-
Systems Manager – 允許使用者呼叫 StartSession ,以啟動 Session Manager 工作階段的執行個體連線。開啟透過 Systems Manager 與其EC2執行個體通訊之環境的使用者需要此許可。如需詳細資訊,請參閱 使用 存取無輸入EC2執行個體 AWS Systems Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS 受管政策: AWSCloud9EnvironmentMember
您可以將AWSCloud9EnvironmentMember政策連接至身分IAM。
此政策授予 membership 許可,提供加入 AWS Cloud9 共用環境的功能。
許可詳細資訊
此政策包含以下許可:
-
AWS Cloud9 – 取得其環境的相關資訊,並取得和變更其環境的使用者設定。
-
IAM – 取得使用者在其 IAM中的相關資訊 AWS 帳戶,並視需要在他們的 中建立 AWS Cloud9 服務連結角色 AWS 帳戶 。
-
Systems Manager – 允許使用者呼叫 StartSession ,以啟動 Session Manager 工作階段的執行個體連線。開啟透過 Systems Manager 與其EC2執行個體通訊之環境的使用者需要此許可。如需詳細資訊,請參閱 使用 存取無輸入EC2執行個體 AWS Systems Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:GetUserSettings", "cloud9:UpdateUserSettings", "iam:GetUser", "iam:ListUsers" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }
AWS 受管政策: AWSCloud9ServiceRolePolicy
服務連結角色AWSServiceRoleForAWSCloud9使用此政策允許 AWS Cloud9 環境與 Amazon EC2 AWS CloudFormation 和資源互動。
許可詳細資訊
AWSCloud9ServiceRolePolicy 授予 AWSServiceRoleForAWSCloud9 必要的許可 AWS Cloud9 ,以允許 與建立EC2和執行開發環境所需的 AWS 服務 (Amazon 和 AWS CloudFormation) 互動。
AWS Cloud9 會定義其服務連結角色的許可,且只能 AWS Cloud9 擔任其角色。定義的許可包括信任政策和許可政策,該許可政策無法連接到任何其他IAM實體。
如需 AWS Cloud9 如何使用服務連結角色的詳細資訊,請參閱 使用 AWS Cloud9的服務連結角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringLike": { "aws:RequestTag/Name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:GetInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole" ], "Condition": { "StringLike": { "iam:PassedToService": "ec2.amazonaws.com" } } } ] }
AWS Cloud9 受 AWS 管政策的更新
檢視自此服務開始追蹤這些變更 AWS Cloud9 以來, 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS Cloud9 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
新動作已新增至 AWSCloud9User、 AWSCloud9Administrator和 AWSCloud9EnvironmentMember政策。 |
|
2023 年 10 月 12 日 |
|
API已新增至 AWSCloud9User和 AWSCloud9Administrator政策。 |
API已將兩個新的 新增至 AWSCloud9User和 AWSCloud9Administrator政策,這些 API是 |
2023 年 8 月 2 日 |
|
AWSCloud9ServiceRolePolicy 已更新為允許 AWS Cloud9 啟動和停止由 License Manager 授權組態管理的 Amazon EC2執行個體。 |
2022 年 1 月 12 日 | |
|
AWS Cloud9 已開始追蹤變更 |
AWS Cloud9 已開始追蹤其 AWS 受管政策的變更。 |
2021 年 3 月 15 日 |
為 建立客戶受管政策 AWS Cloud9
如果任何 AWS 受管政策都不符合您的存取控制需求,您可以建立和連接自己的客戶受管政策。
若要建立客戶受管政策,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台)。
指定政策元素:效果、委託人、動作和資源
對於每個 AWS Cloud9 資源,服務會定義一組API操作。若要授予這些API操作的許可, AWS Cloud9 請定義一組您可以在政策中指定的動作。
以下是基本的政策元素:
-
Effect- 您可以指定使用者請求動作時會有什麼效果 (允許或拒絕)。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕存取資源。如要確保即使在其他政策授予存取權時,使用者仍無法存取資源,您可以採取此動作。 -
Principal– 在身分型政策 (IAM 政策) 中,附加政策的使用者是隱含主體。對於以資源為基礎的政策,您可以指定希望獲得許可的使用者、帳戶、服務或其他實體。 -
Resource– 使用 Amazon Resource Name (ARN) 來識別政策適用的資源。 -
Action- 使用動作關鍵字來識別要允許或拒絕的資源操作。例如,cloud9:CreateEnvironmentEC2許可授予使用者執行CreateEnvironmentEC2操作的許可。
若要進一步了解IAM政策語法和描述,請參閱 IAM 使用者指南 中的IAMJSON政策參考。
如需顯示其套用的所有 AWS Cloud9 API動作和資源的資料表,請參閱 AWS Cloud9 許可參考。
客戶受管政策範例
在本節中,您可以找到授予 AWS Cloud9 動作許可的政策範例。您可以調整下列範例IAM政策,以允許或明確拒絕身分的 AWS Cloud9 存取IAM。
若要建立或連接客戶受管政策至IAM身分,請參閱 IAM 使用者指南 中的建立IAM政策 (主控台) 和連接IAM政策 (主控台)。
注意
下列範例使用美國東部 (俄亥俄) 區域 ()us-east-2、虛構 AWS 帳戶 ID (123456789012) 和虛構 AWS Cloud9 的開發環境 ID ()81e900317347585a0601e04c8d52eaEX。
主題
取得環境的相關資訊
下列附加至IAM實體的範例IAM政策陳述式允許該實體取得其帳戶中任何環境的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironments", "Resource": "*" } ] }
注意
受 AWS 管政策 AWSCloud9Administrator和 中已包含上述存取許可AWSCloud9User。
建立EC2環境
下列附加至IAM實體IAM的政策陳述式範例可讓該實體在其帳戶中建立 AWS Cloud9 EC2開發環境。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
注意
受 AWS 管政策 AWSCloud9Administrator和 中已包含上述存取許可AWSCloud9User。
使用特定 Amazon EC2執行個體類型建立EC2環境
下列附加至IAM實體IAM的政策陳述式範例可讓該實體在其帳戶中建立 AWS Cloud9 EC2開發環境。不過,EC2環境只能使用指定的 Amazon EC2執行個體類型類別。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t3.*" } } } ] }
注意
如果 AWS 受管政策AWSCloud9Administrator或 AWSCloud9User 已連接至IAM實體,則該 AWS 受管政策會覆寫上述IAM政策陳述式的行為。這是因為這些 AWS 受管政策更寬鬆。
在特定 Amazon VPC子網路中建立EC2環境
下列附加至IAM實體IAM的政策陳述式範例可讓該實體在其帳戶中建立 AWS Cloud9 EC2開發環境。不過,EC2環境只能使用指定的 Amazon VPC子網路。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:SubnetId": [ "subnet-12345678", "subnet-23456789" ] } } } ] }
注意
如果 AWS 受管政策AWSCloud9Administrator或 AWSCloud9User 已連接至IAM實體,則該 AWS 受管政策會覆寫上述IAM政策陳述式的行為。這是因為這些 AWS 受管政策更寬鬆。
建立具有特定EC2環境名稱的環境
下列附加至IAM實體的範例IAM政策陳述式允許該實體在其帳戶中建立 AWS Cloud9 EC2開發環境。不過,EC2環境只能使用指定的名稱。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } } ] }
注意
如果 AWS 受管政策AWSCloud9Administrator或 AWSCloud9User 已連接至IAM實體,則該 AWS 受管政策會覆寫上述IAM政策陳述式的行為。這是因為這些 AWS 受管政策更寬鬆。
僅建立SSH環境
下列附加至IAM實體IAM的政策陳述式範例可讓該實體在其帳戶中建立 AWS Cloud9 SSH開發環境。不過,實體無法建立 AWS Cloud9 EC2開發環境。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentSSH", "Resource": "*" }, { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
更新環境或防止更新環境
下列附加至IAM實體的範例IAM政策陳述式允許該實體變更帳戶中任何 AWS Cloud9 開發環境的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironment", "Resource": "*" } ] }
注意
受 AWS 管政策 中已包含上述存取許可AWSCloud9Administrator。
下列附加至IAM實體的範例IAM政策陳述式明確防止該實體使用指定的 Amazon Resource Name () 變更環境的相關資訊ARN。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
取得環境成員清單
下列附加至IAM實體的範例IAM政策陳述式允許該實體取得其帳戶中任何環境的成員清單。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironmentMemberships", "Resource": "*" } ] }
注意
受 AWS 管政策 中已包含上述存取許可AWSCloud9Administrator。此外,上述存取許可比 AWS 受管政策 中的等效存取許可更寬鬆AWSCloud9User。
只與特定使用者共享環境
下列附加至IAM實體的範例IAM政策陳述式允許該實體與其帳戶中的任何環境僅與指定的使用者共用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentMembership" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser" } } } ] }
注意
如果 AWS 受管政策AWSCloud9Administrator或 AWSCloud9User 已連接至IAM實體,則這些 AWS 受管政策會覆寫上述IAM政策陳述式的行為。這是因為這些 AWS 受管政策更寬鬆。
防止共享環境
下列附加至IAM實體的範例IAM政策陳述式可防止該實體共用其帳戶中的任何環境。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentMembership", "cloud9:UpdateEnvironmentMembership" ], "Resource": "*" } ] }
變更或防止變更環境成員的設定
下列附加至IAM實體的範例IAM政策陳述式允許該實體變更其帳戶中任何環境中成員的設定。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "*" } ] }
注意
受 AWS 管政策 中已包含上述存取許可AWSCloud9Administrator。
下列附加至IAM實體的範例IAM政策陳述式明確防止該實體使用指定的 Amazon Resource Name () 變更環境中成員的設定ARN。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
移除或防止移除環境成員
下列附加至IAM實體的範例IAM政策陳述式允許該實體從其帳戶中的任何環境中移除任何成員。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "*" } ] }
注意
受 AWS 管政策 中已包含上述存取許可AWSCloud9Administrator。
下列附加至IAM實體的範例IAM政策陳述式明確防止該實體從具有指定 Amazon Resource Name () 的環境中移除任何成員ARN。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
刪除或防止刪除環境
下列附加至IAM實體的範例IAM政策陳述式允許該實體刪除其帳戶中的任何環境。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironment", "Resource": "*" } ] }
注意
受 AWS 管政策 中已包含上述存取許可AWSCloud9Administrator。
下列附加至IAM實體的範例IAM政策陳述式明確防止該實體刪除具有指定 Amazon Resource Name () 的環境ARN。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }
建立SSM環境的自訂IAM政策
建立已連接 AWSCloud9Administrator或 AWSCloud9User政策SSM的環境時,目前發生許可問題。下列範例IAM政策陳述式連接至IAM實體時,可讓使用者連接和使用 AWS 受管政策AWSCloud9Administrator或 AWSCloud9User。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] }, { "Effect": "Allow", "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"] }, { "Effect": "Allow", "Action": ["iam:AttachRolePolicy"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"], "Condition": { "StringEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole", "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile" ] } ] }
AWS Cloud9 許可參考
您可以在 AWS Cloud9 政策中使用 AWS 寬條件索引鍵來表達條件。如需清單,請參閱 IAM 使用者指南 中的IAMJSON政策元素:條件。
您可以在政策的 Action 欄位中指定動作。若要指定動作,請使用cloud9:字首,後面加上API操作名稱 (例如 "Action": "cloud9:DescribeEnvironments")。若要在單一陳述式中指定多個動作,請用逗號加以分隔 (例如 "Action": [
"cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ])。
使用萬用字元
您可以在政策的 Resource 欄位中指定ARN具有或不具有萬用字元 (*) 的 作為資源值。您可以使用萬用字元指定多個動作或資源。例如,cloud9:*指定所有 AWS Cloud9 動作,並cloud9:Describe*指定以 開頭的所有 AWS Cloud9 動作Describe。
下列範例可讓IAM實體取得其帳戶中任何環境的環境和環境成員資格的相關資訊。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:Describe*" ], "Resource": "*" } ] }
注意
受 AWS 管政策 中已包含上述存取許可AWSCloud9Administrator。此外,上述存取許可比 AWS 受管政策 中的同等存取許可更寬鬆AWSCloud9User。
AWS Cloud9 API 操作和動作的必要許可
注意
當您設定存取控制和寫入許可政策以連接至IAM身分 (以身分為基礎的政策) 時,您可以使用下表作為參考。
Public API operations 下表列出使用 SDKs和 的客戶可以呼叫API的操作 AWS Command Line Interface。
Permission-only API operations 會列出無法直接由客戶代碼或 呼叫API的操作 AWS Command Line Interface。但IAM使用者確實需要這些操作的許可,這些操作在使用主控台執行動作時 AWS Cloud9 呼叫。
| AWS Cloud9 操作 | 必要許可 (API 動作) | 資源 |
|---|---|---|
|
|
建立 AWS Cloud9 EC2開發環境所需的 。 |
|
|
|
必須具備才能將成員新增至環境。 |
|
|
|
必須具備才能刪除環境。 |
|
|
|
必須具備才能從環境移除成員。 |
|
|
|
必須具備才能取得環境中的成員清單。 |
|
|
|
必須具備才能取得環境的相關資訊。 |
|
|
|
必須具備才能取得環境的狀態相關資訊。 |
|
|
|
必須具備才能更新環境的設定。 |
|
|
|
必須具備才能更新環境中成員的設定。 |
|
| AWS Cloud9 操作 | 描述 | 主控台文件 |
|---|---|---|
|
|
啟動您的 AWS Cloud9 IDE 連線的 Amazon EC2執行個體。 |
|
|
|
建立 AWS Cloud9 SSH開發環境。 |
|
|
|
建立允許 AWS Cloud9 IDE與使用者環境之間的連線的身分驗證權杖。 |
|
|
|
取得與EC2開發環境連線的詳細資訊,包括主機、使用者和連接埠。 |
|
|
|
取得與SSH開發環境連線的詳細資訊,包括主機、使用者和連接埠。 |
|
|
|
取得用於初始化 的組態資訊 AWS Cloud9 IDE。 |
|
|
|
取得 AWS Cloud9 IDE指定開發環境的設定。 |
|
|
|
取得 AWS Cloud9 IDE指定環境成員的設定。 |
|
|
|
取得使用者的公有SSH金鑰, AWS Cloud9 由 用來連線至SSH開發環境。 |
|
|
|
取得 AWS Cloud9 IDE指定使用者的設定。 |
|
|
|
在 AWS Cloud9 整合開發環境 () 使用的 Amazon EC2執行個體上設定受 AWS 管臨時憑證IDE。 |
|
|
|
更新 AWS Cloud9 IDE指定開發環境的設定。 |
|
|
|
更新 AWS Cloud9 IDE指定環境成員的設定。 |
|
|
|
更新與SSH開發環境連線的詳細資訊,包括主機、使用者和連接埠。 |
|
|
|
更新 AWS Cloud9 IDE指定使用者的設定。 |
|
|
|
准許 AWS Cloud9 使用者從 AWS Cloud9 取得遷移體驗 CodeCatalyst。 |
AWS 受管臨時憑證
|
如果您只是在尋找 AWS 受管臨時憑證支援的動作清單,請跳至 受 AWS 管臨時憑證支援的動作。 |
對於 AWS Cloud9 EC2開發環境, AWS Cloud9 會在 環境中為您提供臨時 AWS 存取憑證。我們將這些憑證稱為 AWS 受管臨時憑證。其具備下列優點:
-
您不需要將 AWS 實體 (例如IAM使用者) 的永久 AWS 存取憑證存放在環境中的任何地方。這可防止環境成員在您不知悉且未核准的情況下存取這些憑證。
-
您不需要手動設定、管理執行個體設定檔,或將執行個體設定檔連接至連線至環境的 Amazon EC2執行個體。執行個體設定檔是管理臨時 AWS 存取憑證的另一種方法。
-
AWS Cloud9 會持續更新其臨時憑證,因此一組憑證只能在有限的時間內使用。這是 AWS 安全最佳實務。如需詳細資訊,請參閱建立和更新 AWS 受管臨時憑證。
-
AWS Cloud9 對如何使用其臨時憑證從環境中存取 AWS 動作和資源施加額外限制。這也是 AWS 安全最佳實務。
重要
目前,如果您環境的EC2執行個體在私有子網路 中啟動,則無法使用 AWS 受管臨時憑證來允許EC2環境代表 AWS 實體 (例如IAM使用者) 存取 AWS 服務。
如需何時可以在私有子網路中啟動EC2執行個體的詳細資訊,請參閱 為 建立子網路 AWS Cloud9。
注意
當您使用 AWS 受管臨時憑證時,請考慮使用 AWS 受管政策而非內嵌政策。
以下是當EC2環境嘗試 AWS 服務 代表 AWS 實體 (例如IAM使用者) 存取 時, AWS 受管臨時憑證的運作方式:
-
AWS Cloud9 會檢查呼叫 AWS 實體 (例如使用者IAM) 是否具有許可,可對 中請求的資源採取請求的動作 AWS。如果許可不存在或已明確拒絕,則請求失敗。
-
AWS Cloud9 會檢查 AWS 受管臨時憑證,查看其許可是否允許 中請求資源的請求動作 AWS。如果許可不存在或已明確拒絕,則請求失敗。如需 AWS 受管臨時憑證支援的許可清單,請參閱 受 AWS 管臨時憑證支援的動作。
-
如果 AWS 實體和 AWS 受管臨時憑證都允許請求資源的請求動作,則請求會成功。
-
如果 AWS 實體或 AWS 受管臨時憑證明確拒絕或無法明確允許所請求資源的請求動作,則請求會失敗。這表示即使呼叫 AWS 實體具有正確的許可,如果 AWS Cloud9 也明確允許,請求也會失敗。同樣地,如果 AWS Cloud9 允許對特定資源採取特定動作,則如果 AWS 實體也未明確允許請求,則請求會失敗。
EC2 環境的擁有者可以隨時開啟或關閉該環境的 AWS 受管臨時憑證,如下所示:
-
在環境開啟的情況下,在選單列的 AWS Cloud9 IDE中選擇 AWS Cloud9、偏好設定 。
-
在 Preferences (偏好設定) 索引標籤的導覽窗格中,選擇 AWS Settings, Credentials (設定、憑證)。
-
使用 AWS managed temporary credentials (AWS 受管臨時憑證) 將 AWS 受管臨時憑證設為開啟或關閉。
注意
您也可以呼叫 AWS Cloud9 API操作UpdateEnvironment並將值指派給 managedCredentialsAction 參數,以開啟或關閉 AWS 受管臨時憑證。您可以使用 和 等 AWS SDKs標準 AWS 工具來請求API此操作 AWS CLI。
如果您關閉 AWS 受管臨時憑證,環境無法存取任何 AWS 服務,無論提出請求的 AWS 實體為何。但是,假設您無法或不想開啟 環境的 AWS 受管臨時憑證,而且您仍然需要 環境來存取 AWS 服務。然後,請考慮下列替代方案:
-
將執行個體設定檔連接至連線至環境的 Amazon EC2執行個體。如需相關指示,請參閱「建立及使用執行個體描述檔來管理暫時登入資料」。
-
將永久 AWS 存取憑證存放在環境中,例如,透過設定特殊環境變數或執行
aws configure命令。如需說明,請參閱 在環境中建立並存放永久存取憑證。
上述替代方案會覆寫EC2環境中受 AWS 管臨時憑證允許 (或拒絕) 的所有許可。
受 AWS 管臨時憑證支援的動作
對於 AWS Cloud9 EC2開發環境, AWS 受管臨時憑證允許呼叫者 中所有 AWS 資源的所有 AWS 動作 AWS 帳戶,並具有下列限制:
-
對於 AWS Cloud9,僅允許下列動作:
-
cloud9:CreateEnvironmentEC2 -
cloud9:CreateEnvironmentSSH -
cloud9:DescribeEnvironmentMemberships -
cloud9:DescribeEnvironments -
cloud9:DescribeEnvironmentStatus -
cloud9:UpdateEnvironment
-
-
對於 IAM,僅允許下列動作:
-
iam:AttachRolePolicy -
iam:ChangePassword -
iam:CreatePolicy -
iam:CreatePolicyVersion -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeletePolicyVersion -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:DeleteSSHPublicKey -
iam:DetachRolePolicy -
iam:GetInstanceProfile -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRole -
iam:GetRolePolicy -
iam:GetSSHPublicKey -
iam:GetUser -
iam:List* -
iam:PassRole -
iam:PutRolePolicy -
iam:SetDefaultPolicyVersion -
iam:UpdateAssumeRolePolicy -
iam:UpdateRoleDescription -
iam:UpdateSSHPublicKey -
iam:UploadSSHPublicKey
-
-
只有以 開頭的角色名稱,才允許與角色互動的所有IAM動作
Cloud9-。不過,iam:PassRole可使用所有角色名稱。 -
對於 AWS Security Token Service (AWS STS),僅允許下列動作:
-
sts:GetCallerIdentity -
sts:DecodeAuthorizationMessage
-
-
所有支援 AWS 的動作僅限於環境的 IP 地址。這是 AWS 安全最佳實務。
如果 AWS Cloud9 不支援您需要EC2環境存取的動作或資源,或者如果EC2環境的 AWS 受管臨時憑證已關閉,且您無法重新開啟,請考慮下列替代方法:
-
將執行個體設定檔連接至連線至EC2環境的 Amazon EC2執行個體。如需說明,請參閱 建立及使用執行個體描述檔來管理臨時憑證。
-
將永久 AWS 存取憑證存放在EC2環境中,例如,透過設定特殊環境變數或執行
aws configure命令。如需說明,請參閱 在環境中建立並存放永久存取憑證。
上述替代方案會覆寫EC2環境中受 AWS 管臨時憑證允許 (或拒絕) 的所有許可。
建立和更新 AWS 受管臨時憑證
對於 AWS Cloud9 EC2開發環境,在第一次開啟環境時會建立受 AWS 管臨時憑證。
AWS 受管臨時憑證會在下列任何條件下更新:
-
每經過特定的一段時間時。目前是每五分鐘一次。
-
每當您重新載入顯示環境 IDE 的 Web 瀏覽器索引標籤時。
-
達到環境的
~/.aws/credentials檔案中所列的時間戳記時。 -
在 AWS managed temporary credentials (AWS 受管臨時憑證) 設定設為關閉的情況下,每次您再重新開啟時。(若要檢視或變更此設定,請在 的選單列中選擇 AWS Cloud9、偏好設定IDE。 在偏好設定索引標籤的導覽窗格中,選擇AWS 設定、憑證 。)
-
為了安全起見, AWS 受管臨時憑證會在 15 分鐘後自動過期。若要重新整理憑證,環境擁有者必須透過 連線到 AWS Cloud9 環境IDE。如需環境擁有者的角色詳細資訊,請參閱 控制 AWS 受管臨時憑證的存取權。
控制 AWS 受管臨時憑證的存取權
具有 AWS 受管臨時憑證 AWS Cloud9 的協作者可以使用 與其他 互動 AWS 服務。為了確保只有受信任的協作者才能獲得 AWS 受管臨時憑證,如果環境擁有者以外的任何人新增了成員,這些憑證就會停用。憑證會因 ~/.aws/credentials 檔案的刪除而停用。
重要
AWS 受管臨時憑證也會每 15 分鐘自動過期一次。若要重新整理憑證以便協作者繼續使用,環境擁有者必須透過 連線到 AWS Cloud9 環境IDE。
只有環境擁有者可以重新啟用 AWS 受管臨時憑證,以便與其他成員共用。當環境擁有者開啟 時IDE,對話方塊會確認停用 AWS 受管臨時憑證。環境擁有者可以重新啟用所有成員的憑證,或維持停用所有成員的憑證。
警告
為了符合最佳安全性作法,如果您對上次新增至環境的使用者身分有疑慮,請將受管臨時憑證維持停用。您可以在 Collaborate (協作) 視窗檢查具有讀取/寫入權限的成員清單。
