Identity and Access Management für AWS Cloud9 - AWS Cloud9

AWS Cloud9 ist für Neukunden nicht mehr verfügbar. Bestandskunden von AWS Cloud9 können den Service weiterhin wie gewohnt nutzen. Weitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identity and Access Management für AWS Cloud9

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAMAdministratoren kontrollieren, wer authentifiziert (angemeldet) und autorisiert werden kann (über Berechtigungen verfügt), um AWS Cloud9 Ressourcen zu verwenden. IAMist eine AWS-Service , die Sie ohne zusätzliche Kosten verwenden können.

Zielgruppe

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, in der Sie arbeiten AWS Cloud9.

Dienstbenutzer — Wenn Sie den AWS Cloud9 Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die erforderlichen Anmeldeinformationen und Berechtigungen zur Verfügung. Wenn Sie für Ihre Arbeit mehr AWS Cloud9 Funktionen verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Fuktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anzufordern müssen. Unter Problembehandlung bei AWS Cloud9 Identität und Zugriff finden Sie nützliche Informationen für den Fall, dass Sie keinen Zugriff auf eine Feature in AWS Cloud9 haben.

Serviceadministrator — Wenn Sie in Ihrem Unternehmen für die AWS Cloud9 Ressourcen verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf AWS Cloud9. Es ist Ihre Aufgabe, zu bestimmen, auf welche AWS Cloud9 Funktionen und Ressourcen Ihre Servicebenutzer zugreifen sollen. Anschließend müssen Sie Anfragen an Ihren IAM Administrator senden, um die Berechtigungen Ihrer Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die grundlegenden Konzepte von zu verstehenIAM. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit verwenden kann AWS Cloud9, finden Sie unterWie AWS Cloud9 funktioniert mit IAM.

IAMAdministrator — Wenn Sie ein IAM Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff darauf zu verwalten AWS Cloud9. Beispiele für AWS Cloud9 identitätsbasierte Richtlinien, die Sie in verwenden könnenIAM, finden Sie unter. Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

Authentifizierung mit Identitäten

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen als IAM Benutzer authentifiziert (angemeldet AWS) sein oder eine IAM Rolle übernehmen. Root-Benutzer des AWS-Kontos

Sie können sich AWS als föderierte Identität anmelden, indem Sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. AWS IAM Identity Center (IAMIdentity Center-) Nutzer, die Single-Sign-On-Authentifizierung Ihres Unternehmens und Ihre Google- oder Facebook-Anmeldeinformationen sind Beispiele für föderierte Identitäten. Wenn Sie sich als föderierte Identität anmelden, hat Ihr Administrator zuvor einen Identitätsverbund mithilfe von Rollen eingerichtet. IAM Wenn Sie AWS mithilfe eines Verbunds darauf zugreifen, übernehmen Sie indirekt eine Rolle.

Je nachdem, welcher Benutzertyp Sie sind, können Sie sich beim AWS Management Console oder beim AWS Zugangsportal anmelden. Weitere Informationen zur Anmeldung finden Sie AWS unter So melden Sie sich bei Ihrem an AWS-Konto im AWS-Anmeldung Benutzerhandbuch.

Wenn Sie AWS programmgesteuert darauf zugreifen, AWS stellt es ein Software Development Kit (SDK) und eine Befehlszeilenschnittstelle (CLI) bereit, mit der Sie Ihre Anfragen mithilfe Ihrer Anmeldeinformationen kryptografisch signieren können. Wenn Sie keine AWS Tools verwenden, müssen Sie Anfragen selbst signieren. Weitere Informationen zur Verwendung der empfohlenen Methode, um Anfragen selbst zu signieren, finden Sie im IAMBenutzerhandbuch unter AWS Signature Version 4 für API Anfragen.

Unabhängig von der verwendeten Authentifizierungsmethode müssen Sie möglicherweise zusätzliche Sicherheitsinformationen angeben. AWS Empfiehlt beispielsweise, die Multi-Faktor-Authentifizierung (MFA) zu verwenden, um die Sicherheit Ihres Kontos zu erhöhen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center Benutzerhandbuch und AWS Multi-Faktor-Authentifizierung IAM im IAM Benutzerhandbuch.

AWS-Konto Root-Benutzer

Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, die vollständigen Zugriff auf alle AWS-Services Ressourcen im Konto hat. Diese Identität wird als AWS-Konto Root-Benutzer bezeichnet. Sie können darauf zugreifen, indem Sie sich mit der E-Mail-Adresse und dem Passwort anmelden, mit denen Sie das Konto erstellt haben. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Schützen Sie Ihre Root-Benutzer-Anmeldeinformationen und verwenden Sie diese, um die Aufgaben auszuführen, die nur der Root-Benutzer ausführen kann. Eine vollständige Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie im Benutzerhandbuch unter Aufgaben, für die Root-Benutzeranmeldedaten erforderlich sind. IAM

Verbundidentität

Als bewährte Methode sollten menschliche Benutzer, einschließlich Benutzer, die Administratorzugriff benötigen, für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen den Verbund mit einem Identitätsanbieter verwenden.

Eine föderierte Identität ist ein Benutzer aus Ihrem Unternehmensbenutzerverzeichnis, einem Web-Identitätsanbieter AWS Directory Service, dem Identity Center-Verzeichnis oder einem beliebigen Benutzer, der mithilfe AWS-Services von Anmeldeinformationen zugreift, die über eine Identitätsquelle bereitgestellt wurden. Wenn föderierte Identitäten darauf zugreifen AWS-Konten, übernehmen sie Rollen, und die Rollen stellen temporäre Anmeldeinformationen bereit.

Für die zentrale Zugriffsverwaltung empfehlen wir Ihnen, AWS IAM Identity Center zu verwenden. Sie können Benutzer und Gruppen in IAM Identity Center erstellen, oder Sie können eine Verbindung zu einer Gruppe von Benutzern und Gruppen in Ihrer eigenen Identitätsquelle herstellen und diese synchronisieren, um sie in all Ihren AWS-Konten Anwendungen zu verwenden. Informationen zu IAM Identity Center finden Sie unter Was ist IAM Identity Center? im AWS IAM Identity Center Benutzerhandbuch.

IAM-Benutzer und -Gruppen

Ein IAMBenutzer ist eine Identität innerhalb Ihres Unternehmens AWS-Konto , die über spezifische Berechtigungen für eine einzelne Person oder Anwendung verfügt. Wir empfehlen, sich nach Möglichkeit auf temporäre Anmeldeinformationen zu verlassen, anstatt IAM Benutzer mit langfristigen Anmeldeinformationen wie Passwörtern und Zugriffsschlüsseln zu erstellen. Wenn Sie jedoch spezielle Anwendungsfälle haben, für die langfristige Anmeldeinformationen von IAM Benutzern erforderlich sind, empfehlen wir, die Zugriffsschlüssel abwechselnd zu verwenden. Weitere Informationen finden Sie im Benutzerhandbuch unter Regelmäßiges Rotieren von Zugriffsschlüsseln für Anwendungsfälle, für die IAM langfristige Anmeldeinformationen erforderlich sind.

Eine IAMGruppe ist eine Identität, die eine Sammlung von IAM Benutzern spezifiziert. Sie können sich nicht als Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitig angeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt. Sie könnten beispielsweise eine Gruppe benennen IAMAdminsund dieser Gruppe Berechtigungen zur Verwaltung von IAM Ressourcen erteilen.

Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutig zugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzer besitzen dauerhafte Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationen bereit. Weitere Informationen finden Sie im Benutzerhandbuch unter Anwendungsfälle für IAM IAM Benutzer.

IAMRollen

Eine IAMRolle ist eine Identität innerhalb von Ihnen AWS-Konto , für die bestimmte Berechtigungen gelten. Sie ähnelt einem IAM Benutzer, ist jedoch keiner bestimmten Person zugeordnet. Um vorübergehend eine IAM Rolle in der zu übernehmen AWS Management Console, können Sie von einem Benutzer zu einer IAM Rolle (Konsole) wechseln. Sie können eine Rolle übernehmen, indem Sie eine AWS CLI AWS API OR-Operation aufrufen oder eine benutzerdefinierte Operation verwendenURL. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter Methoden zur Übernahme einer Rolle im IAMBenutzerhandbuch.

IAMRollen mit temporären Anmeldeinformationen sind in den folgenden Situationen nützlich:

  • Verbundbenutzerzugriff – Um einer Verbundidentität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle für einen externen Identitätsanbieter. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu kontrollieren, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in. IAM Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center -Benutzerhandbuch.

  • Temporäre IAM Benutzerberechtigungen — Ein IAM Benutzer oder eine Rolle kann eine IAM Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu übernehmen.

  • Kontoübergreifender Zugriff — Sie können eine IAM Rolle verwenden, um jemandem (einem vertrauenswürdigen Principal) in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollen stellen die primäre Möglichkeit dar, um kontoübergreifendem Zugriff zu gewähren. Bei einigen können Sie AWS-Services jedoch eine Richtlinie direkt an eine Ressource anhängen (anstatt eine Rolle als Proxy zu verwenden). Informationen zum Unterschied zwischen Rollen und ressourcenbasierten Richtlinien für den kontenübergreifenden Zugriff finden Sie IAMim Benutzerhandbuch unter Kontoübergreifender Ressourcenzugriff. IAM

  • Serviceübergreifender Zugriff — Einige AWS-Services verwenden Funktionen in anderen. AWS-Services Wenn Sie beispielsweise in einem Service einen Anruf tätigen, ist es üblich, dass dieser Service Anwendungen in Amazon ausführt EC2 oder Objekte in Amazon S3 speichert. Ein Dienst kann dies mit den Berechtigungen des aufrufenden Prinzipals mit einer Servicerolle oder mit einer serviceverknüpften Rolle tun.

    • Zugriffssitzungen weiterleiten (FAS) — Wenn Sie einen IAM Benutzer oder eine Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FASverwendet die Berechtigungen des Prinzipals, der an aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. FASAnfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien beim Stellen von FAS Anfragen finden Sie unter Zugriffssitzungen weiterleiten.

    • Servicerolle — Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine.

    • Dienstbezogene Rolle — Eine dienstverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Servicebezogene Rollen erscheinen in Ihrem Dienst AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

  • Auf Amazon ausgeführte Anwendungen EC2 — Sie können eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2 Instance ausgeführt werden und AWS API Anfragen stellen AWS CLI . Dies ist dem Speichern von Zugriffsschlüsseln innerhalb der EC2 Instance vorzuziehen. Um einer EC2 Instanz eine AWS Rolle zuzuweisen und sie allen ihren Anwendungen zur Verfügung zu stellen, erstellen Sie ein Instanzprofil, das an die Instanz angehängt ist. Ein Instanzprofil enthält die Rolle und ermöglicht Programmen, die auf der EC2 Instanz ausgeführt werden, temporäre Anmeldeinformationen abzurufen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Verwenden einer IAM Rolle zur Erteilung von Berechtigungen für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden.

Verwalten des Zugriffs mit Richtlinien

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie ist ein Objekt, AWS das, wenn es einer Identität oder Ressource zugeordnet ist, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn ein Prinzipal (Benutzer, Root-Benutzer oder Rollensitzung) eine Anfrage stellt. Berechtigungen in den Richtlinien bestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden in AWS Form von JSON Dokumenten gespeichert. Weitere Informationen zur Struktur und zum Inhalt von JSON Richtliniendokumenten finden Sie im IAMBenutzerhandbuch unter Überblick über JSON Richtlinien.

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Um Benutzern die Erlaubnis zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

IAMRichtlinien definieren Berechtigungen für eine Aktion, unabhängig von der Methode, mit der Sie den Vorgang ausführen. Angenommen, es gibt eine Richtlinie, die Berechtigungen für die iam:GetRole-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Rolleninformationen aus dem AWS Management Console AWS CLI, dem oder dem abrufen AWS API.

Identitätsbasierte Richtlinien

Identitätsbasierte Richtlinien sind Dokumente mit JSON Berechtigungsrichtlinien, die Sie an eine Identität anhängen können, z. B. an einen IAM Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie im Benutzerhandbuch unter Definieren benutzerdefinierter IAM Berechtigungen mit vom Kunden verwalteten Richtlinien. IAM

Identitätsbasierte Richtlinien können weiter als Inline-Richtlinien oder verwaltete Richtlinien kategorisiert werden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelne Rolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem System zuordnen können. AWS-Konto Zu den verwalteten Richtlinien gehören AWS verwaltete Richtlinien und vom Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwalteten Richtlinie oder einer Inline-Richtlinie wählen können, finden Sie im IAMBenutzerhandbuch unter Wählen Sie zwischen verwalteten Richtlinien und Inline-Richtlinien.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die Sie an eine Ressource anhängen. Beispiele für ressourcenbasierte Richtlinien sind IAM Rollenvertrauensrichtlinien und Amazon S3 S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie einen Prinzipal angeben. Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien nicht IAM in einer ressourcenbasierten Richtlinie verwenden.

Zugriffskontrolllisten () ACLs

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLsähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON Richtliniendokumentformat.

Amazon S3 und AWS WAF Amazon VPC sind Beispiele für Dienste, die Unterstützung bietenACLs. Weitere Informationen finden Sie unter Übersicht über ACLs die Zugriffskontrollliste (ACL) im Amazon Simple Storage Service Developer Guide.

Weitere Richtlinientypen

AWS unterstützt zusätzliche, weniger verbreitete Richtlinientypen. Diese Richtlinientypen können die maximalen Berechtigungen festlegen, die Ihnen von den häufiger verwendeten Richtlinientypen erteilt werden können.

  • Berechtigungsgrenzen — Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie die maximalen Berechtigungen festlegen, die eine identitätsbasierte Richtlinie einer IAM Entität (IAMBenutzer oder Rolle) gewähren kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen. Die daraus resultierenden Berechtigungen sind der Schnittpunkt der identitätsbasierten Richtlinien einer Entität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder die Rolle im Feld Principal angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen zu Berechtigungsgrenzen finden Sie im IAMBenutzerhandbuch unter Berechtigungsgrenzen für IAM Entitäten.

  • Dienststeuerungsrichtlinien (SCPs) — SCPs sind JSON Richtlinien, die die maximalen Berechtigungen für eine Organisation oder Organisationseinheit (OU) in festlegen AWS Organizations. AWS Organizations ist ein Dienst zur Gruppierung und zentralen Verwaltung mehrerer Geräte AWS-Konten , die Ihrem Unternehmen gehören. Wenn Sie alle Funktionen in einer Organisation aktivieren, können Sie Richtlinien zur Servicesteuerung (SCPs) auf einige oder alle Ihre Konten anwenden. Das SCP schränkt die Berechtigungen für Entitäten in Mitgliedskonten ein, einschließlich der einzelnen Root-Benutzer des AWS-Kontos. Weitere Informationen zu Organizations und SCPs finden Sie unter Richtlinien zur Servicesteuerung im AWS Organizations Benutzerhandbuch.

  • Sitzungsrichtlinien – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuert erstellen. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Berechtigungen können auch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Sitzungsrichtlinien.

Mehrere Richtlinientypen

Wenn mehrere auf eine Anforderung mehrere Richtlinientypen angewendet werden können, sind die entsprechenden Berechtigungen komplizierter. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie im IAMBenutzerhandbuch unter Bewertungslogik für Richtlinien.

Wie AWS Cloud9 funktioniert mit IAM

Informieren Sie sich vor der Verwendung IAM zur Verwaltung des Zugriffs auf AWS Cloud9, welche IAM Funktionen zur Verwendung verfügbar sind AWS Cloud9.

Einen allgemeinen Überblick darüber, wie AWS Cloud9 und andere AWS Dienste mit den meisten IAM Funktionen funktionieren, finden Sie IAM im IAMBenutzerhandbuch unter AWS Dienste, die mit funktionieren.

Identitätsbasierte Richtlinien für AWS Cloud9

Unterstützt Richtlinien auf Identitätsbasis: Ja

Identitätsbasierte Richtlinien sind Dokumente mit JSON Berechtigungsrichtlinien, die Sie an eine Identität anhängen können, z. B. an einen IAM Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie im Benutzerhandbuch unter Definieren benutzerdefinierter IAM Berechtigungen mit vom Kunden verwalteten Richtlinien. IAM

Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zulässig oder verweigert werden. Sie können den Prinzipal nicht in einer identitätsbasierten Richtlinie angeben, da er für den Benutzer oder die Rolle gilt, dem er zugeordnet ist. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden können, finden Sie im IAMBenutzerhandbuch unter Referenz zu IAM JSON Richtlinienelementen.

Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

Beispiele für AWS Cloud9 identitätsbasierte Richtlinien finden Sie unter. Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

Ressourcenbasierte Richtlinien finden Sie in AWS Cloud9

Unterstützt ressourcenbasierte Richtlinien: Nein

Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die Sie an eine Ressource anhängen. Beispiele für ressourcenbasierte Richtlinien sind IAM Rollenvertrauensrichtlinien und Amazon S3 S3-Bucket-Richtlinien. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie einen Prinzipal angeben. Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um den kontoübergreifenden Zugriff zu ermöglichen, können Sie in einer ressourcenbasierten Richtlinie ein ganzes Konto oder IAM Entitäten in einem anderen Konto als Prinzipal angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Prinzipal und die Ressource unterscheiden AWS-Konten, muss ein IAM Administrator des vertrauenswürdigen Kontos auch der Prinzipalentität (Benutzer oder Rolle) die Berechtigung zum Zugriff auf die Ressource gewähren. Sie erteilen Berechtigungen, indem Sie der juristischen Stelle eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie IAMim IAMBenutzerhandbuch unter Kontoübergreifender Ressourcenzugriff.

AWS Cloud9 unterstützt keine ressourcenbasierten Richtlinien, aber Sie können trotzdem die Berechtigungen für AWS Cloud9 Umgebungsressourcen für AWS Cloud9 Umgebungsmitglieder über und steuern. AWS Cloud9 API AWS Cloud9 IDE

Politische Maßnahmen für AWS Cloud9

Unterstützt Richtlinienaktionen: Ja

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Action Element einer JSON Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen entsprechenden Vorgang gibt. API Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.

Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.

Eine Liste der AWS Cloud9 Aktionen finden Sie unter Aktionen definiert von AWS Cloud9 in der Serviceautorisierungsreferenz.

Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS Cloud9 verwendet:

account

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

"Action": [ "account:action1", "account:action2" ]

Beispiele für AWS Cloud9 identitätsbasierte Richtlinien finden Sie unter. Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

Politische Ressourcen für AWS Cloud9

Unterstützt Richtlinienressourcen: Ja

Administratoren können mithilfe von AWS JSON Richtlinien festlegen, wer Zugriff auf was hat. Das bedeutet, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Resource JSON Richtlinienelement gibt das Objekt oder die Objekte an, für die die Aktion gilt. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Es hat sich bewährt, eine Ressource mit ihrem Amazon-Ressourcennamen (ARN) anzugeben. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.

Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

"Resource": "*"

Eine Liste der AWS Cloud9 Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Ressourcen definiert von AWS Cloud9 in der Service Authorization Reference. Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Aktionen definiert von AWS Cloud9.

Beispiele für AWS Cloud9 identitätsbasierte Richtlinien finden Sie unter. Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

Bedingungsschlüssel für Richtlinien für AWS Cloud9

Unterstützt servicespezifische Richtlinienbedingungsschlüssel: Ja

Administratoren können mithilfe von AWS JSON Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.

Das Element Condition (oder Condition block) ermöglicht Ihnen die Angabe der Bedingungen, unter denen eine Anweisung wirksam ist. Das Element Condition ist optional. Sie können bedingte Ausdrücke erstellen, die Bedingungsoperatoren verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt.

Wenn Sie mehrere Condition-Elemente in einer Anweisung oder mehrere Schlüssel in einem einzelnen Condition-Element angeben, wertet AWS diese mittels einer logischen AND-Operation aus. Wenn Sie mehrere Werte für einen einzelnen Bedingungsschlüssel angeben, AWS wertet die Bedingung mithilfe einer logischen OR Operation aus. Alle Bedingungen müssen erfüllt werden, bevor die Berechtigungen der Anweisung gewährt werden.

Sie können auch Platzhaltervariablen verwenden, wenn Sie Bedingungen angeben. Sie können einem IAM Benutzer beispielsweise nur dann Zugriff auf eine Ressource gewähren, wenn sie mit seinem IAM Benutzernamen gekennzeichnet ist. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMRichtlinienelemente: Variablen und Tags.

AWS unterstützt globale Bedingungsschlüssel und dienstspezifische Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter Kontext-Schlüssel für AWS globale Bedingungen im IAMBenutzerhandbuch.

Eine Liste der AWS Cloud9 Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für AWS Cloud9 in der Service Authorization Reference. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Aktionen definiert von AWS Cloud9.

Beispiele für AWS Cloud9 identitätsbasierte Richtlinien finden Sie unter. Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

ACLsin AWS Cloud9

UnterstütztACLs: Nein

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLsähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON Richtliniendokumentformat.

ABACmit AWS Cloud9

Unterstützt ABAC (Tags in Richtlinien): Ja

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Attributen definiert. In werden AWS diese Attribute als Tags bezeichnet. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und an viele AWS Ressourcen anhängen. Das Markieren von Entitäten und Ressourcen ist der erste Schritt vonABAC. Anschließend entwerfen Sie ABAC Richtlinien, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt, auf die er zugreifen möchte.

ABACist hilfreich in Umgebungen, die schnell wachsen, und hilft in Situationen, in denen die Richtlinienverwaltung umständlich wird.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel aws:ResourceTag/key-name, aws:RequestTag/key-name, oder Bedingung aws:TagKeys verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service Ja. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert Teilweise.

Weitere Informationen dazu finden Sie ABAC unter Definieren von Berechtigungen mit ABAC Autorisierung im IAMBenutzerhandbuch. Ein Tutorial mit Schritten zur Einrichtung finden Sie im ABAC Benutzerhandbuch unter Verwenden der attributebasierten Zugriffskontrolle (ABAC). IAM

Verwenden temporärer Anmeldeinformationen mit AWS Cloud9

Unterstützt temporäre Anmeldeinformationen: Ja

Einige funktionieren AWS-Services nicht, wenn Sie sich mit temporären Anmeldeinformationen anmelden. Weitere Informationen, einschließlich Informationen darüber, AWS-Services wie Sie mit temporären Anmeldeinformationen arbeiten können AWS-Services , finden Sie IAM im IAMBenutzerhandbuch unter Informationen zum Arbeiten mit.

Sie verwenden temporäre Anmeldeinformationen, wenn Sie sich mit einer anderen AWS Management Console Methode als einem Benutzernamen und einem Kennwort anmelden. Wenn Sie beispielsweise AWS über den Single Sign-On-Link (SSO) Ihres Unternehmens darauf zugreifen, werden bei diesem Vorgang automatisch temporäre Anmeldeinformationen erstellt. Sie erstellen auch automatisch temporäre Anmeldeinformationen, wenn Sie sich als Benutzer bei der Konsole anmelden und dann die Rollen wechseln. Weitere Informationen zum Rollenwechsel finden Sie im Benutzerhandbuch unter Von einem Benutzer zu einer IAM Rolle (Konsole) wechseln. IAM

Mit dem AWS CLI oder können Sie manuell temporäre Anmeldeinformationen erstellen AWS API. Sie können diese temporären Anmeldeinformationen dann für den Zugriff verwenden AWS. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen unter IAM.

Zugriffssitzungen weiterleiten für AWS Cloud9

Unterstützt Forward-Access-Sitzungen (FAS): Ja

Wenn Sie einen IAM Benutzer oder eine Rolle verwenden, um Aktionen auszuführen AWS, gelten Sie als Principal. Bei einigen Services könnte es Aktionen geben, die dann eine andere Aktion in einem anderen Service initiieren. FASverwendet die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. FASAnfragen werden nur gestellt, wenn ein Dienst eine Anfrage erhält, für deren Abschluss Interaktionen mit anderen AWS-Services oder Ressourcen erforderlich sind. In diesem Fall müssen Sie über Berechtigungen zum Ausführen beider Aktionen verfügen. Einzelheiten zu den Richtlinien beim Stellen von FAS Anfragen finden Sie unter Zugriffssitzungen weiterleiten.

Servicerollen für AWS Cloud9

Unterstützt Servicerollen: Ja

Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine.

Warnung

Das Ändern der Berechtigungen für eine Servicerolle kann zu AWS Cloud9 Funktionseinschränkungen führen. Bearbeiten Sie Servicerollen nur, AWS Cloud9 wenn Sie dazu eine Anleitung erhalten.

Dienstbezogene Rollen für AWS Cloud9

Unterstützt dienstbezogene Rollen: Ja

Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Einzelheiten zum Erstellen oder Verwalten von dienstbezogenen Rollen finden Sie unter AWS Dienste, die mit funktionieren. IAM Suchen Sie in der Tabelle nach einem Service mit einem Yes in der Spalte Service-linked role (Serviceverknüpfte Rolle). Wählen Sie den Link Yes (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.

Beispiele für identitätsbasierte Richtlinien für AWS Cloud9

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS Cloud9 -Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe von AWS Management Console, AWS Command Line Interface (AWS CLI) oder AWS API ausführen. Um Benutzern die Berechtigung zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter IAM Richtlinien erstellen (Konsole) im IAMBenutzerhandbuch.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS Cloud9, einschließlich des Formats von ARNs für jeden der Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Cloud9 in der Service Authorization Reference.

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand AWS Cloud9 Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

  • Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten — Verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie AWS im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien oder Verwaltete Richtlinien für Jobfunktionen.

  • Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM

  • Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMJSONRichtlinienelemente: Bedingung.

  • Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Überprüfen von Richtlinien mit IAM Access Analyzer.

  • Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, in dem IAM Benutzer oder ein Root-Benutzer erforderlich sind AWS-Konto, aktivieren Sie die Option MFA für zusätzliche Sicherheit. Um festzulegen, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Sicherer API Zugriff mit MFA im IAMBenutzerhandbuch.

Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM

Verwenden der AWS Cloud9 -Konsole

Um auf die AWS Cloud9 Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS Cloud9 Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur Anrufe an AWS CLI oder am tätigen, keine Mindestberechtigungen für die Konsole gewähren AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den sie ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die AWS Cloud9 Konsole weiterhin verwenden können, fügen Sie den Entitäten auch die AWS Cloud9 ConsoleAccess oder die ReadOnly AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie im Benutzerhandbuch unter Hinzufügen von Berechtigungen für einen IAM Benutzer.

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die Inline-Richtlinien und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von oder. AWS CLI AWS API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Problembehandlung bei AWS Cloud9 Identität und Zugriff

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Cloud9 und auftreten könnenIAM.

Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Cloud9

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der mateojackson IAM Benutzer versucht, die Konsole zu verwenden, um Details zu einer fiktiven my-example-widget Ressource anzuzeigen, aber nicht über die fiktiven awes:GetWidget Berechtigungen verfügt.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidget on resource: my-example-widget

In diesem Fall muss die Richtlinie für den Benutzer mateojackson aktualisiert werden, damit er mit der awes:GetWidget-Aktion auf die my-example-widget-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

Ich bin nicht berechtigt, iam auszuführen: PassRole

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der iam:PassRole-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS Cloud9übergeben zu können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM Benutzer mit dem Namen marymajor versucht, die Konsole zu verwenden, um eine Aktion in AWS Cloud9 auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion iam:PassRole ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS Cloud9 Ressourcen ermöglichen

Sie können eine Rolle erstellen, die Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation für den Zugriff auf Ihre Ressourcen verwenden können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:

Wie AWS Cloud9 funktioniert mit Ressourcen und Vorgängen IAM

AWS Identity and Access Management wird verwendet, um die Berechtigungen zu verwalten, die es Ihnen ermöglichen, sowohl mit AWS Cloud9 Entwicklungsumgebungen als auch mit anderen AWS-Services Ressourcen zu arbeiten.

AWS Cloud9 Ressourcen und Abläufe

AWS Cloud9 In ist die primäre Ressource eine AWS Cloud9 Entwicklungsumgebung. In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. In der folgenden Tabelle ist die Umgebung aufgeführtARNs. Weitere Informationen finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces in der. Allgemeine Amazon Web Services-Referenz

Ressourcentyp ARNformatieren

Umgebung

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

Jede Umgebung, die zu dem angegebenen Konto in der angegebenen AWS-Region gehört

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:*

Jede Umgebung, die zu dem angegebenen Konto in der angegebenen Region gehört

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:*

Jede AWS Cloud9 Ressource, unabhängig von Konto und Region

arn:aws:cloud9:*

Beispielsweise können Sie in Ihrem Kontoauszug eine bestimmte Umgebung mit ihrem Amazon-Ressourcennamen (ARN) wie folgt angeben.

"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"

Um alle Ressourcen anzugeben, verwenden Sie das Platzhalterzeichen (*) im Resource-Element.

"Resource": "*"

Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie ihre Amazon-Ressourcennamen (ARNs) durch Kommas.

"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]

AWS Cloud9 bietet eine Reihe von Operationen für die Arbeit mit AWS Cloud9 Ressourcen. Die Liste finden Sie unter AWS Cloud9 Referenz zu Berechtigungen.

Grundlegendes zum Eigentum an Ressourcen

Das AWS-Konto Konto besitzt die Ressourcen, die im Konto erstellt wurden, unabhängig davon, wer die Ressourcen erstellt hat.

Berücksichtigen Sie die folgenden Anwendungsfälle und Szenarien:

  • Angenommen, Sie verwenden Ihre Root-Kontoanmeldedaten AWS-Konto , um eine AWS Cloud9 Entwicklungsumgebung zu erstellen. Dies ist zwar möglich, wird aber nicht empfohlen. In diesem Fall AWS-Konto sind Sie der Eigentümer der Umgebung.

  • Angenommen, Sie erstellen einen IAM Benutzer in Ihrem AWS-Konto und erteilen diesem Benutzer die Erlaubnis, eine Umgebung zu erstellen. Dann kann der Benutzer eine Umgebung erstellen. Ihre AWS-Konto Umgebung, zu der der Benutzer gehört, besitzt jedoch immer noch die Umgebung.

  • Angenommen, Sie erstellen in Ihrem IAM System eine Rolle AWS-Konto mit den erforderlichen Berechtigungen zum Erstellen einer Umgebung. Dann kann jeder, der die Rolle übernehmen kann, eine Umgebung erstellen. Ihr AWS-Konto, zu dem die Rolle gehört, ist Besitzer der Umgebung.

Anmerkung

Wenn Sie ein Benutzerkonto löschen, das ARN Eigentümer einer oder mehrerer AWS Cloud9 Umgebungen ist, haben diese Umgebungen keinen Besitzer mehr. Eine Problemumgehung für dieses Szenario besteht darin, mithilfe der AWS Cloud9 SDK CreateEnvironmentMembership Aktion und des EnvironmentMember Datentyps einen weiteren IAM Benutzer mit Lese- und Schreibberechtigungen hinzuzufügen. Nachdem Sie diesen IAM Benutzer hinzugefügt haben, können Sie die Umgebungsdateien in neue AWS Cloud9 Umgebungen kopieren und diesen Besitzer zum ARN Besitzer machen. Weitere Informationen zu dieser Aktion finden Sie unter CreateEnvironmentMembership. Weitere Informationen zu diesem Datentyp finden Sie EnvironmentMemberim AWS Cloud9 APIReferenzhandbuch.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Ressourcen hat.

Anmerkung

In diesem Abschnitt wird die Verwendung von IAM in beschrieben AWS Cloud9. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie in der IAMJSONRichtlinienreferenz im IAMBenutzerhandbuch.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (oder IAMRichtlinien) bezeichnet. Mit einer Ressource verknüpfte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet. AWS Cloud9 unterstützt sowohl identitäts- als auch ressourcenbasierte Richtlinien.

Für jede der folgenden API Aktionen muss lediglich eine IAM Richtlinie an die IAM Identität angehängt werden, die diese Aktionen aufrufen möchte: API

  • CreateEnvironmentEC2

  • DescribeEnvironments

Für die folgenden API Aktionen ist eine ressourcenbasierte Richtlinie erforderlich. Eine IAM Richtlinie ist nicht erforderlich, AWS Cloud9 verwendet jedoch eine IAM Richtlinie, wenn sie mit der IAM Identität verknüpft ist, die diese API Aktionen aufrufen möchte. Die ressourcenbasierte Richtlinie muss auf die gewünschte AWS Cloud9 Ressource angewendet werden:

  • CreateEnvironmentMembership

  • DeleteEnvironment

  • DeleteEnvironmentMembership

  • DescribeEnvironmentMemberships

  • DescribeEnvironmentStatus

  • UpdateEnvironment

  • UpdateEnvironmentMembership

Weitere Informationen zur Funktionsweise der einzelnen API Aktionen finden Sie in der AWS Cloud9 API Referenz.

Sie können eine ressourcenbasierte Richtlinie nicht direkt an eine AWS Cloud9 Ressource anhängen. Hängt stattdessen AWS Cloud9 die entsprechenden ressourcenbasierten Richtlinien an AWS Cloud9 Ressourcen an, wenn Sie Umgebungsmitglieder hinzufügen, ändern, aktualisieren oder löschen.

Um einem Benutzer Berechtigungen zur Ausführung von Aktionen an AWS Cloud9 Ressourcen zu gewähren, fügen Sie einer IAM Gruppe, der der Benutzer angehört, eine Berechtigungsrichtlinie hinzu. Wir empfehlen, dass Sie, AWS Cloud9 wann immer möglich, eine AWS verwaltete (vordefinierte) Richtlinie beifügen. AWS Verwaltete Richtlinien enthalten vordefinierte Gruppen von Zugriffsberechtigungen für gängige Nutzungsszenarien und Benutzertypen, z. B. vollständige Verwaltung einer Umgebung, Umgebungsbenutzer und Benutzer, die nur Lesezugriff auf eine Umgebung haben. Eine Liste der AWS verwalteten Richtlinien für finden Sie AWS Cloud9 unter. AWS verwaltete Richtlinien für AWS Cloud9

Sie können für weitere detaillierte Nutzungsszenarien und eindeutige Benutzertypen Ihre eigenen kundenverwalteten Richtlinien erstellen und anfügen. Siehe Zusätzliche Einrichtungsoptionen für AWS Cloud9 und Erstellung von vom Kunden verwalteten Richtlinien für AWS Cloud9.

Informationen zum Anhängen einer (AWS verwalteten oder vom Kunden verwalteten) IAM Richtlinie an eine IAM Identität finden Sie im IAMBenutzerhandbuch unter IAMRichtlinien anhängen (Konsole).

Sitzungsberechtigungen für Operationen API

Wenn Sie das AWS CLI oder verwenden AWS API, um programmgesteuert eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer zu erstellen, können Sie Sitzungsrichtlinien als Parameter übergeben, um den Umfang der Rollensitzung zu erweitern. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität des Benutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien.

Wenn während einer Sitzung eine Anforderung für den Zugriff auf eine Ressource gestellt wird, wenn keine zutreffende DenyAnweisung, aber auch keine anwendbare Allow-Anweisung in der Sitzungsrichtlinie ist das Ergebnis der Richtlinienbewertung eine Implizite Verweigerung. (Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Feststellen, ob eine Anfrage innerhalb eines Kontos zulässig oder abgelehnt ist.)

Bei AWS Cloud9 API Vorgängen, die eine ressourcenbasierte Richtlinie erfordern (siehe oben), werden der aufrufenden IAM Entität jedoch Berechtigungen erteilt, sofern dies Principal in der Ressourcenrichtlinie so angegeben ist. Diese ausdrückliche Berechtigung hat Vorrang vor der impliziten Ablehnung der Sitzungsrichtlinie, sodass die Sitzung den Vorgang erfolgreich aufrufen kann. AWS Cloud9 API

AWS verwaltete Richtlinien für AWS Cloud9

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSCloud9Administrator

Sie können die AWSCloud9Administrator Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt administrative Berechtigungen, die Administratorzugriff auf gewähren AWS Cloud9.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS Cloud9 — Alle AWS Cloud9 Aktionen in ihrem AWS-Konto.

  • Amazon EC2 — Informieren Sie sich über mehrere Amazon VPC - und Subnetzressourcen in ihren AWS-Konto.

  • IAM— Holen Sie sich Informationen über IAM die Benutzer in ihren AWS-Konto und erstellen Sie bei Bedarf die mit dem AWS Cloud9 Service verknüpfte Rolle in ihren AWS-Konto .

  • Systems Manager — Erlaubt dem Benutzer, aufzurufen StartSession , um eine Verbindung zu einer Instanz für eine Session Manager-Sitzung herzustellen. Diese Berechtigung ist für Benutzer erforderlich, die eine Umgebung öffnen, die über Systems Manager mit ihrer EC2 Instanz kommuniziert. Weitere Informationen finden Sie unter Zugreifen auf No-Ingress-Instances mit EC2 AWS Systems Manager

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:*", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }

AWS verwaltete Richtlinie: AWSCloud9User

Sie können die AWSCloud9User Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt user Berechtigungen zum Erstellen AWS Cloud9 von Entwicklungsumgebungen und zum Verwalten eigener Umgebungen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS Cloud9 — Erstellen und Abrufen von Informationen über ihre Umgebungen sowie Abrufen und Ändern von Benutzereinstellungen für ihre Umgebungen.

  • Amazon EC2 — Informieren Sie sich über mehrere Amazon VPC - und Subnetzressourcen in ihren AWS-Konto.

  • IAM— Holen Sie sich Informationen über IAM die Benutzer in ihren AWS-Konto und erstellen Sie bei Bedarf die mit dem AWS Cloud9 Service verknüpfte Rolle in ihren AWS-Konto .

  • Systems Manager — Erlaubt dem Benutzer, aufzurufen StartSession , um eine Verbindung zu einer Instanz für eine Session Manager-Sitzung herzustellen. Diese Berechtigung ist für Benutzer erforderlich, die eine Umgebung öffnen, die über Systems Manager mit ihrer EC2 Instanz kommuniziert. Weitere Informationen finden Sie unter Zugreifen auf No-Ingress-Instances mit EC2 AWS Systems Manager

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }

AWS verwaltete Richtlinie: AWSCloud9EnvironmentMember

Sie können die AWSCloud9EnvironmentMember Richtlinie an Ihre IAM Identitäten anhängen.

Diese Richtlinie gewährt membership Berechtigungen, die die Möglichkeit bieten, einer AWS Cloud9 gemeinsamen Umgebung beizutreten.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • AWS Cloud9 — Informationen über ihre Umgebungen abrufen und Benutzereinstellungen für ihre Umgebungen abrufen und ändern.

  • IAM— Rufen Sie Informationen über die IAM Benutzer in ihren Umgebungen AWS-Konto ab und erstellen Sie bei AWS-Konto Bedarf AWS Cloud9 die Rolle, die mit dem Service verknüpft ist.

  • Systems Manager — Erlaubt dem Benutzer, aufzurufen StartSession , um eine Verbindung zu einer Instanz für eine Session Manager-Sitzung herzustellen. Diese Berechtigung ist für Benutzer erforderlich, die eine Umgebung öffnen, die über Systems Manager mit ihrer EC2 Instanz kommuniziert. Weitere Informationen finden Sie unter Zugreifen auf No-Ingress-Instances mit EC2 AWS Systems Manager

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:GetUserSettings", "cloud9:UpdateUserSettings", "iam:GetUser", "iam:ListUsers" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession", "ssm:GetConnectionStatus" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] } ] }

AWS verwaltete Richtlinie: AWSCloud9ServiceRolePolicy

Die serviceverknüpfte Rolle AWSServiceRoleForAWSCloud9verwendet diese Richtlinie, um der AWS Cloud9 Umgebung die Interaktion mit Amazon EC2 und AWS CloudFormation Ressourcen zu ermöglichen.

Details zu Berechtigungen

Das AWSCloud9ServiceRolePolicygewährt den AWSServiceRoleForAWSCloud 9 die erforderlichen Berechtigungen, um mit den AWS-Services (Amazon EC2 und AWS CloudFormation) interagieren AWS Cloud9 zu können, die zum Erstellen und Ausführen von Entwicklungsumgebungen erforderlich sind.

AWS Cloud9 definiert die Rechte seiner dienstbezogenen Rollen und AWS Cloud9 kann nur seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Weitere Informationen zur AWS Cloud9 Verwendung von dienstbezogenen Rollen finden Sie unterVerwenden von serviceverknüpften Rollen für AWS Cloud9.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringLike": { "aws:RequestTag/Name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:GetInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole" ], "Condition": { "StringLike": { "iam:PassedToService": "ec2.amazonaws.com" } } } ] }

AWS Cloud9 Aktualisierungen AWS verwalteter Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS Cloud9 seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS Feed auf der Seite AWS Cloud9 Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

Eine neue Aktion AWSCloud9Administratorund AWSCloud9EnvironmentMemberRichtlinien wurden hinzugefügt. AWSCloud9User

Die ssm:GetConnectionStatus Aktion wurde zu den AWSCloud9UserAWSCloud9AdministratorAWSCloud9EnvironmentMemberRichtlinien hinzugefügt. Diese Aktion gewährt Benutzern die Berechtigung, den SSM Verbindungsstatus zu überprüfen. Das cloud9:ValidateEnvironmentName API wurde aus der AWSCloud9UserRichtlinie entfernt, da es veraltet ist.

12. Oktober 2023

APIwurde zu den Richtlinien AWSCloud9Userhinzugefügt. AWSCloud9Administrator

Zu API den AWSCloud9AdministratorRichtlinien AWSCloud9Userund wurden zwei neue hinzugefügt, API das sind ec2:DescribeInstanceTypeOfferings undec2:DescribeRouteTables. Damit soll überprüft werden, ob AWS Cloud9 das Standardsubnetz den vom Kunden bei der Erstellung einer AWS Cloud9 Umgebung ausgewählten Instance-Typ unterstützt. API

02. August 2023

Update auf AWSCloud9ServiceRolePolicy

AWSCloud9ServiceRolePolicywurde aktualisiert, um das Starten und Stoppen von EC2 Amazon-Instances AWS Cloud9 zu ermöglichen, die über License Manager Manager-Lizenzkonfigurationen verwaltet werden.

12. Januar 2022

AWS Cloud9 hat begonnen, Änderungen zu verfolgen

AWS Cloud9 hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

15. März 2021

Erstellung von vom Kunden verwalteten Richtlinien für AWS Cloud9

Wenn keine der AWS verwalteten Richtlinien Ihren Anforderungen an die Zugriffskontrolle entspricht, können Sie Ihre eigenen vom Kunden verwalteten Richtlinien erstellen und anhängen.

Informationen zum Erstellen einer vom Kunden verwalteten IAMRichtlinie finden Sie im IAMBenutzerhandbuch unter Richtlinie erstellen (Konsole).

Angabe der Richtlinienelemente: Auswirkungen, Prinzipale, Aktionen und Ressourcen

Für jede AWS Cloud9 Ressource definiert der Service eine Reihe von API Vorgängen. AWS Cloud9 Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu gewähren.

Grundlegende Richtlinienelemente:

  • Effect – Sie geben die Auswirkung (Zugriffserlaubnis oder Zugriffsablehnung) an, wenn der Benutzer die Aktion anfordert. Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten („Allow“), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass Benutzer nicht auf eine Ressource zugreifen können, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal— In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, an den die Richtlinie angehängt ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll.

  • Resource— Verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt.

  • Action – Sie verwenden Aktionsschlüsselwörter, um Ressourcenoperationen anzugeben, die Sie zulassen oder ablehnen möchten. Die cloud9:CreateEnvironmentEC2-Berechtigung erteilt dem Benutzer zum Beispiel Berechtigungen zum Ausführen der CreateEnvironmentEC2-Operation.

Weitere Informationen zur IAM Richtliniensyntax und zu den Beschreibungen finden Sie in der IAMJSONRichtlinienreferenz im IAMBenutzerhandbuch.

Eine Tabelle mit allen AWS Cloud9 API Aktionen und den Ressourcen, für die sie gelten, finden Sie unterAWS Cloud9 Referenz zu Berechtigungen.

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispiele für Richtlinien, die Berechtigungen für diverse AWS Cloud9 -Aktionen gewähren. Sie können die folgenden IAM Beispielrichtlinien anpassen, um den AWS Cloud9 Zugriff für Ihre IAM Identitäten zuzulassen oder ausdrücklich zu verweigern.

Informationen zum Erstellen oder Anhängen einer vom Kunden verwalteten Richtlinie an eine IAM Identität finden Sie unter IAM Richtlinie erstellen (Konsole) und IAMRichtlinien anhängen (Konsole) im IAMBenutzerhandbuch.

Anmerkung

In den folgenden Beispielen werden die Region USA Ost (Ohio) (us-east-2), eine fiktive AWS-Konto ID (123456789012) und eine fiktive AWS Cloud9 Entwicklungsumgebungs-ID () verwendet. 81e900317347585a0601e04c8d52eaEX

Abruf von Informationen zu Umgebungen

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, ermöglicht es dieser Entität, Informationen über jede Umgebung in ihrem Konto abzurufen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironments", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in den AWS verwalteten Richtlinien AWSCloud9Administrator und enthaltenAWSCloud9User.

EC2Umgebungen erstellen

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, ermöglicht es dieser Entität, AWS Cloud9 EC2 Entwicklungsumgebungen in ihrem Konto zu erstellen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in den AWS verwalteten Richtlinien AWSCloud9Administrator und enthaltenAWSCloud9User.

EC2Umgebungen mit bestimmten EC2 Amazon-Instance-Typen erstellen

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, AWS Cloud9 EC2 Entwicklungsumgebungen in ihrem Konto zu erstellen. EC2Umgebungen können jedoch nur die angegebene Klasse von EC2 Amazon-Instance-Typen verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t3.*" } } } ] }
Anmerkung

Wenn die AWS verwaltete Richtlinie AWSCloud9Administrator oder bereits mit der IAM Entität verknüpft AWSCloud9User ist, AWS hat diese verwaltete Richtlinie Vorrang vor dem Verhalten der vorherigen IAM Richtlinienerklärung. Dies liegt daran, dass diese AWS verwalteten Richtlinien toleranter sind.

EC2Umgebungen in bestimmten VPC Amazon-Subnetzen erstellen

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, AWS Cloud9 EC2 Entwicklungsumgebungen in ihrem Konto zu erstellen. EC2Umgebungen können jedoch nur die angegebenen VPC Amazon-Subnetze verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:SubnetId": [ "subnet-12345678", "subnet-23456789" ] } } } ] }
Anmerkung

Wenn die AWS verwaltete Richtlinie AWSCloud9Administrator oder bereits mit der IAM Entität verknüpft AWSCloud9User ist, AWS hat diese verwaltete Richtlinie Vorrang vor dem Verhalten der vorherigen IAM Richtlinienerklärung. Dies liegt daran, dass diese AWS verwalteten Richtlinien toleranter sind.

Erstellen Sie EC2 Umgebungen mit einem bestimmten Umgebungsnamen

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, ermöglicht es dieser Entität, eine AWS Cloud9 EC2 Entwicklungsumgebung in ihrem Konto zu erstellen. Die EC2 Umgebung kann jedoch nur den angegebenen Namen verwenden.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } } ] }
Anmerkung

Wenn die AWS verwaltete Richtlinie AWSCloud9Administrator oder bereits mit der IAM Entität verknüpft AWSCloud9User ist, AWS hat diese verwaltete Richtlinie Vorrang vor dem Verhalten der vorherigen IAM Richtlinienanweisung. Dies liegt daran, dass diese AWS verwalteten Richtlinien toleranter sind.

Erstellen Sie nur Umgebungen SSH

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, ermöglicht es dieser Entität, AWS Cloud9 SSH Entwicklungsumgebungen in ihrem Konto zu erstellen. Die Entität kann jedoch keine AWS Cloud9 EC2 Entwicklungsumgebungen erstellen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentSSH", "Resource": "*" }, { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }

Aktualisierung von Umgebungen oder Verhinderung der Aktualisierung einer Umgebung

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, Informationen über jede AWS Cloud9 Entwicklungsumgebung in ihrem Konto zu ändern.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironment", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in der AWS verwalteten Richtlinie enthaltenAWSCloud9Administrator.

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, verhindert ausdrücklich, dass diese Entität Informationen über die Umgebung mit dem angegebenen Amazon-Ressourcennamen (ARN) ändert.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }

Abruf von Listen von Umgebungsmitgliedern

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, eine Liste von Mitgliedern für jede Umgebung in ihrem Konto abzurufen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DescribeEnvironmentMemberships", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in der AWS verwalteten Richtlinie enthaltenAWSCloud9Administrator. Außerdem ist die vorherige Zugriffsberechtigung großzügiger als die entsprechende Zugriffsberechtigung in der AWS verwalteten Richtlinie. AWSCloud9User

Freigabe von Umgebungen nur für einen spezifischen Benutzer

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, ermöglicht es dieser Entität, eine beliebige Umgebung in ihrem Konto nur mit dem angegebenen Benutzer zu teilen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentMembership" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:UserArn": "arn:aws:iam::123456789012:user/MyDemoUser" } } } ] }
Anmerkung

Wenn die AWS verwaltete Richtlinie AWSCloud9Administrator oder bereits mit der IAM Entität verknüpft AWSCloud9User ist, setzen diese AWS verwalteten Richtlinien das Verhalten der vorherigen IAM Richtlinienerklärung außer Kraft. Dies liegt daran, dass diese AWS verwalteten Richtlinien toleranter sind.

Verhinderung der Freigabe von Umgebungen

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, verhindert, dass diese Entität eine Umgebung in ihrem Konto gemeinsam nutzt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentMembership", "cloud9:UpdateEnvironmentMembership" ], "Resource": "*" } ] }

Änderung oder Verhinderung der Änderung der Einstellungen von Umgebungsmitgliedern

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, die Einstellungen von Mitgliedern in jeder Umgebung ihres Kontos zu ändern.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in der AWS verwalteten Richtlinie enthaltenAWSCloud9Administrator.

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, verhindert ausdrücklich, dass diese Entität die Einstellungen von Mitgliedern in der Umgebung mit dem angegebenen Amazon-Ressourcennamen (ARN) ändert.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:UpdateEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }

Entfernung oder Verhinderung der Entfernung von Umgebungsmitgliedern

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, jedes Mitglied aus einer beliebigen Umgebung in ihrem Konto zu entfernen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in der AWS verwalteten Richtlinie enthaltenAWSCloud9Administrator.

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, verhindert ausdrücklich, dass diese Entität ein Mitglied mit dem angegebenen Amazon-Ressourcennamen (ARN) aus der Umgebung entfernt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironmentMembership", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }

Löschung oder Verhinderung der Löschung einer Umgebung

Die folgende beispielhafte IAM Richtlinienerklärung, die einer IAM Entität beigefügt ist, ermöglicht es dieser Entität, jede Umgebung in ihrem Konto zu löschen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloud9:DeleteEnvironment", "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in der AWS verwalteten Richtlinie enthaltenAWSCloud9Administrator.

Die folgende IAM Beispielrichtlinie, die an eine IAM Entität angehängt ist, verhindert ausdrücklich, dass diese Entität die Umgebung mit dem angegebenen Amazon-Ressourcennamen (ARN) löscht.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:DeleteEnvironment", "Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" } ] }

Benutzerdefinierte IAM Richtlinie für die Erstellung von SSM Umgebungen

Es gibt ein aktuelles Berechtigungsproblem, das auftritt, wenn eine SSM Umgebung mit den AWSCloud9User Richtlinien AWSCloud9Administrator oder erstellt wird. Wenn die folgende IAM Beispielrichtlinie an eine IAM Entität angehängt ist, können Benutzer entweder die AWS verwaltete Richtlinie AWSCloud9Administrator oder verwendenAWSCloud9User.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "iam:ListRoles", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*", "Condition": { "Null": { "cloud9:OwnerArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:GetUserPublicKey" ], "Resource": "*", "Condition": { "Null": { "cloud9:UserArn": "true" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": "ssm:StartSession", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringLike": { "ssm:resourceTag/aws:cloud9:environment": "*" }, "StringEquals": { "aws:CalledViaFirst": "cloud9.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ssm:StartSession" ], "Resource": [ "arn:aws:ssm:*:*:document/*" ] }, { "Effect": "Allow", "Action": ["iam:ListInstanceProfilesForRole", "iam:CreateRole"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"] }, { "Effect": "Allow", "Action": ["iam:AttachRolePolicy"], "Resource": ["arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"], "Condition": { "StringEquals": { "iam:PolicyARN": "arn:aws:iam::aws:policy/AWSCloud9SSMInstanceProfile" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole", "Condition": { "StringEquals": { "iam:PassedToService": "ec2.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/AWSCloud9SSMInstanceProfile" ] } ] }

AWS Cloud9 Referenz zu Berechtigungen

Sie können in Ihren AWS Cloud9 Policen allgemeine Bedingungsschlüssel verwenden AWS , um Bedingungen auszudrücken. Eine Liste finden Sie unter IAMJSONPolicy Elements: Condition im IAMBenutzerhandbuch.

Sie geben die Aktionen im Feld Action der Richtlinie an. Um eine Aktion anzugeben, verwenden Sie das cloud9: Präfix gefolgt vom Namen des API Vorgangs (z. B."Action": "cloud9:DescribeEnvironments"). Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Komma (z. B. "Action": [ "cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).

Verwendung von Platzhalterzeichen

Sie geben einenARN, mit oder ohne Platzhalterzeichen (*), als Ressourcenwert im Resource Feld der Richtlinie an. Sie können das Platzhalterzeichen verwenden, um mehrere Aktionen oder Ressourcen anzugeben. cloud9:*Gibt beispielsweise alle Aktionen an und cloud9:Describe* gibt alle AWS Cloud9 AWS Cloud9 Aktionen an, die mit Describe beginnen.

Das folgende Beispiel ermöglicht es einer IAM Entität, Informationen über Umgebungen und Umgebungsmitgliedschaften für jede Umgebung in ihrem Konto abzurufen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:Describe*" ], "Resource": "*" } ] }
Anmerkung

Die vorherige Zugriffsberechtigung ist bereits in der AWS verwalteten Richtlinie AWSCloud9Administrator enthalten. Außerdem ist die vorherige Zugriffsberechtigung freizügiger als die entsprechende Zugriffsberechtigung in der AWS verwalteten Richtlinie. AWSCloud9User

AWS Cloud9 APIOperationen und erforderliche Berechtigungen für Aktionen

Anmerkung

Sie können die folgenden Tabellen als Referenz verwenden, wenn Sie die Zugriffskontrolle einrichten und Richtlinien für Berechtigungen schreiben, die an eine IAM Identität angehängt werden sollen (identitätsbasierte Richtlinien).

In der Public API operations Tabelle sind API Vorgänge aufgeführt, die von Kunden aufgerufen werden können, die SDKs und. AWS Command Line Interface

Permission-only API operationsIn der Liste werden API Operationen aufgeführt, die nicht direkt über den Kundencode oder den AWS Command Line Interface aufgerufen werden können. IAMBenutzer benötigen jedoch Berechtigungen für diese Operationen, die aufgerufen werden, wenn AWS Cloud9 Aktionen über die Konsole ausgeführt werden.

Öffentliche API Operationen
AWS Cloud9 Betrieb Erforderliche Genehmigung (APIAktion) Ressource

CreateEnvironmentEC2

cloud9:CreateEnvironmentEC2

Erforderlich, um eine AWS Cloud9 EC2 Entwicklungsumgebung zu erstellen.

*

CreateEnvironmentMembership

cloud9:CreateEnvironmentMembership

Erforderlich zum Hinzufügen eines Mitglieds zu einer Umgebung.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

DeleteEnvironment

cloud9:DeleteEnvironment

Erforderlich, um eine Umgebung zu erstellen.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

DeleteEnvironmentMembership

cloud9:DeleteEnvironmentMembership

Erforderlich zum Entfernen eines Mitglieds aus einer Umgebung.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

DescribeEnvironmentMemberships

cloud9:DescribeEnvironmentMemberships

Erforderlich zum Abrufen einer Liste von Mitgliedern in einer Umgebung.

*

DescribeEnvironments

cloud9:DescribeEnvironments

Erforderlich zum Abrufen von Informationen über eine Umgebung.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

DescribeEnvironmentStatus

cloud9:DescribeEnvironmentStatus

Erforderlich zum Abrufen von Informationen zum Status einer Umgebung.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

UpdateEnvironment

cloud9:UpdateEnvironment

Erforderlich zum Aktualisieren von Einstellungen für eine Umgebung.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

UpdateEnvironmentMembership

cloud9:UpdateEnvironmentMembership

Erforderlich zum Aktualisieren von Einstellungen für ein Mitglied in eineUmgebung.

arn:aws:cloud9:REGION_ID:ACCOUNT_ID:environment:ENVIRONMENT_ID

Operationen nur mit Genehmigung API
AWS Cloud9 Betrieb Beschreibung Dokumentation zur Konsole

ActivateEC2Remote

cloud9:ActivateEC2Remote

Startet die EC2 Amazon-Instance, mit der Sie AWS Cloud9 IDE eine Verbindung herstellen.

Öffnen einer Umgebung in AWS Cloud9

CreateEnvironmentSSH

cloud9:CreateEnvironmentSSH

Erstellt eine AWS Cloud9 SSH Entwicklungsumgebung.

Erstellen einer SSH-Umgebung

CreateEnvironmentToken

cloud9:CreateEnvironmentToken

Erstellt ein Authentifizierungstoken, das eine Verbindung zwischen der AWS Cloud9 IDE und der Benutzerumgebung ermöglicht.

Erstellen einer EC2-Umgebung

DescribeEC2Remote

cloud9:DescribeEC2Remote

Ruft Details zur Verbindung mit der EC2 Entwicklungsumgebung ab, einschließlich Host, Benutzer und Port.

Erstellen einer EC2-Umgebung

DescribeSSHRemote

cloud9:DescribeSSHRemote

Ruft Details zur Verbindung mit der SSH Entwicklungsumgebung ab, einschließlich Host, Benutzer und Port.

Erstellen einer SSH-Umgebung

GetEnvironmentConfig

cloud9:GetEnvironmentConfig

Ruft Konfigurationsinformationen ab, die zur Initialisierung von verwendet werden. AWS Cloud9 IDE

Arbeiten mit dem AWS Cloud9 IDE

GetEnvironmentSettings

cloud9:GetEnvironmentSettings

Ruft die AWS Cloud9 IDE Einstellungen für eine angegebene Entwicklungsumgebung ab.

Arbeiten mit dem AWS Cloud9 IDE

GetMembershipSettings

cloud9:GetMembershipSettings

Ruft die AWS Cloud9 IDE Einstellungen für ein bestimmtes Umgebungsmitglied ab.

Arbeiten mit einer gemeinsamen Umgebung in AWS Cloud9

GetUserPublicKey

cloud9:GetUserPublicKey

Ruft den öffentlichen SSH Schlüssel des Benutzers ab, mit dem eine Verbindung AWS Cloud9 zu SSH Entwicklungsumgebungen hergestellt wird.

Erstellen einer SSH-Umgebung

GetUserSettings

cloud9:GetUserSettings

Ruft die AWS Cloud9 IDE Einstellungen für einen angegebenen Benutzer ab.

Arbeiten mit dem AWS Cloud9 IDE

ModifyTemporaryCredentialsOnEnvironmentEC2

cloud9:ModifyTemporaryCredentialsOnEnvironmentEC2

Legt AWS verwaltete temporäre Anmeldeinformationen für die EC2 Amazon-Instance fest, die von der AWS Cloud9 integrierten Entwicklungsumgebung (IDE) verwendet wird.

AWS verwaltete temporäre Anmeldeinformationen

UpdateEnvironmentSettings

cloud9:UpdateEnvironmentSettings

Aktualisiert die AWS Cloud9 IDE Einstellungen für eine angegebene Entwicklungsumgebung.

Arbeiten mit dem AWS Cloud9 IDE

UpdateMembershipSettings

cloud9:UpdateMembershipSettings

Aktualisiert die AWS Cloud9 IDE Einstellungen für ein bestimmtes Umgebungsmitglied.

Arbeiten mit einer gemeinsamen Umgebung in AWS Cloud9

UpdateSSHRemote

cloud9:UpdateSSHRemote

Aktualisiert Details zur Verbindung mit der SSH Entwicklungsumgebung, einschließlich Host, Benutzer und Port.

Erstellen einer SSH-Umgebung

UpdateUserSettings

cloud9:UpdateUserSettings

Aktualisiert die AWS Cloud9 IDE Einstellungen für einen angegebenen Benutzer.

Arbeiten mit dem AWS Cloud9 IDE

GetMigrationExperiences

cloud9:GetMigrationExperiences

Erteilt einem AWS Cloud9 Benutzer die Erlaubnis, die Migration von AWS Cloud9 bis abzurufen CodeCatalyst.

AWS verwaltete temporäre Anmeldeinformationen

Wenn Sie nur nach der Liste der Aktionen suchen, die AWS verwaltete temporäre Anmeldeinformationen unterstützen, fahren Sie mit fortAktionen, die von AWS verwalteten temporären Anmeldeinformationen unterstützt werden.

AWS Cloud9 Stellt Ihnen für eine AWS Cloud9 EC2 Entwicklungsumgebung temporäre AWS Zugangsdaten in der Umgebung zur Verfügung. Wir bezeichnen diese AWS -verwaltete temporäre Anmeldeinformationen. Dies bietet die folgenden Vorteile:

  • Sie müssen die permanenten AWS Zugangsdaten einer AWS Entität (z. B. eines IAM Benutzers) nirgends in der Umgebung speichern. Dadurch wird verhindert, dass Umgebungsmitglieder ohne Ihr Wissen und Ihre Genehmigung auf diese Anmeldeinformationen zugreifen.

  • Sie müssen der EC2 Amazon-Instance, die eine Verbindung zur Umgebung herstellt, kein Instance-Profil manuell einrichten, verwalten oder ihr zuordnen. Ein Instance-Profil ist ein weiterer Ansatz zur Verwaltung temporärer AWS Zugangsdaten.

  • AWS Cloud9 erneuert kontinuierlich seine temporären Anmeldeinformationen, sodass ein einziger Satz von Anmeldeinformationen nur für eine begrenzte Zeit verwendet werden kann. Dies ist eine bewährte AWS Sicherheitsmethode. Weitere Informationen finden Sie unter AWS Verwaltete temporäre Anmeldeinformationen erstellen und aktualisieren.

  • AWS Cloud9 schränkt zusätzlich ein, wie seine temporären Anmeldeinformationen für den Zugriff auf AWS Aktionen und Ressourcen aus der Umgebung verwendet werden können. Dies ist auch eine bewährte AWS Sicherheitsmethode.

Wichtig

Wenn die EC2 Instance Ihrer Umgebung in einem privaten Subnetz gestartet wird, können Sie derzeit keine AWS verwalteten temporären Anmeldeinformationen verwenden, um der EC2 Umgebung den Zugriff auf einen AWS Dienst im Namen einer AWS Entität (z. B. eines IAM Benutzers) zu ermöglichen.

Weitere Informationen darüber, wann Sie eine EC2 Instance in einem privaten Subnetz starten können, finden Sie unter. Erstellen Sie ein Subnetz für AWS Cloud9

Anmerkung

Erwägen Sie die Verwendung einer AWS verwalteten Richtlinie anstelle einer Inline-Richtlinie, wenn Sie AWS verwaltete temporäre Anmeldeinformationen verwenden.

So funktionieren AWS verwaltete temporäre Anmeldeinformationen, wenn eine EC2 Umgebung versucht, im Namen einer AWS Entität (z. B. eines IAM Benutzers) AWS-Service auf sie zuzugreifen:

  1. AWS Cloud9 prüft, ob die aufrufende AWS Entität (z. B. der IAM Benutzer) berechtigt ist, die angeforderte Aktion für die angeforderte Ressource auszuführen AWS. Wenn die Berechtigung nicht vorhanden ist oder explizit abgelehnt wird, schlägt die Anforderung fehl.

  2. AWS Cloud9 überprüft die AWS verwalteten temporären Anmeldeinformationen, um festzustellen, ob ihre Berechtigungen die angeforderte Aktion für die angeforderte Ressource zulassen AWS. Wenn die Berechtigung nicht vorhanden ist oder explizit abgelehnt wird, schlägt die Anforderung fehl. Eine Liste der Berechtigungen, die AWS verwaltete temporäre Anmeldeinformationen unterstützen, finden Sie unterAktionen, die von AWS verwalteten temporären Anmeldeinformationen unterstützt werden.

  • Wenn sowohl die AWS Entität als auch die AWS verwalteten temporären Anmeldeinformationen die angeforderte Aktion für die angeforderte Ressource zulassen, ist die Anfrage erfolgreich.

  • Wenn entweder die AWS Entität oder die AWS verwalteten temporären Anmeldeinformationen die angeforderte Aktion für die angeforderte Ressource explizit verweigern oder nicht zulassen, schlägt die Anforderung fehl. Das heißt, selbst wenn die aufrufende AWS Entität über die richtigen Berechtigungen verfügt, schlägt die Anfrage fehl, wenn sie AWS Cloud9 nicht auch explizit zugelassen wird. Ebenso schlägt die Anfrage fehl, wenn sie AWS Cloud9 erlaubt, eine bestimmte Aktion für eine bestimmte Ressource auszuführen, wenn die AWS Entität dies nicht auch ausdrücklich zulässt.

Der Besitzer einer EC2 Umgebung kann AWS verwaltete temporäre Anmeldeinformationen für diese Umgebung jederzeit wie folgt aktivieren oder deaktivieren:

  1. Wählen AWS Cloud9 Sie bei geöffneter Umgebung in der AWS Cloud9 IDE Menüleiste Einstellungen aus.

  2. Wählen Sie auf der Registerkarte Preferences (Einstellungen) im Navigationsbereich AWS Settings, Credentials (-Einstellungen, Anmeldeinformationen) aus.

  3. Verwenden Sie AWS managed temporary credentials (von verwaltete temporäre Anmeldeinformationen), um AWS zu aktivieren oder zu deaktivieren.

Anmerkung

Sie können AWS verwaltete temporäre Anmeldeinformationen auch aktivieren oder deaktivieren, indem Sie den AWS Cloud9 API Vorgang aufrufen UpdateEnvironmentund dem managedCredentialsAction Parameter einen Wert zuweisen. Sie können diesen API Vorgang mit AWS Standardtools wie AWS SDKs und dem AWS CLI anfordern.

Wenn Sie AWS verwaltete temporäre Anmeldeinformationen deaktivieren, kann die Umgebung nicht auf diese zugreifen AWS-Services, unabhängig von der AWS Entität, die die Anforderung stellt. Nehmen wir jedoch an, dass Sie AWS verwaltete temporäre Anmeldeinformationen für eine Umgebung nicht aktivieren können oder wollen und Sie trotzdem auf die Umgebung zugreifen müssen AWS-Services. Sehen Sie sich in diesem Fall die folgenden Alternativen an:

Die oben genannten Alternativen setzen alle Berechtigungen außer Kraft, die durch AWS verwaltete temporäre Anmeldeinformationen in einer EC2 Umgebung zugelassen (oder verweigert) werden.

Aktionen, die von AWS verwalteten temporären Anmeldeinformationen unterstützt werden

In einer AWS Cloud9 EC2 Entwicklungsumgebung ermöglichen AWS verwaltete temporäre Anmeldeinformationen alle AWS Aktionen für alle AWS Ressourcen im Aufrufer AWS-Konto, mit den folgenden Einschränkungen:

  • Denn AWS Cloud9 nur die folgenden Aktionen sind zulässig:

    • cloud9:CreateEnvironmentEC2

    • cloud9:CreateEnvironmentSSH

    • cloud9:DescribeEnvironmentMemberships

    • cloud9:DescribeEnvironments

    • cloud9:DescribeEnvironmentStatus

    • cloud9:UpdateEnvironment

  • Denn IAM nur die folgenden Aktionen sind zulässig:

    • iam:AttachRolePolicy

    • iam:ChangePassword

    • iam:CreatePolicy

    • iam:CreatePolicyVersion

    • iam:CreateRole

    • iam:CreateServiceLinkedRole

    • iam:DeletePolicy

    • iam:DeletePolicyVersion

    • iam:DeleteRole

    • iam:DeleteRolePolicy

    • iam:DeleteSSHPublicKey

    • iam:DetachRolePolicy

    • iam:GetInstanceProfile

    • iam:GetPolicy

    • iam:GetPolicyVersion

    • iam:GetRole

    • iam:GetRolePolicy

    • iam:GetSSHPublicKey

    • iam:GetUser

    • iam:List*

    • iam:PassRole

    • iam:PutRolePolicy

    • iam:SetDefaultPolicyVersion

    • iam:UpdateAssumeRolePolicy

    • iam:UpdateRoleDescription

    • iam:UpdateSSHPublicKey

    • iam:UploadSSHPublicKey

  • Alle IAM Aktionen, die mit Rollen interagieren, sind nur für Rollennamen zulässig, die mit beginnenCloud9-. Allerdings funktioniert iam:PassRole mit allen Rollennamen.

  • Für AWS Security Token Service (AWS STS) sind nur die folgenden Aktionen zulässig:

    • sts:GetCallerIdentity

    • sts:DecodeAuthorizationMessage

  • Alle unterstützten AWS Aktionen sind auf die IP-Adresse der Umgebung beschränkt. Dies ist eine bewährte AWS Sicherheitsmethode.

Wenn eine Aktion oder Ressource, für deren Zugriff Sie eine EC2 Umgebung benötigen, AWS Cloud9 nicht unterstützt wird, oder wenn AWS verwaltete temporäre Anmeldeinformationen für eine EC2 Umgebung deaktiviert sind und Sie sie nicht wieder aktivieren können, sollten Sie die folgenden Alternativen in Betracht ziehen:

Die oben genannten Alternativen setzen alle Berechtigungen außer Kraft, die durch AWS verwaltete temporäre Anmeldeinformationen in einer EC2 Umgebung zugelassen (oder verweigert) werden.

AWS Verwaltete temporäre Anmeldeinformationen erstellen und aktualisieren

Für eine AWS Cloud9 EC2 Entwicklungsumgebung werden AWS verwaltete temporäre Anmeldeinformationen erstellt, wenn Sie die Umgebung zum ersten Mal öffnen.

AWS verwaltete temporäre Anmeldeinformationen werden unter einer der folgenden Bedingungen aktualisiert:

  • Wenn eine bestimmte Zeit abgelaufen ist. Zurzeit erfolgt dies alle fünf Minuten.

  • Jedes Mal, wenn Sie die Webbrowser-Registerkarte neu laden, auf der das IDE für die Umgebung angezeigt wird.

  • Wenn der Zeitstempel in der ~/.aws/credentials-Datei für die Umgebung erreicht ist.

  • Falls die Einstellung AWS managed temporary credentials (von verwaltete temporäre Anmeldeinformationen) auf „aus” festgelegt ist, wenn Sie sie wieder aktivieren. (Um diese Einstellung anzuzeigen oder zu ändern AWS Cloud9, wählen Sie „Einstellungen“ in der Menüleiste von. IDE Wählen Sie auf der Registerkarte „Einstellungen“ im Navigationsbereich die Optionen „AWS Einstellungen“ und „Anmeldeinformationen“ aus.)

  • Aus Sicherheitsgründen laufen AWS verwaltete temporäre Anmeldeinformationen automatisch nach 15 Minuten ab. Damit die Anmeldeinformationen aktualisiert werden können, muss der Eigentümer der Umgebung über den mit der AWS Cloud9 Umgebung verbunden sein. IDE Weitere Informationen zur Rolle des Umgebungsbesitzers finden Sie unter Steuern des Zugriffs auf AWS -verwaltete temporäre Anmeldeinformationen.

Steuern des Zugriffs auf AWS -verwaltete temporäre Anmeldeinformationen

Ein Mitarbeiter mit AWS verwalteten temporären Anmeldeinformationen kann diese verwenden AWS Cloud9 , um mit anderen zu interagieren. AWS-Services Um sicherzustellen, dass nur vertrauenswürdige Mitarbeiter mit AWS -verwalteten temporäre Anmeldeinformationen werden diese Anmeldeinformationen deaktiviert, wenn ein neues Mitglied von einem anderen Benutzer als dem Umgebungseigentümer hinzugefügt wird. Die Anmeldeinformationen werden durch das Löschen der Datei ~/.aws/credentialsdeaktiviert.

Wichtig

AWS verwaltete temporäre Anmeldeinformationen laufen ebenfalls automatisch alle 15 Minuten ab. Damit die Anmeldeinformationen aktualisiert werden können, sodass Mitarbeiter sie weiterhin verwenden können, muss der Eigentümer der Umgebung über die mit der AWS Cloud9 Umgebung verbunden sein. IDE

Nur der Eigentümer der Umgebung kann AWS verwaltete temporäre Anmeldeinformationen wieder aktivieren, sodass sie mit anderen Mitgliedern geteilt werden können. Wenn der Eigentümer der Umgebung das öffnetIDE, bestätigt ein Dialogfeld, dass die AWS verwalteten temporären Anmeldeinformationen deaktiviert sind. Der Umgebungsbesitzer kann die Anmeldeinformationen für alle Mitglieder erneut aktivieren oder für alle Mitglieder deaktiviert lassen.

Warnung

Um bewährte Sicherheitsmethoden einzuhalten, halten Sie die verwalteten temporären Anmeldeinformationen deaktiviert, wenn Sie sich über die Identität des zuletzt zur Umgebung hinzugefügten Benutzers nicht sicher sind. Sie können die Liste der Mitglieder mit Lese-/Schreibberechtigungen imZusammenarbeiten-Fenster.