AWS Cloud9 ist für Neukunden nicht mehr verfügbar. Bestehende Kunden von AWS Cloud9 können den Dienst weiterhin wie gewohnt nutzen. [Weitere Informationen](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zusätzliche Einrichtungsoptionen für AWS Cloud9
In diesem Thema wird davon ausgegangen, dass Sie die Einrichtungsschritte in [Team-Einrichtung](setup.md) oder [Enterprise-Einrichtung](setup-enterprise.md) bereits abgeschlossen haben.
In [Team Setup](setup.md) oder [Enterprise Setup](setup-enterprise.md) haben Sie Gruppen erstellt und diesen Gruppen direkt AWS Cloud9 Zugriffsberechtigungen hinzugefügt. Dadurch wird sichergestellt, dass Benutzer in diesen Gruppen auf AWS Cloud9 zugreifen können. In diesem Thema fügen Sie weitere Zugriffsberechtigungen hinzu, um die Arten von Umgebungen einzuschränken, die Benutzer in diesen Gruppen erstellen können. Dies kann dazu beitragen, die Kosten AWS Cloud9 im Zusammenhang mit AWS Konten und Organisationen zu kontrollieren.
Zum Hinzufügen dieser Zugriffsberechtigungen erstellen Sie Ihre eigenen Richtlinien, die die AWS -Zugriffsberechtigungen definieren, die Sie durchsetzen möchten. Wir bezeichnen jede dieser Richtlinien als eine *vom Kunden verwaltete Richtlinie*. Dann fügen Sie diese vom Kunden verwalteten Richtlinien an die Gruppen an, zu denen die Benutzer gehören. In einigen Szenarien müssen Sie auch bestehende AWS verwaltete Richtlinien trennen, die diesen Gruppen bereits zugeordnet sind. Um dies einzurichten, führen Sie die Schritte in diesem Thema aus.
**Anmerkung**
Die folgenden Verfahren behandeln das Anhängen und Trennen von Richtlinien nur für AWS Cloud9 Benutzer. Bei diesen Verfahren wird davon ausgegangen, dass Sie bereits über eine separate AWS Cloud9 Benutzer- und AWS Cloud9 Administratorgruppe verfügen. Außerdem wird vorausgesetzt, dass Sie nur eine begrenzte Anzahl von Benutzern in der AWS Cloud9 -Administratorgruppe konfiguriert haben. Diese bewährte AWS Sicherheitsmethode kann Ihnen helfen, Probleme beim AWS Ressourcenzugriff besser zu kontrollieren, nachzuverfolgen und zu beheben.
## Schritt 1: Erstellen einer vom Kunden verwalteten Richtlinie
Sie können eine vom Kunden verwaltete Richtlinie mit der [AWS-Managementkonsole](#setup-teams-create-policy-console) oder [AWS -Befehlszeilenschnittstelle (AWS CLI)](#setup-teams-create-policy-cli) erstellen.
**Anmerkung**
Dieser Schritt umfasst das Erstellen einer vom Kunden verwalteten Richtlinie für IAM-Gruppen. Um einen benutzerdefinierten Berechtigungssatz für Gruppen in zu erstellen AWS IAM Identity Center, überspringen Sie diesen Schritt und folgen Sie den Anweisungen [unter Berechtigungssatz erstellen](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset) im *AWS IAM Identity Center Benutzerhandbuch*. Befolgen Sie in diesem Thema die Anweisungen zum Erstellen eines benutzerdefinierten Berechtigungssatzes. Weitere Informationen zu benutzerdefinierten Berechtigungsrichtlinien finden Sie unter [Beispiele für vom Kunden verwaltete Richtlinien für Teams, die AWS Cloud9 verwenden](setup-teams-policy-examples.md) später in diesem Thema.
### Schritt 1.1: Erstellen Sie mithilfe der Konsole eine vom Kunden verwaltete Richtlinie
1. Melden Sie sich bei der an AWS-Managementkonsole, falls Sie noch nicht angemeldet sind.
Wir empfehlen Ihnen, sich mit Anmeldeinformationen eines Administratorbenutzers bei Ihrem AWS-Konto anzumelden. Wenn Sie das nicht tun können, wenden Sie sich an Ihren AWS-Konto Administrator.
1. Öffnen Sie die IAM-Konsole. Wählen Sie dazu in der Navigationsleiste der Konsole die Option **Services** aus. Wählen Sie anschließend **IAM**.
1. Wählen Sie im Navigationsbereich des Services **Policies (Richtlinien)** aus.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Fügen Sie in der Registerkarte **JSON** eines unserer empfohlenen [Beispiele für vom Kunden verwaltete Richtlinien](setup-teams-policy-examples.md) ein.
**Anmerkung**
Zudem können Sie Ihre eigenen vom Kunden verwalteten Richtlinien erstellen. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch* und in der [Dokumentation](https://aws.amazon.com/documentation/) des AWS-Service s.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie auf der Seite **Review policy (Richtlinie überprüfen)** einen **Name (Namen)** und eine optionale **Description (Beschreibung)** für die Richtlinie ein. Wählen Sie anschließend **Create policy (Richtlinie erstellen)** aus.
Wiederholen Sie diesen Schritt für jede weitere vom Kunden verwaltete Richtlinie, die Sie erstellen möchten. Fahren Sie dann mit dem Schritt [Hinzufügen von vom Kunden verwaltete Richtlinien zu einer Gruppe mithilfe der Konsole](#setup-teams-add-policy-console) fort.
### Schritt 1.2: Erstellen Sie eine vom Kunden verwaltete Richtlinie mithilfe der AWS CLI
1. Erstellen Sie auf dem Computer AWS CLI, auf dem Sie die ausführen, eine Datei zur Beschreibung der Richtlinie (z. B.`policy.json`).
Wenn Sie die Datei mit einem anderen Dateinamen erstellen, muss dieser in dieser gesamten Anleitung verwendet werden.
1. Fügen Sie eines unserer vorgeschlagenen [Beispiele für vom Kunden verwaltete Richtlinie](setup-teams-policy-examples.md) in die `policy.json`-Datei ein.
**Anmerkung**
Zudem können Sie Ihre eigenen vom Kunden verwalteten Richtlinien erstellen. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch* und in der [Dokumentation](https://aws.amazon.com/documentation/) des AWS -Services.
1. Wechseln Sie im Terminal oder in der Eingabeaufforderung zum Verzeichnis mit der `policy.json`-Datei.
1. Führen Sie den IAM-`create-policy`-Befehl aus und geben Sie einen Namen für die Richtlinie und die `policy.json`-Datei an.
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
Ersetzen Sie im vorherigen Befehl `MyPolicy` durch einen Namen für die Richtlinie.
Fahren Sie fort mit dem [Hinzufügen von kundenverwalteten Richtlinien zu einer Gruppe mithilfe von AWS CLI](#setup-teams-add-policy-cli).
## Schritt 2: Hinzufügen von kundenverwalteten Richtlinien zu einer Gruppe
Sie können vom Kunden verwaltete Richtlinie mit der [AWS-Managementkonsole](#setup-teams-add-policy-console) oder der [AWS -Befehlszeilenschnittstelle (AWS CLI)](#setup-teams-add-policy-cli) zu einer Gruppe hinzufügen. Weitere Informationen finden Sie unter [Beispiele für vom Kunden verwaltete Richtlinien für Teams](setup-teams-policy-examples.md), die AWS Cloud9
**Anmerkung**
Dieser Schritt umfasst nur das Hinzufügen von durch Kunden verwalteten Richtlinien zu IAM-Gruppen. Um Gruppen in benutzerdefinierte Berechtigungssätze hinzuzufügen AWS IAM Identity Center, überspringen Sie diesen Schritt und folgen Sie stattdessen den Anweisungen [unter AWS IAM Identity Center Benutzerzugriff zuweisen](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers) *im Benutzerhandbuch*.
### Schritt 2.1: Fügen Sie mithilfe der Konsole vom Kunden verwaltete Richtlinien zu einer Gruppe hinzu
1. Wählen Sie mit der aus dem vorherigen Schritt geöffneten IAM-Konsole im Navigationsbereich des Services **Gruppen** aus.
1. Wählen Sie den Namen der Gruppe.
1. Wählen Sie auf der Registerkarte **Permissions (Berechtigungen)** für **Managed Policies (Verwaltete Richtlinien)** die Option **Attach Policy (Richtlinie anfügen)** aus.
1. Aktivieren Sie in der Liste der Richtliniennamen das Kontrollkästchen neben den einzelnen vom Kunden verwalteten Richtlinien, die Sie der Gruppe anfügen möchten. Wenn Sie keinen bestimmten Richtliniennamen in der Liste sehen, geben Sie den Richtliniennamen im Feld **Filter** ein, um ihn anzuzeigen.
1. Wählen Sie **Richtlinie anfügen** aus.
### Schritt 2.2: Fügen Sie einer Gruppe mithilfe der vom Kunden verwaltete Richtlinien hinzu AWS CLI
**Anmerkung**
Wenn Sie [AWS verwaltete temporäre Anmeldeinformationen](security-iam.md#auth-and-access-control-temporary-managed-credentials) verwenden, können Sie keine Terminalsitzung in der AWS Cloud9 IDE verwenden, um einige oder alle Befehle in diesem Abschnitt auszuführen. Um den bewährten AWS Sicherheitsmethoden Rechnung zu AWS tragen, lassen verwaltete temporäre Anmeldeinformationen die Ausführung einiger Befehle nicht zu. Stattdessen können Sie diese Befehle von einer separaten Installation von AWS Command Line Interface (AWS CLI) aus ausführen.
Führen Sie den IAM-`attach-group-policy`-Befehl aus und geben Sie den Namen der Gruppe und den Amazon Resource Name (ARN) der Richtlinie an.
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
Ersetzen Sie im vorherigen Befehl `MyGroup` durch den Namen der Gruppe. `123456789012`Ersetzen Sie es durch die AWS Konto-ID. Ersetzen Sie `MyPolicy` durch den Namen der vom Kunden verwalteten Richtlinie.
## Nächste Schritte
****
| **Aufgabe** | **Weitere Informationen finden Sie in diesem Thema** |
| --- | --- |
| Erstellen Sie eine AWS Cloud9 Entwicklungsumgebung und verwenden Sie dann die AWS Cloud9 IDE, um mit Code in Ihrer neuen Umgebung zu arbeiten. | [Erstellen einer Umgebung](create-environment.md) |
| Erfahren Sie, wie Sie die AWS Cloud9 IDE verwenden. | [Erste Schritte: grundlegende Tutorials](tutorials-basic.md) und [Arbeiten mit der IDE](ide.md) |
| Laden Sie andere Benutzer ein, die neue Umgebung in Echtzeit und mit Text-Chat-Unterstützung mit Ihnen gemeinsam zu nutzen. | [Arbeiten mit gemeinsamen Umgebungen](share-environment.md) |
# Beispiele für vom Kunden verwaltete Richtlinien für Teams, die AWS Cloud9
Im Folgenden finden Sie einige Beispiele für Richtlinien, die Sie verwenden können, um die Umgebungen zu beschränken, die Benutzer in einer Gruppe in einem AWS-Konto erstellen können.
+ [Benutzer einer Gruppe am Erstellen von Umgebungen hindern](#setup-teams-policy-examples-prevent-environments)
+ [Benutzer einer Gruppe am Erstellen von EC2-Umgebungen hindern](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Zulassen, dass Benutzer in einer Gruppe EC2-Umgebungen nur mit bestimmten Instance-Typen von Amazon-EC2 erstellen können](#setup-teams-policy-examples-specific-instance-types)
+ [Erlauben Sie Benutzern in einer Gruppe, nur eine einzige EC2-Umgebung pro AWS Region zu erstellen](#setup-teams-policy-examples-single-ec2-environment)
## Benutzer einer Gruppe am Erstellen von Umgebungen hindern
Die folgende, vom Kunden verwaltete Richtlinie verhindert, dass diese Benutzer Umgebungen in einer AWS-Konto Benutzergruppe erstellen. AWS Cloud9 Dies ist nützlich, wenn Sie möchten, dass ein Administratorbenutzer in Ihrer Nähe AWS-Konto die Erstellung von Umgebungen verwaltet. Andernfalls tun dies Benutzer in einer AWS Cloud9 Benutzergruppe.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
Die vorherige vom Kunden verwaltete Richtlinie hat `"Resource": "*"` in der verwalteten Richtlinie, die bereits mit der AWS Cloud9 Benutzergruppe `AWSCloud9User` verknüpft ist, ausdrücklich Vorrang vor „`"Effect": "Allow"`for“ `"Action": "cloud9:CreateEnvironmentEC2"` und „`"cloud9:CreateEnvironmentSSH"`on“.
## Benutzer einer Gruppe am Erstellen von EC2-Umgebungen hindern
Die folgende vom Kunden verwaltete Richtlinie verhindert, wenn sie einer AWS Cloud9 Benutzergruppe zugeordnet ist, diese Benutzer daran, EC2-Umgebungen in einer zu erstellen. AWS-Konto Dies ist nützlich, wenn Sie möchten, dass ein Administratorbenutzer in Ihrer Nähe AWS-Konto die Erstellung von EC2-Umgebungen verwaltet. Andernfalls tun dies Benutzer in einer AWS Cloud9 Benutzergruppe. Dies setzt voraus, dass Sie nicht auch eine Richtlinie angefügt haben, die Benutzer in dieser Gruppe am Erstellen von SSH-Umgebungen hindert. Andernfalls können diese Benutzer keine Umgebungen erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
Die vorherige vom Kunden verwaltete Richtlinie setzt ausdrücklich den `"Effect": "Allow"` Wert `"Action": "cloud9:CreateEnvironmentEC2"` on `"Resource": "*"` in der `AWSCloud9User` verwalteten Richtlinie außer Kraft, die der AWS Cloud9 Benutzergruppe bereits zugeordnet ist.
## Zulassen, dass Benutzer in einer Gruppe EC2-Umgebungen nur mit bestimmten Instance-Typen von Amazon-EC2 erstellen können
Die folgende vom Kunden verwaltete Richtlinie ermöglicht es AWS Cloud9 Benutzern in der Benutzergruppe, EC2-Umgebungen zu erstellen, in denen nur Instance-Typen verwendet werden, die mit `t2` in an beginnen. AWS-Konto Diese Richtlinie setzt voraus, dass Sie nicht auch eine Richtlinie angefügt haben, die Benutzer in dieser Gruppe am Erstellen von EC2-Umgebungen hindert. Andernfalls können diese Benutzer keine EC2-Umgebungen erstellen.
Sie können `"t2.*"` in der folgenden Richtlinie mit einer anderen Instance-Klasse ersetzen (z. B. `"m4.*"`). Oder Sie können sie auf mehrere Instance-Klassen und Instance-Typen beschränken (z. B. `[ "t2.*", "m4.*" ]` oder `[ "t2.micro", "m4.large" ]`).
Bei einer AWS Cloud9 Benutzergruppe trennen Sie die `AWSCloud9User` verwaltete Richtlinie von der Gruppe. Fügen Sie dann die folgende vom Kunden verwaltete Richtlinie an ihrer Stelle hinzu. Wenn Sie die von `AWSCloud9User` verwaltete Richtlinie nicht trennen, hat die folgende vom Kunden verwaltete Richtlinie keine Wirkung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
Die vorhergehende vom Kunden verwaltete Richtlinie erlaubt den Benutzern auch das Erstellen von SSH-Umgebungen. Um diese Benutzer komplett am Erstellen von SSH-Umgebungen zu hindern, entfernen Sie `"cloud9:CreateEnvironmentSSH",` aus der vorhergehenden vom Kunden verwalteten Richtlinie.
## Erlauben Sie Benutzern in einer Gruppe, jeweils nur eine einzige EC2-Umgebung zu erstellen AWS-Region
Wenn die folgende, vom Kunden verwaltete Richtlinie einer AWS Cloud9 Benutzergruppe zugeordnet ist, kann jeder dieser Benutzer maximal eine EC2-Umgebung in jeder Umgebung erstellen AWS-Region , die in verfügbar AWS Cloud9 ist. Dies geschieht, indem der Name der Umgebung auf einen bestimmten Namen in dieser AWS-Region beschränkt wird. In diesem Beispiel ist die Umgebung auf `my-demo-environment` beschränkt.
**Anmerkung**
AWS Cloud9 ermöglicht es nicht, Umgebungen auf die Erstellung bestimmter AWS-Regionen Umgebungen zu beschränken. AWS Cloud9 ermöglicht auch nicht die Beschränkung der Gesamtzahl der Umgebungen, die erstellt werden können. Die einzige Ausnahme sind die veröffentlichten [Servicelimits](limits.md).
Trennen Sie für eine AWS Cloud9 Benutzergruppe die `AWSCloud9User` verwaltete Richtlinie von der Gruppe und fügen Sie an ihrer Stelle die folgende vom Kunden verwaltete Richtlinie hinzu. Wenn Sie die von `AWSCloud9User` verwaltete Richtlinie nicht trennen, hat die folgende vom Kunden verwaltete Richtlinie keine Wirkung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
Die vorhergehende vom Kunden verwaltete Richtlinie erlaubt den Benutzern das Erstellen von SSH-Umgebungen. Um diese Benutzer komplett am Erstellen von SSH-Umgebungen zu hindern, entfernen Sie `"cloud9:CreateEnvironmentSSH",` aus der vorhergehenden vom Kunden verwalteten Richtlinie.
Weitere Beispiele finden Sie unter [Beispiele für vom Kunden verwaltete Richtlinien](security-iam.md#auth-and-access-control-customer-policies-examples).