AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Identity and Access Management para AWS Cloud9
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede autenticarse (iniciar sesión) y quién puede autorizarse (tener permisos) para usar los recursos. AWS Cloud9 La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
Temas
Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
-
Usuario del servicio: solicite permisos al administrador si no puede acceder a las características (consulte Solución de problemas de AWS Cloud9 identidad y acceso)
-
Administrador del servicio: determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte ¿Cómo AWS Cloud9 funciona con IAM)
-
Administrador de IAM: escriba políticas para administrar el acceso (consulte Ejemplos de políticas basadas en identidades de AWS Cloud9)
Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte Cómo iniciar sesión en la Cuenta de AWS en la Guía del usuario de AWS Sign-In .
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte AWS Signature Version 4 para solicitudes de API en la Guía del usuario de IAM.
Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada usuario Cuenta de AWS raíz que tiene acceso completo a todos Servicios de AWS los recursos. Recomendamos encarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.
Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una identidad federada es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, le recomendamos AWS IAM Identity Center. Para obtener más información, consulte ¿Qué es el Centro de identidades de IAM? en la Guía del usuario de AWS IAM Identity Center .
Usuarios y grupos de IAM
Un usuario de IAM es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales a largo plazo. Para obtener más información, consulte Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales en la Guía del usuario de IAM.
Un grupo de IAM especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.
Roles de IAM
Un rol de IAM es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol cambiando de un rol de usuario a uno de IAM (consola) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte Métodos para asumir un rol en la Guía del usuario de IAM.
Las funciones de IAM son útiles para el acceso de usuarios federados, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon. EC2 Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
Administración de acceso mediante políticas
El acceso se controla creando políticas y AWS adjuntándolas a identidades o recursos. AWS Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de política JSON, consulte Información general de políticas JSON en la Guía del usuario de IAM.
Mediante políticas, los administradores especifican quién tiene acceso a qué definiendo qué entidad principal puede realizar acciones sobre qué recursos y en qué condiciones.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a los roles, que luego los usuarios pueden asumir. Las políticas de IAM definen permisos independientemente del método utilizado para realizar la operación.
Políticas basadas en identidades
Las políticas basadas en identidad son documentos JSON de políticas de permisos que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Las políticas basadas en la identidad pueden ser políticas integradas (incrustadas directamente en una sola identidad) o políticas administradas (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte Elegir entre políticas administradas y políticas insertadas en la Guía del usuario de IAM.
Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe especificar una entidad principal en una política en función de recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
-
Límites de permisos: establecen los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. Para obtener más información, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
-
Políticas de control de servicios (SCPs): especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations .
-
Políticas de control de recursos (RCPs): establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte Políticas de control de recursos (RCPs) en la Guía del AWS Organizations usuario.
-
Políticas de sesión: políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para más información, consulte Políticas de sesión en la Guía del usuario de IAM.
Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la lógica de evaluación de políticas en la Guía del usuario de IAM.
¿Cómo AWS Cloud9 funciona con IAM
Antes de utilizar IAM para gestionar el acceso AWS Cloud9, infórmese sobre las funciones de IAM disponibles para su uso. AWS Cloud9
| Característica de IAM | AWS Cloud9 soporte |
|---|---|
|
Sí |
|
|
No |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
No |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
Para obtener una visión general de cómo AWS Cloud9 funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte AWS los servicios que funcionan con IAM en la Guía del usuario de IAM.
Políticas basadas en la identidad para AWS Cloud9
Compatibilidad con las políticas basadas en identidad: sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
Ejemplos de políticas basadas en la identidad para AWS Cloud9
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Políticas basadas en recursos incluidas AWS Cloud9
Admite políticas basadas en recursos: no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
AWS Cloud9 no admite políticas basadas en recursos, pero aún puede controlar los permisos de los recursos del entorno para los miembros del AWS Cloud9 entorno a través de la AWS Cloud9 API y el AWS Cloud9 IDE. AWS Cloud9
Acciones políticas para AWS Cloud9
Compatibilidad con las acciones de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS Cloud9 acciones, consulte las acciones definidas AWS Cloud9 en la Referencia de autorización del servicio.
Las acciones políticas AWS Cloud9 utilizan el siguiente prefijo antes de la acción:
account
Para especificar varias acciones en una única instrucción, sepárelas con comas.
"Action": [ "account:action1", "account:action2" ]
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Recursos de políticas para AWS Cloud9
Compatibilidad con los recursos de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Para las acciones que no admiten permisos por recurso, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Para ver una lista de los tipos de AWS Cloud9 recursos y sus tipos ARNs, consulte los recursos definidos AWS Cloud9 en la Referencia de autorización de servicios. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte Acciones definidas por AWS Cloud9.
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
Claves de condición de la política para AWS Cloud9
Compatibilidad con claves de condición de políticas específicas del servicio: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Condition especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puedes crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
Para ver una lista de claves de AWS Cloud9 condición, consulte las claves de condición AWS Cloud9 en la Referencia de autorización de servicio. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por AWS Cloud9.
Para ver ejemplos de políticas AWS Cloud9 basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS Cloud9
ACLs in AWS Cloud9
Soporta ACLs: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
ABAC con AWS Cloud9
Admite ABAC (etiquetas en las políticas): sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es Sí para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es Parcial.
Para obtener más información sobre ABAC, consulte Definición de permisos con la autorización de ABAC en la Guía del usuario de IAM. Para ver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos (ABAC) en la Guía del usuario de IAM.
Utilizar credenciales temporales con AWS Cloud9
Compatibilidad con credenciales temporales: sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte Credenciales de seguridad temporales en IAM y Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM.
Sesiones de acceso directo para AWS Cloud9
Admite sesiones de acceso directo (FAS): sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información detallada sobre las políticas a la hora de realizar solicitudes de FAS, consulte Forward access sessions.
Roles de servicio para AWS Cloud9
Compatibilidad con roles de servicio: sí
Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
aviso
Cambiar los permisos de una función de servicio podría afectar a la AWS Cloud9 funcionalidad. Edite las funciones de servicio solo cuando se AWS Cloud9 proporcionen instrucciones para hacerlo.
Funciones vinculadas al servicio para AWS Cloud9
Admite roles vinculados a servicios: sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puedes ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta Servicios de AWS que funcionan con IAM. Busque un servicio en la tabla que incluya Yes en la columna Rol vinculado a un servicio. Seleccione el vínculo Sí para ver la documentación acerca del rol vinculado a servicios para ese servicio.
Ejemplos de políticas basadas en identidades de AWS Cloud9
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Cloud9 . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM (consola) en la Guía del usuario de IAM.
Para obtener más información sobre las acciones y los tipos de recursos definidos AWS Cloud9, incluido el formato de cada uno de los tipos de recursos, consulte las claves de condición, recursos y acciones de la Referencia AWS Cloud9 de autorización de servicios. ARNs
Temas
Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Cloud9 recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de tarea en la Guía de usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Validación de políticas con el Analizador de acceso de IAM en la Guía del usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte Acceso seguro a la API con MFA en la Guía del usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Mediante la consola de AWS Cloud9
Para acceder a la AWS Cloud9 consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Cloud9 recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Cloud9 consola, adjunte también la política ReadOnlyConsoleAccess
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Solución de problemas de AWS Cloud9 identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con un AWS Cloud9 IAM.
Temas
No estoy autorizado a realizar ninguna acción en AWS Cloud9
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM mateojackson intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio my-example-widgetawes:.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidgeton resource:my-example-widget
En este caso, la política del usuario mateojackson debe actualizarse para permitir el acceso al recurso my-example-widgetawes:.GetWidget
Si necesita ayuda, póngase en contacto con su AWS administrador. El gestionador es la persona que le proporcionó las credenciales de inicio de sesión.
No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción iam:PassRole, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Cloud9.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intenta utilizar la consola para realizar una acción en AWS Cloud9. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción iam:PassRole.
Si necesita ayuda, póngase en contacto con su AWS administrador. El gestionador es la persona que le proporcionó las credenciales de inicio de sesión.
Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Cloud9 recursos
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
-
Para saber si AWS Cloud9 es compatible con estas funciones, consulte. ¿Cómo AWS Cloud9 funciona con IAM
-
Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en la Guía del usuario de IAM.
-
Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros en la Guía del usuario de IAM.
-
Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulta Proporcionar acceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.
-
Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
¿Cómo AWS Cloud9 funciona con los recursos y las operaciones de IAM
AWS Identity and Access Management se utiliza para gestionar los permisos que permiten trabajar tanto con entornos de AWS Cloud9 desarrollo como con otros Servicios de AWS recursos.
AWS Cloud9 recursos y operaciones
En AWS Cloud9, el recurso principal es un entorno de AWS Cloud9 desarrollo. En las políticas se emplean nombres de recurso de Amazon (ARN) para identificar los recursos a los que se aplican las políticas. En la siguiente tabla se muestra el entorno ARNs. Para obtener más información, consulte Amazon Resource Names (ARNs) y AWS Service Namespaces en. Referencia general de Amazon Web Services
| Tipo de recurso | Formato de ARN |
|---|---|
|
Entorno |
|
|
Todos los entornos propiedad de la cuenta especificada en la Región de AWS determinada |
|
|
Todos los entornos propiedad de la cuenta especificada en la región determinada |
|
|
Todos los AWS Cloud9 recursos, independientemente de la cuenta y la región |
|
Por ejemplo, puede indicar un entorno específico en la instrucción usando su nombre de recurso de Amazon (ARN), de la siguiente manera.
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
Para especificar todos los recursos, utilice el carácter comodín (*) en el elemento Resource.
"Resource": "*"
Para especificar varios recursos en una sola sentencia, separe sus nombres de recursos de Amazon (ARNs) con comas.
"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]
AWS Cloud9 proporciona un conjunto de operaciones para trabajar con AWS Cloud9 los recursos. Para ver una lista, consulte la AWS Cloud9 referencia de permisos.
Titularidad de los recursos
La Cuenta de AWS cuenta es propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado.
Tenga en cuenta los siguientes casos de uso y escenarios:
-
Supongamos que utiliza las credenciales de su cuenta raíz Cuenta de AWS para crear un entorno de AWS Cloud9 desarrollo. Aunque es posible, no es recomendable. En este caso, usted Cuenta de AWS es el propietario del entorno.
-
Supongamos que crea un usuario de IAM en su cuenta Cuenta de AWS y le concede permisos para crear un entorno. En ese caso, el usuario puede crear un entorno. Sin embargo, usted Cuenta de AWS, al que pertenece el usuario, sigue siendo el propietario del entorno.
-
Supongamos que crea un rol de IAM en su cuenta Cuenta de AWS con permisos para crear un entorno. En ese caso, cualquier persona que pueda asumir el rol puede crear un entorno. La Cuenta de AWS, a la que pertenece el rol, es la propietaria del entorno.
nota
Si elimina una cuenta de usuario que es el propietario del ARN de uno o más AWS Cloud9 entornos, estos entornos no tendrán propietario. Una solución alternativa para este escenario consiste en utilizar el AWS Cloud9 SDK para añadir otro usuario de IAM con privilegios de lectura y escritura mediante la CreateEnvironmentMembership acción y el EnvironmentMember tipo de datos. Una vez que haya agregado este usuario de IAM, puede copiar los archivos del entorno a nuevos AWS Cloud9 entornos y convertir a este propietario en propietario del ARN. Para obtener más información sobre esta acción, consulte y CreateEnvironmentMembership, para obtener más información sobre este tipo de datos, consulte EnvironmentMemberla Guía de referencia de la AWS Cloud9 API.
Administración del acceso a los recursos
Una política de permisos describe quién tiene acceso a qué recursos.
nota
En esta sección, se describe cómo se utiliza IAM en AWS Cloud9. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Las políticas que se adjuntan a una identidad de IAM se denominan políticas basadas en identidad (o políticas de IAM). Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. AWS Cloud9 admite políticas basadas en la identidad y en los recursos.
Cada una de las siguientes acciones de la API solo necesita que se adjunte una política de IAM a la identidad de IAM que desea que llame a estas acciones de API:
-
CreateEnvironmentEC2 -
DescribeEnvironments
Las siguientes acciones de API requieren una política basada en recursos. No se requiere una política de IAM, pero se AWS Cloud9 usa una política de IAM si está asociada a la identidad de IAM que quiere llamar a estas acciones de API. La política basada en recursos debe aplicarse al recurso deseado: AWS Cloud9
-
CreateEnvironmentMembership -
DeleteEnvironment -
DeleteEnvironmentMembership -
DescribeEnvironmentMemberships -
DescribeEnvironmentStatus -
UpdateEnvironment -
UpdateEnvironmentMembership
Para obtener más información sobre lo que hace cada una de estas acciones de API, consulte AWS Cloud9 API Reference (Referencia de la API de AWS Cloud9 ).
No puede adjuntar directamente una política basada en recursos a un recurso. AWS Cloud9 En su lugar, AWS Cloud9 adjunta las políticas basadas en recursos adecuadas a AWS Cloud9 los recursos a medida que agrega, modifica, actualiza o elimina miembros del entorno.
Para conceder a un usuario permisos para realizar acciones en AWS Cloud9 los recursos, debe adjuntar una política de permisos a un grupo de IAM al que pertenezca el usuario. Le recomendamos que adjunte una política AWS gestionada (predefinida) AWS Cloud9 siempre que sea posible. AWS Las políticas administradas contienen conjuntos predefinidos de permisos de acceso para situaciones de uso y tipos de usuarios comunes, como la administración completa de un entorno, los usuarios del entorno y los usuarios que solo tienen acceso de solo lectura a un entorno. Para obtener una lista de las políticas AWS administradas para AWS Cloud9, consulte. AWS políticas gestionadas para AWS Cloud9
Para casos de uso más detallados y tipos de usuario únicos, puede crear y adjuntar sus propias políticas administradas por el cliente. Consulte Opciones de configuración adicionales para AWS Cloud9 y Creando políticas gestionadas por el cliente para AWS Cloud9.
Para adjuntar una política de IAM (AWS gestionada o gestionada por el cliente) a una identidad de IAM, consulte Adjuntar políticas de IAM (consola) en la Guía del usuario de IAM.
Permisos de sesión para operaciones de API
Al utilizar la AWS API AWS CLI o para crear mediante programación una sesión temporal para un rol o un usuario federado, puede transferir las políticas de sesión como un parámetro para ampliar el alcance de la sesión de rol. Esto significa que los permisos efectivos de la sesión son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión.
Cuando se realiza una solicitud para acceder a un recurso durante una sesión, si no hay ninguna instrucción Deny aplicable, pero tampoco existe ninguna declaración Allow aplicable en la política de la sesión, el resultado de la evaluación de la política es un denegación implícita. (Para obtener más información, consulte Cómo determinar si una solicitud se permite o se deniega dentro de una cuenta en la Guía del usuario de IAM).
Sin embargo, en el caso de las operaciones de la AWS Cloud9 API que requieren una política basada en recursos (véase más arriba), se conceden permisos a la entidad de IAM que realiza la llamada si así se especifica en la política de recursos. Principal Este permiso explícito tiene prioridad sobre la denegación implícita de la política de sesión, lo que permite que la sesión llame correctamente a la operación de la API. AWS Cloud9
AWS políticas gestionadas para AWS Cloud9
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
AWS política gestionada: AWSCloud9 administrador
Puede adjuntar la política AWSCloud9Administrator a las identidades de IAM.
Esta política otorga administrative permisos que proporcionan acceso de administrador a AWS Cloud9.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
AWS Cloud9 — Todas AWS Cloud9 las acciones en su Cuenta de AWS.
-
Amazon EC2 : obtenga información sobre varios recursos de subred y VPC de Amazon en sus. Cuenta de AWS
-
IAM: obtenga información sobre sus usuarios de IAM y cree en ellos el rol AWS Cloud9 vinculado al servicio Cuenta de AWS, según sea necesario. Cuenta de AWS
-
Systems Manager: permite al usuario llamar StartSession para iniciar una conexión a una instancia para una sesión de Session Manager. Este permiso es necesario para los usuarios que abren un entorno que se comunica con su EC2 instancia a través de Systems Manager. Para obtener más información, consulte Accede a las instancias sin entrada EC2 con AWS Systems Manager
AWS política gestionada: AWSCloud9 usuario
Puede adjuntar la política AWSCloud9User a las identidades de IAM.
Esta política otorga user permisos para crear entornos de AWS Cloud9
desarrollo y administrar los entornos propios.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
AWS Cloud9 — Cree y obtenga información sobre sus entornos, y obtenga y cambie la configuración de usuario de sus entornos.
-
Amazon EC2 : obtenga información sobre varios recursos de subred y VPC de Amazon en sus. Cuenta de AWS
-
IAM: obtenga información sobre sus usuarios de IAM y cree en ellos el rol AWS Cloud9 vinculado al servicio Cuenta de AWS, según sea necesario. Cuenta de AWS
-
Systems Manager: permite al usuario llamar StartSession para iniciar una conexión a una instancia para una sesión de Session Manager. Este permiso es necesario para los usuarios que abren un entorno que se comunica con su EC2 instancia a través de Systems Manager. Para obtener más información, consulte Accede a las instancias sin entrada EC2 con AWS Systems Manager
AWS política gestionada: AWSCloud9 EnvironmentMember
Puede adjuntar la política AWSCloud9EnvironmentMember a las identidades de IAM.
Esta política otorga membership permisos que permiten unirse a un entorno AWS Cloud9 compartido.
Detalles de los permisos
Esta política incluye los permisos siguientes:
-
AWS Cloud9 — Obtenga información sobre sus entornos y obtenga y cambie la configuración de usuario de sus entornos.
-
IAM: obtenga información sobre los usuarios de IAM que tienen y cree en ellos el rol AWS Cloud9 vinculado al servicio Cuenta de AWS, según sea necesario. Cuenta de AWS
-
Systems Manager: permite al usuario llamar StartSession para iniciar una conexión a una instancia para una sesión de Session Manager. Este permiso es necesario para los usuarios que abren un entorno que se comunica con su EC2 instancia a través de Systems Manager. Para obtener más información, consulte Accede a las instancias sin entrada EC2 con AWS Systems Manager
AWS política gestionada: AWSCloud9ServiceRolePolicy
El rol vinculado al servicio AWSServiceRoleForAWSCloud9usa esta política para permitir que el AWS Cloud9 entorno interactúe con Amazon EC2 y CloudFormation los recursos.
Detalles de los permisos
AWSCloud9ServiceRolePolicyOtorga AWSService RoleFor AWSCloud9 los permisos necesarios AWS Cloud9 para poder interactuar con los Servicios de AWS (Amazon EC2 y CloudFormation) que se requieren para crear y ejecutar entornos de desarrollo.
AWS Cloud9 define los permisos de sus funciones vinculadas al servicio y solo AWS Cloud9 puede asumirlas. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener más información sobre cómo se AWS Cloud9 utilizan las funciones vinculadas a servicios, consulte. Cómo utilizar roles vinculados a servicios de AWS Cloud9
AWS Cloud9 actualizaciones de las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Cloud9 desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Cloud9 documento.
| Cambio | Descripción | Fecha |
|---|---|---|
|
Se ha añadido una nueva acción al AWSCloud9usuario, al AWSCloud9administrador y a AWSCloud9EnvironmentMemberlas políticas. |
La |
12 de octubre de 2023 |
|
Se han agregado las API a las políticas AWSCloud9de usuario y AWSCloud9administrador. |
Se han agregado dos nuevas API a las políticas de AWSCloud9usuario y AWSCloud9administrador: estas API son |
2 de agosto de 2023 |
|
Se actualizó a AWSCloud9ServiceRolePolicy |
AWSCloud9ServiceRolePolicyse actualizó para permitir AWS Cloud9 iniciar y detener las EC2 instancias de Amazon administradas mediante las configuraciones de licencia de License Manager. |
12 de enero de 2022 |
|
AWS Cloud9 comenzó a rastrear los cambios |
AWS Cloud9 comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. |
15 de marzo de 2021 |
Creando políticas gestionadas por el cliente para AWS Cloud9
Si ninguna de las políticas AWS administradas cumple con sus requisitos de control de acceso, puede crear y adjuntar sus propias políticas administradas por el cliente.
Para obtener instrucciones sobre cómo crear una política administrada por el cliente, consulte Crear una política de IAM (Consola) en la Guía del usuario de IAM.
Temas
Especificar elementos de política: efectos, entidades principales, acciones y recursos
Para cada AWS Cloud9 recurso, el servicio define un conjunto de operaciones de API. Para conceder permisos para estas operaciones de API, AWS Cloud9 define un conjunto de acciones que puede especificar en una política.
A continuación, se indican los elementos básicos de la política:
-
Effect: especifique el efecto (permitir o denegar) cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso. Puede hacerlo para asegurarse de que un usuario no tenga acceso a un recurso, aunque otra política se lo conceda. -
Principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se adjunta esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, cuenta, servicio u otra entidad que desee que reciba permisos. -
Resource: utilice un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. -
Action: use palabras de clave de acción para identificar las operaciones de recursos que desea permitir o denegar. Por ejemplo, el permisocloud9:CreateEnvironmentEC2concede al usuario permiso para realizar la operaciónCreateEnvironmentEC2.
Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte Referencia de políticas JSON de IAM en la Guía del usuario de IAM.
Para ver una tabla en la que se muestran todas las acciones de la AWS Cloud9 API y los recursos a los que se aplican, consulta laAWS Cloud9 referencia de permisos.
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas que conceden permisos para acciones de AWS Cloud9 . Puede adaptar las siguientes políticas de IAM de ejemplo para permitir o denegar explícitamente a sus identidades de IAM el acceso a AWS Cloud9 .
Para crear o adjuntar una política administrada por el cliente a una identidad de IAM, consulte Crear una política de IAM (Consola) y Conexión de políticas de IAM (Consola), en la Guía del usuario de IAM.
nota
Los siguientes ejemplos utilizan la región EE.UU. Este (Ohio) (us-east-2), un Cuenta de AWS identificador ficticio (123456789012) y un identificador de entorno de AWS Cloud9 desarrollo ficticio (81e900317347585a0601e04c8d52eaEX).
Temas
Cree EC2 entornos con tipos de EC2 instancias de Amazon específicos
Actualizar entornos o impedir la actualización de un entorno
Cambiar o evitar el cambio, de la configuración de miembros del entorno
Eliminar o impedir la eliminación, de los miembros de entorno
Política de IAM personalizada para la creación de un entorno SSM
Obtener información sobre entornos
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad obtenga información sobre cualquier entorno de su cuenta.
nota
El permiso de acceso anterior ya está incluido en las políticas AWS AWSCloud9Administrator administradas y. AWSCloud9User
Cree EC2 entornos
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear entornos de AWS Cloud9 EC2 desarrollo en su cuenta.
nota
El permiso de acceso anterior ya está incluido en las políticas AWS AWSCloud9Administrator administradas y. AWSCloud9User
Cree EC2 entornos con tipos de EC2 instancias de Amazon específicos
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear entornos de AWS Cloud9 EC2 desarrollo en su cuenta. Sin embargo, EC2 los entornos solo pueden usar la clase especificada de tipos de EC2 instancias de Amazon.
nota
Si la política AWS gestionada AWSCloud9Administrator o ya AWSCloud9User está asociada a la entidad de IAM, dicha política AWS
gestionada anula el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Cree EC2 entornos en subredes de Amazon VPC específicas
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear entornos de AWS Cloud9 EC2 desarrollo en su cuenta. Sin embargo, EC2 los entornos solo pueden usar las subredes de Amazon VPC especificadas.
nota
Si la política AWS gestionada AWSCloud9Administrator o ya AWSCloud9User está asociada a la entidad de IAM, dicha política AWS
gestionada anula el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Cree un EC2 entorno con un nombre de entorno específico
El siguiente ejemplo de declaración de política de IAM, adjunta a una entidad de IAM, permite a esa entidad crear un entorno de AWS Cloud9 EC2 desarrollo en su cuenta. Sin embargo, el EC2 entorno solo puede usar el nombre especificado.
nota
Si la política AWS gestionada AWSCloud9Administrator o ya AWSCloud9User está asociada a la entidad de IAM, esa política AWS
gestionada anula el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Crear entornos de SSH únicamente
El siguiente ejemplo de declaración de política de IAM, adjunto a una entidad de IAM, permite a esa entidad crear entornos de desarrollo de AWS Cloud9 SSH en su cuenta. Sin embargo, la entidad no puede crear AWS Cloud9 EC2 entornos de desarrollo.
Actualizar entornos o impedir la actualización de un entorno
El siguiente ejemplo de declaración de política de IAM, adjunto a una entidad de IAM, permite a esa entidad cambiar la información sobre cualquier entorno de AWS Cloud9 desarrollo de su cuenta.
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionada. AWSCloud9Administrator
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad cambie información sobre el entorno con el nombre de recurso de Amazon (ARN) especificado.
Obtener listas de los miembros de un entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad obtenga una lista de los miembros de cualquier entorno en su cuenta.
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator. Además, el permiso de acceso anterior es más permisivo que el permiso de acceso equivalente de la política AWS gestionada. AWSCloud9User
Compartir entornos con un usuario específico únicamente
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad comparta cualquier entorno en su cuenta solo con el usuario especificado.
nota
Si la política AWS AWSCloud9Administrator gestionada ya AWSCloud9User está asociada a la entidad de IAM, esas políticas AWS
gestionadas anulan el comportamiento de la declaración de política de IAM anterior. Esto se debe a que esas políticas AWS gestionadas son más permisivas.
Impedir compartir entornos
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, impide que dicha entidad comparta ningún entorno en su cuenta.
Cambiar o evitar el cambio, de la configuración de miembros del entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad cambie la configuración de los miembros de cualquier entorno en su cuenta.
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionada. AWSCloud9Administrator
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad cambie la configuración de los miembros del entorno con el nombre de recurso de Amazon (ARN) especificado.
Eliminar o impedir la eliminación, de los miembros de entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad elimine cualquier miembro de cualquier entorno de su cuenta.
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator.
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad elimine ningún miembro del entorno con el nombre de recurso de Amazon (ARN) especificado.
Eliminar o impedir la eliminación de un entorno
La siguiente instrucción de política de IAM de ejemplo, adjunta a una entidad de IAM, permite que dicha entidad elimine cualquier entorno de su cuenta.
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator.
La siguiente instrucción de política de IAM de ejemplo, asociada a una entidad de IAM, impide de forma explícita que dicha entidad elimine el entorno con el nombre de recurso de Amazon (ARN) especificado.
Política de IAM personalizada para la creación de un entorno SSM
Hay un problema de permisos actual que se produce al crear un entorno SSM con las políticas asociadas AWSCloud9Administrator o AWSCloud9User. El siguiente ejemplo de declaración de política de IAM, cuando se adjunta a una entidad de IAM, permite a los usuarios adjuntar y utilizar la política AWS AWSCloud9Administrator gestionada o. AWSCloud9User
AWS Cloud9 referencia de permisos
Puede utilizar claves de condición AWS amplias en sus AWS Cloud9 políticas para expresar las condiciones. Para obtener una lista, consulte Elemento de la política de JSON de IAM: Condition en la Guía del usuario de IAM.
Las acciones se especifican en el campo Action de la política. Para especificar una acción, use el prefijo cloud9: seguido del nombre de operación de la API (por ejemplo, "Action": "cloud9:DescribeEnvironments"). Para especificar varias acciones en una única instrucción, sepárelas con comas (por ejemplo, "Action": [
"cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).
Uso de caracteres comodín
Debe especificar un ARN, con o sin un carácter comodín (*), como el valor del recurso en el campo de la política Resource. Puede utilizar un carácter comodín para especificar varias acciones o recursos. Por ejemplo, cloud9:* especifica todas AWS Cloud9 las acciones y cloud9:Describe* especifica todas AWS Cloud9 las acciones que comienzan porDescribe.
En el siguiente ejemplo se permite que una entidad de IAM obtenga información acerca de los entornos y las pertenencias a los entornos de cualquier entorno de su cuenta.
nota
El permiso de acceso anterior ya está incluido en la política AWS gestionadaAWSCloud9Administrator. Además, que el permiso de acceso anterior es más permisivo que el permiso de acceso equivalente de la política AWS gestionada. AWSCloud9User
AWS Cloud9 Operaciones de la API y permisos necesarios para las acciones
nota
Puede usar las tablas siguientes como referencia cuando configure políticas de permisos de control de acceso y de escritura para adjuntarlas a una identidad de IAM (políticas basadas en identidades).
Public API operationsEn la tabla se enumeran las operaciones de API a las que pueden llamar los clientes mediante SDKs y el AWS Command Line Interface.
En Permission-only API operations se enumeran las operaciones de la API a las que el código del cliente o AWS Command Line Interface no pueden llamar directamente. No obstante, los usuarios de IAM requieren permisos para estas operaciones a las que se llama cuando se realizan acciones de AWS Cloud9 mediante la consola.
| AWS Cloud9 operación | Permisos necesarios (acción de la API) | Recurso |
|---|---|---|
|
|
Necesario para crear un entorno de AWS Cloud9 EC2 desarrollo. |
|
|
|
Necesario para agregar un miembro a un entorno. |
|
|
|
Necesaria para eliminar un entorno. |
|
|
|
Necesario para eliminar un miembro de un entorno. |
|
|
|
Necesario para obtener una lista de miembros de entorno. |
|
|
|
Necesario para obtener información sobre un entorno. |
|
|
|
Necesario para obtener información sobre el estado de un entorno. |
|
|
|
Necesario para actualizar la configuración de un entorno. |
|
|
|
Necesario para actualizar la configuración de un miembro de un entorno. |
|
| AWS Cloud9 operación | Description (Descripción) | Documentación de la consola |
|---|---|---|
|
|
Inicia la EC2 instancia de Amazon a la que se conecta el AWS Cloud9 IDE. |
|
|
|
Crea un entorno de desarrollo AWS Cloud9 SSH. |
|
|
|
Crea un token de autenticación que permite una conexión entre el IDE de AWS Cloud9 y el entorno del usuario. |
|
|
|
Obtiene detalles sobre la conexión al entorno de EC2 desarrollo, incluidos el host, el usuario y el puerto. |
|
|
|
Obtiene detalles sobre la conexión al entorno de desarrollo de SSH, incluidos el anfitrión, el usuario y el puerto. |
|
|
|
Obtiene la información de configuración que se utiliza para inicializar el IDE de AWS Cloud9 . |
|
|
|
Obtiene la configuración del AWS Cloud9 IDE para un entorno de desarrollo específico. |
|
|
|
Obtiene la configuración del AWS Cloud9 IDE de un miembro del entorno específico. |
|
|
|
Obtiene la clave SSH pública del usuario, que se utiliza AWS Cloud9 para conectarse a los entornos de desarrollo de SSH. |
|
|
|
Obtiene la configuración del AWS Cloud9 IDE para un usuario específico. |
|
|
|
Establece las credenciales temporales AWS administradas en la EC2 instancia de Amazon que utiliza el entorno de desarrollo AWS Cloud9 integrado (IDE). |
|
|
|
Actualiza la configuración del AWS Cloud9 IDE para un entorno de desarrollo específico. |
|
|
|
Actualiza la configuración del AWS Cloud9 IDE de un miembro del entorno específico. |
|
|
|
Actualiza los detalles sobre la conexión al entorno de desarrollo de SSH, incluidos el anfitrión, el usuario y el puerto. |
|
|
|
Actualiza la configuración del AWS Cloud9 IDE para un usuario específico. |
|
|
|
Otorga permiso a un AWS Cloud9 usuario para obtener la experiencia de migración de AWS Cloud9 a CodeCatalyst. |
AWS credenciales temporales gestionadas
|
Si solo está buscando la lista de acciones que admiten las credenciales temporales AWS gestionadas, vaya directamente aAcciones compatibles con las credenciales temporales AWS administradas. |
En el caso de un entorno de AWS Cloud9 EC2 desarrollo, AWS Cloud9 pone a su disposición las credenciales de AWS acceso temporal en el entorno. Las denominamos credenciales temporales administradas por AWS . Esto proporciona los siguientes beneficios:
-
No es necesario almacenar las credenciales de AWS acceso permanente de una AWS entidad (por ejemplo, un usuario de IAM) en ningún lugar del entorno. Esto impide que los miembros del entorno accedan a esas credenciales sin su conocimiento y aprobación.
-
No es necesario configurar, gestionar ni adjuntar manualmente un perfil de instancia a la EC2 instancia de Amazon que se conecta al entorno. Un perfil de instancia es otro enfoque para administrar las credenciales de AWS acceso temporal.
-
AWS Cloud9 renueva continuamente sus credenciales temporales, por lo que un único conjunto de credenciales solo se puede usar durante un tiempo limitado. Esta es una práctica recomendada AWS de seguridad. Para obtener más información, consulte Crear y actualizar credenciales temporales AWS administradas.
-
AWS Cloud9 impone restricciones adicionales a la forma en que sus credenciales temporales se pueden utilizar para acceder a AWS las acciones y los recursos del entorno. Esta también es una buena práctica de AWS seguridad.
importante
Actualmente, si la EC2 instancia de su entorno se lanza a una subred privada, no puede usar credenciales temporales AWS administradas para permitir que el EC2 entorno acceda a un AWS servicio en nombre de una AWS entidad (por ejemplo, un usuario de IAM).
Para obtener más información sobre cuándo puede lanzar una EC2 instancia en una subred privada, consulte. Cree una subred para AWS Cloud9
nota
Considere la posibilidad de usar una política AWS administrada en lugar de una política en línea cuando utilice credenciales temporales AWS administradas.
Así es como funcionan las credenciales temporales AWS administradas cada vez que un EC2 entorno intenta acceder a una Servicio de AWS en nombre de una AWS entidad (por ejemplo, un usuario de IAM):
-
AWS Cloud9 comprueba si la AWS entidad que realiza la llamada (por ejemplo, el usuario de IAM) tiene permisos para realizar la acción solicitada en relación con el recurso solicitado. AWS Si el permiso no existe o se deniega explícitamente, la solicitud produce un error.
-
AWS Cloud9 comprueba las credenciales temporales AWS gestionadas para comprobar si sus permisos permiten la entrada de la acción solicitada para el recurso solicitado. AWS Si el permiso no existe o se deniega explícitamente, la solicitud produce un error. Para obtener una lista de los permisos que AWS administraban las credenciales temporales, consulteAcciones compatibles con las credenciales temporales AWS administradas.
-
Si tanto la AWS entidad como las credenciales temporales AWS administradas permiten la acción solicitada para el recurso solicitado, la solicitud se realiza correctamente.
-
Si la AWS entidad o las credenciales temporales AWS administradas deniegan o no permiten explícitamente la acción solicitada para el recurso solicitado, la solicitud fallará. Esto significa que, incluso si la AWS entidad que realiza la llamada tiene los permisos correctos, la solicitud fallará si AWS Cloud9 no los permite también de forma explícita. Del mismo modo, si AWS Cloud9 permite que se lleve a cabo una acción específica para un recurso específico, la solicitud fallará si la AWS entidad no la permite también de forma explícita.
El propietario de un EC2 entorno puede activar o desactivar las credenciales temporales AWS administradas para ese entorno en cualquier momento, de la siguiente manera:
-
Con el entorno abierto, en el AWS Cloud9 IDE, en la barra de menús AWS Cloud9, seleccione Preferencias.
-
En la pestaña Preferences (Preferencias), en el panel de navegación, elija AWS Settings, Credentials (Configuración de AWS , Credenciales).
-
Use credenciales temporales administradas por AWS para activar o desactivar dichas credenciales de AWS .
nota
También puede activar o desactivar las credenciales temporales AWS administradas llamando a la operación de la AWS Cloud9 API UpdateEnvironmenty asignando un valor al managedCredentialsAction parámetro. Puede solicitar esta operación de API mediante AWS herramientas estándar como AWS SDKs y la AWS CLI.
Si desactivas las credenciales temporales AWS administradas, el entorno no podrá acceder a ninguna Servicios de AWS, independientemente de la AWS entidad que realice la solicitud. Sin embargo, supongamos que no puede o no quiere activar las credenciales temporales AWS administradas para un entorno y, aun así, necesita el entorno para acceder a ellas Servicios de AWS. En ese caso, tenga en cuenta las siguientes alternativas:
-
Adjunta un perfil de instancia a la EC2 instancia de Amazon que se conecta al entorno. Para ver instrucciones, consulte la sección sobre la creación y uso de un perfil de instancia para administrar credenciales temporales.
-
Guarde sus credenciales de AWS acceso permanente en el entorno, por ejemplo, configurando variables de entorno especiales o ejecutando el
aws configurecomando. Para obtener instrucciones, consulte Crear y almacenar las credenciales de acceso permanente en un entorno.
Las alternativas anteriores anulan todos los permisos permitidos (o denegados) por las credenciales temporales AWS administradas en un EC2 entorno.
Acciones compatibles con las credenciales temporales AWS administradas
En un entorno de AWS Cloud9 EC2 desarrollo, las credenciales temporales AWS administradas permiten AWS realizar todas las acciones en todos AWS los recursos de la persona que llama Cuenta de AWS, con las siguientes restricciones:
-
AWS Cloud9 En efecto, solo se permiten las siguientes acciones:
-
cloud9:CreateEnvironmentEC2 -
cloud9:CreateEnvironmentSSH -
cloud9:DescribeEnvironmentMemberships -
cloud9:DescribeEnvironments -
cloud9:DescribeEnvironmentStatus -
cloud9:UpdateEnvironment
-
-
Para IAM, solo se permiten las siguientes acciones:
-
iam:AttachRolePolicy -
iam:ChangePassword -
iam:CreatePolicy -
iam:CreatePolicyVersion -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeletePolicyVersion -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:DeleteSSHPublicKey -
iam:DetachRolePolicy -
iam:GetInstanceProfile -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRole -
iam:GetRolePolicy -
iam:GetSSHPublicKey -
iam:GetUser -
iam:List* -
iam:PassRole -
iam:PutRolePolicy -
iam:SetDefaultPolicyVersion -
iam:UpdateAssumeRolePolicy -
iam:UpdateRoleDescription -
iam:UpdateSSHPublicKey -
iam:UploadSSHPublicKey
-
-
Todas las acciones de IAM que interactúan con roles se permiten solo para nombres de rol que comienzan por
Cloud9-. Sin embargo,iam:PassRolefunciona con todos los nombres de rol. -
Para AWS Security Token Service (AWS STS), solo se permiten las siguientes acciones:
-
sts:GetCallerIdentity -
sts:DecodeAuthorizationMessage
-
-
Todas AWS las acciones admitidas están restringidas a la dirección IP del entorno. Esta es una práctica recomendada de AWS seguridad.
Si AWS Cloud9 no admite una acción o un recurso al que necesite acceder a un EC2 entorno, o si las credenciales temporales AWS administradas están desactivadas para un EC2 entorno y no puede volver a activarlas, considere las siguientes alternativas:
-
Adjunta un perfil de instancia a la EC2 instancia de Amazon que se conecta al EC2 entorno. Para obtener instrucciones, consulte Creación y uso de un perfil de instancias para administrar credenciales temporales.
-
Guarde sus credenciales de AWS acceso permanente en el EC2 entorno, por ejemplo, configurando variables de entorno especiales o ejecutando el
aws configurecomando. Para obtener instrucciones, consulte Crear y almacenar las credenciales de acceso permanente en un entorno.
Las alternativas anteriores anulan todos los permisos permitidos (o denegados) por las credenciales temporales AWS administradas en un EC2 entorno.
Crear y actualizar credenciales temporales AWS administradas
En un entorno de AWS Cloud9 EC2 desarrollo, las credenciales temporales AWS administradas se crean la primera vez que se abre el entorno.
AWS las credenciales temporales administradas se actualizan en cualquiera de las siguientes condiciones:
-
Siempre que pase un determinado periodo de tiempo. Actualmente, esto es cada cinco minutos.
-
Cada vez que se vuelve a cargar la pestaña del navegador web, que muestra el IDE del entorno.
-
Cuando se alcanza la marca temporal que se muestra en el archivo
~/.aws/credentialspara el entorno. -
Si la configuración de las credenciales temporales administradas por AWS está desactivada, cuando vuelve a activarla. (Para ver o cambiar esta configuración, elija AWS Cloud9, Preferences [AWS Cloud9, Preferencias] en la barra de menús del IDE. En la pestaña Preferences [Preferencias], en el panel de navegación, elija AWS Settings, Credentials [Configuración de AWS , Credenciales]).
-
Por motivos de seguridad, las credenciales temporales AWS administradas caducan automáticamente después de 15 minutos. Para que se actualicen las credenciales, el propietario del entorno debe estar conectado al entorno de AWS Cloud9 a través del IDE. Para obtener más información sobre el rol del propietario del entorno, consulteControl del acceso a las credenciales temporales administradas por AWS.
Control del acceso a las credenciales temporales administradas por AWS
Un colaborador con credenciales temporales AWS gestionadas puede utilizarlas AWS Cloud9 para interactuar con otros Servicios de AWS. Para asegurarse de que solo los colaboradores de confianza dispongan de credenciales temporales administradas por AWS , dichas credenciales se desactivan si alguien que no es el propietario del entorno agrega un nuevo miembro. Las credenciales se desactivan mediante la eliminación del archivo ~/.aws/credentials.
importante
AWS Las credenciales temporales gestionadas también caducan automáticamente cada 15 minutos. Para que las credenciales se actualicen y los colaboradores puedan seguir usándolas, el propietario del entorno debe estar conectado al AWS Cloud9 entorno a través del IDE.
Solo el propietario del entorno puede volver a habilitar las credenciales temporales AWS administradas para que puedan compartirse con otros miembros. Cuando el propietario del entorno abre el IDE, un cuadro de diálogo confirma que las credenciales temporales AWS administradas están deshabilitadas. El propietario del entorno puede volver a habilitar las credenciales o mantenerlas desactivadas para todos los miembros.
aviso
Para cumplir con las prácticas de seguridad recomendadas, mantenga desactivadas las credenciales temporales administradas si no está seguro de la identidad del último usuario agregado al entorno. Puede consultar la lista de miembros con read/write permisos en la ventana de Collaborate.
