AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. [Más información](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Opciones de configuración adicionales para AWS Cloud9
En este tema, se parte de la base de que ya ha completado los pasos de configuración de [Configuración de equipo](setup.md) o [Configuración de empresa](setup-enterprise.md).
En [Team Setup](setup.md) o [Enterprise Setup](setup-enterprise.md), creó grupos y agregó permisos de AWS Cloud9 acceso directamente a esos grupos. Esto sirve para garantizar que los usuarios de esos grupos puedan acceder a AWS Cloud9. En este tema, añadirá más permisos de acceso para restringir los tipos de entornos que los usuarios de dichos grupos pueden crear. Esto puede ayudar a controlar los costos relacionados con AWS Cloud9 las AWS cuentas y las organizaciones.
Para agregar estos permisos de acceso, debe crear su propio conjunto de políticas que definan los permisos de acceso de AWS que desea aplicar. Cada uno de ellos se denomina *política administrada por el cliente*. Luego, debe asociar esas políticas administradas por el cliente a los grupos a los que pertenecen los usuarios. En algunos escenarios, también debe separar las políticas AWS administradas existentes que ya están asociadas a esos grupos. Para realizar esta configuración, siga los procedimientos que se indican en este tema.
**nota**
Los siguientes procedimientos cubren la asociación y la desvinculación de políticas únicamente para los AWS Cloud9 usuarios. Estos procedimientos suponen que ya tiene un grupo de AWS Cloud9 usuarios y un grupo de AWS Cloud9 administradores independientes. También se asume que solo tiene un número limitado de usuarios en el grupo de administradores de AWS Cloud9 . Esta práctica recomendada AWS de seguridad puede ayudarle a controlar, realizar un seguimiento y solucionar mejor los problemas relacionados con el acceso a los AWS recursos.
## Paso 1: Crear una política administrada por el cliente
Puede crear una política administrada por el cliente con la [Consola de administración de AWS](#setup-teams-create-policy-console) o la [interfaz de línea de comandos de AWS (AWS CLI)](#setup-teams-create-policy-cli).
**nota**
Este paso cubre la creación de una política administrada por el cliente solo para grupos de IAM. Para crear un conjunto de permisos personalizado para los grupos de AWS IAM Identity Center, omita este paso y siga las instrucciones de la *Guía del AWS IAM Identity Center usuario* sobre la [creación de un conjunto de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset). En este tema, siga las instrucciones para crear un conjunto de permisos personalizados. Para ver las políticas de permisos personalizadas relacionadas, consulte [Ejemplos de políticas administradas por el cliente para equipos que usan AWS Cloud9](setup-teams-policy-examples.md) más adelante en este tema.
### Paso 1.1: Crear una política administrada por el cliente con la consola
1. Inicie sesión en Consola de administración de AWS, si aún no lo ha hecho.
Le recomendamos que inicie sesión con las credenciales de un usuario administrador de su Cuenta de AWS. Si no puedes hacerlo, ponte en contacto con tu Cuenta de AWS administrador.
1. Abra la consola de IAM. Para ello, en la barra de navegación de la consola, elija **Services** (Servicios). A continuación, elija **IAM**.
1. En el panel de navegación del servicio, elija **Policies (Políticas)**.
1. Elija **Crear política**.
1. En la pestaña **JSON**, pegue uno de nuestros [ejemplos de políticas administradas por el cliente](setup-teams-policy-examples.md) sugeridos.
**nota**
También puede crear sus propias políticas administradas por el cliente. Para obtener más información, consulte [Referencia de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM* y la [documentación](https://aws.amazon.com/documentation/) de los Servicio de AWS.
1. Elija **Revisar política**.
1. En la página **Review policy (Revisar política)**, escriba un **nombre** y una **descripción** opcional de la política y, a continuación, elija **Create policy (Crear política)**.
Repita este paso para cada política administrada por el cliente adicional que desee crear. Luego, vaya directamente a [Agregar políticas administradas por el cliente a un grupo utilizando la consola](#setup-teams-add-policy-console).
### Paso 1.2: Cree una política gestionada por el cliente mediante el AWS CLI
1. En el ordenador en el que lo ejecute AWS CLI, cree un archivo para describir la política (por ejemplo,`policy.json`).
Si crea el archivo con otro nombre de archivo, sustitúyalo en todo este procedimiento.
1. Pegue uno de nuestros [ejemplos de políticas administradas por el cliente](setup-teams-policy-examples.md) sugeridos en el archivo `policy.json`.
**nota**
También puede crear sus propias políticas administradas por el cliente. Para obtener más información, consulte [Referencia de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM* y la [documentación](https://aws.amazon.com/documentation/) de los servicios de AWS .
1. Desde el terminal o el símbolo del sistema, cambie al directorio que contiene el archivo `policy.json`.
1. Ejecute el comando `create-policy` de IAM, especificando un nombre de la política y el archivo `policy.json`.
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
En el comando anterior, reemplace `MyPolicy` por el nombre de la política.
Continúe y vaya a [Agregar políticas administradas por el cliente a un grupo mediante AWS CLI](#setup-teams-add-policy-cli).
## Paso 2: Agregar políticas administradas por el cliente a un grupo
Puede añadir políticas administradas por el cliente a un grupo con la [Consola de administración de AWS](#setup-teams-add-policy-console) o la [interfaz de línea de comandos de AWS (AWS CLI)](#setup-teams-add-policy-cli). Para obtener más información, consulte los [ejemplos de políticas administradas por el cliente para que los equipos las utilicen AWS Cloud9](setup-teams-policy-examples.md).
**nota**
Este paso cubre la adición de políticas administradas por el cliente solo para grupos de IAM. Para añadir conjuntos de permisos personalizados a los grupos AWS IAM Identity Center, omita este paso y, en su lugar, siga las instrucciones de [Asignar acceso a](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers) los usuarios en la *Guía del AWS IAM Identity Center usuario*.
### Paso 2.1: Agregar políticas administradas por el cliente a un grupo con la consola
1. Con la consola de IAM abierta del procedimiento anterior, en el panel de navegación del servicio, elija **Groups** (Grupos).
1. Elija el nombre del grupo.
1. En la pestaña **Permissions** (Permisos), en **Managed Policies** (Políticas administradas), elija **Attach Policy** (Adjuntar política).
1. En la lista de nombres de las políticas, active la casilla junto a cada política administrada por el cliente que desea asociar al grupo. Si no ve un nombre de política específico en la lista, escríbalo en el cuadro **Filter** (Filtrar) para mostrarlo.
1. Seleccione **Asociar política**.
### Paso 2.2: Añada políticas gestionadas por el cliente a un grupo mediante el AWS CLI
**nota**
Si utilizas [credenciales temporales AWS administradas](security-iam.md#auth-and-access-control-temporary-managed-credentials), no puedes usar una sesión de terminal en el AWS Cloud9 IDE para ejecutar algunos o todos los comandos de esta sección. Para cumplir con las prácticas recomendadas de AWS seguridad, las credenciales temporales AWS administradas no permiten ejecutar algunos comandos. En su lugar, puede ejecutar esos comandos desde una instalación independiente de AWS Command Line Interface (AWS CLI).
Ejecute el comando `attach-group-policy` de IAM, especificando el nombre del grupo y, a continuación, el nombre de recurso de Amazon (ARN) de la política.
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
En el comando anterior, reemplace `MyGroup` por el nombre del grupo. `123456789012`Sustitúyalo por el ID de la AWS cuenta. Y reemplace `MyPolicy` por el nombre de la política administrada por el cliente.
## Siguientes pasos
****
| **Tarea** | **Consulte este tema** |
| --- | --- |
| Cree un entorno de AWS Cloud9 desarrollo y, a continuación, utilice el AWS Cloud9 IDE para trabajar con el código en el nuevo entorno. | [Creación de un entorno](create-environment.md) |
| Aprenda a usar el AWS Cloud9 IDE. | [Introducción: tutoriales básicos](tutorials-basic.md) y [Uso del IDE de ](ide.md) |
| Invite a otras personas a usar el nuevo entorno con usted, en tiempo real y con asistencia de conversación de texto. | [Trabajo con entornos compartidos](share-environment.md) |
# Ejemplos de políticas gestionadas por el cliente para los equipos que utilizan AWS Cloud9
A continuación, se muestran algunos ejemplos de políticas que puede utilizar para restringir los entornos que los usuarios de un grupo pueden crear en una Cuenta de AWS.
+ [Impedir que los usuarios de un grupo creen entornos](#setup-teams-policy-examples-prevent-environments)
+ [Impedir que los usuarios de un grupo creen entornos de EC2](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Permitir que los usuarios de un grupo creen entornos de EC2 solo con tipos de instancias de Amazon EC2 específicas](#setup-teams-policy-examples-specific-instance-types)
+ [Permita que los usuarios de un grupo creen solo un entorno EC2 por región AWS](#setup-teams-policy-examples-single-ec2-environment)
## Impedir que los usuarios de un grupo creen entornos
La siguiente política gestionada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, impide que esos usuarios creen entornos en un Cuenta de AWS. Esto resulta útil si desea que un usuario administrador gestione Cuenta de AWS la creación de entornos. De lo contrario, lo harán AWS Cloud9 los usuarios de un grupo de usuarios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
La política anterior gestionada `"Effect": "Allow"` por `"Action": "cloud9:CreateEnvironmentEC2"` el cliente anula de forma explícita la política `AWSCloud9User` gestionada que ya está asociada al grupo de AWS Cloud9 usuarios. `"cloud9:CreateEnvironmentSSH"` `"Resource": "*"`
## Impedir que los usuarios de un grupo creen entornos de EC2
La siguiente política gestionada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, impide que esos usuarios creen entornos EC2 en un. Cuenta de AWS Esto resulta útil si desea que un usuario administrador gestione la creación Cuenta de AWS de entornos EC2. De lo contrario, lo hacen AWS Cloud9 los usuarios de un grupo de usuarios. Aquí se da por hecho que tampoco ha asociado una política que impida que los usuarios de ese grupo creen entornos de SSH. De lo contrario, esos usuarios no pueden crear entornos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
La política anterior gestionada `"Effect": "Allow"` por `"Action": "cloud9:CreateEnvironmentEC2"` el cliente sustituye de forma explícita a una de las políticas `AWSCloud9User` gestionadas que ya está asociada al grupo de AWS Cloud9 usuarios. `"Resource": "*"`
## Permitir que los usuarios de un grupo creen entornos de EC2 solo con tipos de instancias de Amazon EC2 específicas
La siguiente política gestionada por el cliente, cuando se adjunta a un AWS Cloud9 grupo de usuarios, permite a los usuarios del grupo de usuarios crear entornos EC2 que solo utilicen tipos de instancias que comiencen por. `t2` Cuenta de AWS En esta política, se da por hecho que tampoco ha asociado una política que impida que los usuarios de ese grupo creen entornos de EC2. De lo contrario, esos usuarios no pueden crear entornos de EC2.
Puede sustituir `"t2.*"` en la siguiente política por una clase de instancia distinta (por ejemplo, `"m4.*"`). También puede restringirla a varias clases o tipos de instancias (por ejemplo, `[ "t2.*", "m4.*" ]` o `[ "t2.micro", "m4.large" ]`).
En el caso de un grupo de AWS Cloud9 usuarios, separe la política `AWSCloud9User` administrada del grupo. A continuación, añada la siguiente política administrada por el cliente en su lugar. Si no desasocia la política administrada `AWSCloud9User`, la siguiente política administrada por el cliente no se aplicará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La anterior política administrada por el cliente también permite a esos usuarios crear entornos de SSH. Para evitar que esos usuarios creen entornos de SSH, elimine `"cloud9:CreateEnvironmentSSH",` de la política administrada por el cliente anterior.
## Permita que los usuarios de un grupo creen solo un entorno EC2 en cada uno Región de AWS
La siguiente política administrada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, permite a cada uno de esos usuarios crear un máximo de un entorno EC2 en cada uno de los Región de AWS que AWS Cloud9 estén disponibles. Para ello, se restringe el nombre del entorno a un nombre específico de esa Región de AWS. En este ejemplo, el entorno está restringido a `my-demo-environment`.
**nota**
AWS Cloud9 no permite restringir la creación de entornos a entornos específicos Regiones de AWS . AWS Cloud9 tampoco permite restringir la cantidad total de entornos que se pueden crear. La única excepción son los [límites de servicio](limits.md) publicados.
En el caso de un grupo de AWS Cloud9 usuarios, separe la política `AWSCloud9User` gestionada del grupo y, a continuación, añada la siguiente política gestionada por el cliente en su lugar. Si no desasocia la política administrada `AWSCloud9User`, la siguiente política administrada por el cliente no se aplicará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La anterior política administrada por el cliente permite a esos usuarios crear entornos de SSH. Para evitar que esos usuarios creen entornos de SSH, elimine `"cloud9:CreateEnvironmentSSH",` de la política administrada por el cliente anterior.
Para obtener más ejemplos, consulte [Ejemplos de políticas administradas por el cliente](security-iam.md#auth-and-access-control-customer-policies-examples).