AWS Cloud9 n'est plus disponible pour les nouveaux clients. Les clients existants d’ AWS Cloud9 peuvent continuer à l’utiliser normalement. [En savoir plus](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Options de configuration supplémentaires pour AWS Cloud9
Cette rubrique suppose que vous avez déjà terminé les étapes de configuration dans [Configuration d'une équipe](setup.md) ou [Configuration d'une entreprise](setup-enterprise.md).
Dans la [configuration de l'équipe](setup.md) ou dans la [configuration de l'entreprise](setup-enterprise.md), vous avez créé des groupes et ajouté des autorisations d' AWS Cloud9 accès directement à ces groupes. Cela permet de garantir que les utilisateurs de ces groupes peuvent y accéder à AWS Cloud9. Dans cette section, vous ajoutez des autorisations d'accès pour limiter les types d'environnements que les utilisateurs de ces groupes peuvent créer. Cela peut aider à contrôler les coûts liés AWS Cloud9 aux AWS comptes et aux organisations.
Pour ajouter ces autorisations d'accès, vous créez votre propre ensemble de politiques qui définissent les autorisations d'accès AWS que vous souhaitez appliquer. Nous appelons chacune d'elles une *politique gérée par le client*. Ensuite, vous attachez ces politiques gérées par le client aux groupes auxquels les utilisateurs appartiennent. Dans certains scénarios, vous devez également détacher les politiques AWS gérées existantes qui sont déjà associées à ces groupes. Pour cela, suivez les procédures de cette rubrique.
**Note**
Les procédures suivantes concernent les politiques d'attachement et de détachement réservées AWS Cloud9 aux utilisateurs. Ces procédures supposent que vous disposez déjà d'un groupe d' AWS Cloud9 utilisateurs et d'un groupe d' AWS Cloud9 administrateurs distincts. Elles supposent également que le nombre d'utilisateurs dans le groupe des administrateurs AWS Cloud9 est limité. Ces bonnes pratiques AWS de sécurité peuvent vous aider à mieux contrôler, suivre et résoudre les problèmes liés à l'accès aux AWS ressources.
## Étape 1 : Créer une stratégie gérée par le client
Vous pouvez créer une politique gérée par le client à l'aide de la [AWS Management Console](#setup-teams-create-policy-console) ou de l'[interface de ligne de commande AWS (AWS CLI)](#setup-teams-create-policy-cli).
**Note**
Cette étape couvre la création d'une politique gérée par le client pour les groupes IAM uniquement. Pour créer un ensemble d'autorisations personnalisé pour les groupes dans AWS IAM Identity Center, ignorez cette étape et suivez les instructions de la section [Créer un ensemble d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset) dans le *guide de AWS IAM Identity Center l'utilisateur*. Dans cette rubrique, suivez les instructions pour créer un jeu d'autorisations personnalisé. Pour voir des politiques d'autorisation personnalisées connexes, consultez [Exemples de politiques gérées par le client pour les équipes utilisant AWS Cloud9](setup-teams-policy-examples.md) plus loin dans cette rubrique.
### Étape 1.1 : Création d'une politique gérée par le client à l'aide de la console
1. Connectez-vous au AWS Management Console, si ce n'est pas déjà fait.
Nous vous recommandons de vous connecter à l'aide des informations d'identification d'un utilisateur administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez votre Compte AWS administrateur.
1. Ouvrez la console IAM. Pour ce faire, choisissez **Services** dans la barre de navigation de la console. Choisissez ensuite **IAM**.
1. Dans le panneau de navigation du service, sélectionnez **Stratégies**.
1. Choisissez **Create Policy** (Créer une politique).
1. Sous l'onglet **JSON**, collez l'un de nos [exemples de stratégies gérées par le client](setup-teams-policy-examples.md).
**Note**
Vous pouvez également créer vos propres stratégies gérées par le client. Pour plus d'informations, consultez la [Référence de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM* et la [documentation](https://aws.amazon.com/documentation/) du Service AWS.
1. Choisissez **Examiner une politique**.
1. Dans la page **Examiner une stratégie**, entrez un **Nom** et une **Description** facultative pour la stratégie, puis choisissez **Créer une stratégie**.
Répétez cette étape pour chaque politique gérée par le client supplémentaire que vous souhaitez créer. Ensuite, passez directement à [Ajout de stratégies gérées par le client à un groupe avec la console](#setup-teams-add-policy-console).
### Étape 1.2 : Créez une politique gérée par le client à l'aide du AWS CLI
1. Sur l'ordinateur sur lequel vous exécutez le AWS CLI, créez un fichier pour décrire la politique (par exemple,`policy.json`).
Si vous créez le fichier sous un autre nom, remplacez-le tout au long de cette procédure.
1. Collez l'un des [Exemples de stratégies gérées par le client](setup-teams-policy-examples.md) dans le fichier `policy.json`.
**Note**
Vous pouvez également créer vos propres stratégies gérées par le client. Pour plus d'informations, consultez la [Référence des stratégies JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM* et la [documentation](https://aws.amazon.com/documentation/) des services AWS .
1. Depuis le terminal ou l'invite de commande, accédez au répertoire contenant le fichier `policy.json`.
1. Exécutez la commande IAM `create-policy`, en spécifiant le nom de la stratégie et le fichier `policy.json`.
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
Dans la commande précédente, remplacez `MyPolicy` par le nom de la stratégie.
Passez directement à [Ajouter des politiques gérées par le client à un groupe à l'aide du AWS CLI](#setup-teams-add-policy-cli).
## Étape 2 : Ajouter des stratégies gérées par le client à un groupe
Vous pouvez ajouter des politiques gérées par le client à un groupe à l'aide de la [AWS Management Console](#setup-teams-add-policy-console) ou de l'[interface de ligne de commande AWS (AWS CLI)](#setup-teams-add-policy-cli). Pour plus d'informations, consultez les [exemples de politiques gérées par le client pour les équipes qui les utilisent AWS Cloud9](setup-teams-policy-examples.md).
**Note**
Cette étape couvre l'ajout de politiques gérées par le client aux groupes IAM uniquement. Pour ajouter des ensembles d'autorisations personnalisés à des groupes AWS IAM Identity Center, ignorez cette étape et suivez plutôt les instructions de la section [Attribuer un accès utilisateur](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers) dans le *guide de AWS IAM Identity Center l'*utilisateur.
### Étape 2.1 : ajouter des politiques gérées par le client à un groupe à l'aide de la console
1. Avec la console IAM ouverte depuis la procédure précédente, choisissez **Groupes** dans le volet de navigation du service.
1. Choisissez le nom du groupe.
1. Dans l'onglet **Autorisations**, pour **Stratégies gérées**, choisissez **Attacher la stratégie**.
1. Dans la liste des noms de politique, cochez la case en regard de chaque politique gérée par le client que vous souhaitez attacher au groupe. Si vous ne voyez pas un nom de politique spécifique dans la liste, saisissez le nom de la politique dans la zone **Filter** (Filtre) pour l'afficher.
1. Choisissez **Attach Policy** (Attacher une politique).
### Étape 2.2 : Ajoutez des politiques gérées par le client à un groupe à l'aide du AWS CLI
**Note**
Si vous utilisez des [informations d'identification temporaires AWS gérées](security-iam.md#auth-and-access-control-temporary-managed-credentials), vous ne pouvez pas utiliser une session de terminal dans l' AWS Cloud9 IDE pour exécuter certaines ou toutes les commandes de cette section. Pour répondre aux meilleures pratiques en matière de AWS sécurité, les informations d'identification temporaires AWS gérées n'autorisent pas l'exécution de certaines commandes. Au lieu de cela, vous pouvez exécuter ces commandes à partir d'une installation séparée de AWS Command Line Interface (AWS CLI).
Exécutez la commande IAM `attach-group-policy`, en spécifiant le nom du groupe et l'ARN (Amazon Resource Name) de la stratégie.
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
Dans la commande précédente, remplacez `MyGroup` par le nom du groupe. Remplacez `123456789012` par l'identifiant du AWS compte. Puis remplacez `MyPolicy` par le nom de la politique gérée par le client.
## Étapes suivantes
****
| **Tâche** | **Consultez cette rubrique** |
| --- | --- |
| Créez un environnement de AWS Cloud9 développement, puis utilisez l' AWS Cloud9 IDE pour travailler avec du code dans votre nouvel environnement. | [Création d'un environnement](create-environment.md) |
| Apprenez à utiliser l' AWS Cloud9 IDE. | [Mise en route : tutoriels de base](tutorials-basic.md) et [Utilisation de l'IDE](ide.md) |
| Invitez d'autres personnes à utiliser votre nouvel environnement en même temps que vous, en temps réel et avec prise en charge du chat. | [Utilisation d'environnements partagés](share-environment.md) |
# Exemples de politiques gérées par le client pour les équipes utilisant AWS Cloud9
Voici quelques exemples de politiques que vous pouvez utiliser pour restreindre les environnements que les utilisateurs d'un groupe peuvent créer dans un Compte AWS.
+ [Interdiction aux utilisateurs d'un groupe de créer des environnements](#setup-teams-policy-examples-prevent-environments)
+ [Interdiction aux utilisateurs d'un groupe de créer des environnements EC2](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Autorisation pour les utilisateurs d'un groupe de créer des environnements EC2 uniquement avec des types d'instances Amazon EC2 spécifiques](#setup-teams-policy-examples-specific-instance-types)
+ [Permettre aux utilisateurs d'un groupe de créer un seul environnement EC2 par région AWS](#setup-teams-policy-examples-single-ec2-environment)
## Interdiction aux utilisateurs d'un groupe de créer des environnements
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, empêche ces utilisateurs de créer des environnements dans un Compte AWS. Cela est utile si vous souhaitez qu'un utilisateur administrateur gère Compte AWS la création d'environnements. Dans le cas contraire, c'est ce que font AWS Cloud9 les utilisateurs d'un groupe d'utilisateurs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
La politique gérée par le client précédente `"Effect": "Allow"` remplace `"Action": "cloud9:CreateEnvironmentEC2"` explicitement `"cloud9:CreateEnvironmentSSH"` `"Resource": "*"` la politique `AWSCloud9User` gérée déjà attachée au groupe d' AWS Cloud9 utilisateurs.
## Interdiction aux utilisateurs d'un groupe de créer des environnements EC2
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, empêche ces utilisateurs de créer des environnements EC2 dans un Compte AWS. Cela est utile si vous souhaitez qu'un utilisateur administrateur gère Compte AWS la création d'environnements EC2. Dans le cas contraire, c'est ce que font AWS Cloud9 les utilisateurs d'un groupe d'utilisateurs. Cette politique suppose que vous n'avez pas également attaché une politique qui empêche les utilisateurs de ce groupe de créer des environnements SSH. Dans le cas contraire, ces utilisateurs ne peuvent pas créer d'environnements.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
La politique gérée par le client précédente `"Effect": "Allow"` remplace explicitement `"Action": "cloud9:CreateEnvironmentEC2"` `"Resource": "*"` la politique `AWSCloud9User` gérée déjà attachée au groupe d' AWS Cloud9 utilisateurs.
## Autorisation pour les utilisateurs d'un groupe de créer des environnements EC2 uniquement avec des types d'instances Amazon EC2 spécifiques
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, permet aux utilisateurs du groupe d'utilisateurs de créer des environnements EC2 qui n'utilisent que des types d'instances commençant `t2` par un Compte AWS. Cette politique suppose que vous n'avez pas aussi attaché une politique qui empêche les utilisateurs de ce groupe de créer des environnements EC2. Dans le cas contraire, ces utilisateurs ne peuvent pas créer d'environnements EC2.
Vous pouvez remplacer `"t2.*"` dans la stratégie suivante par une autre classe d'instance (par exemple, `"m4.*"`). Ou vous pouvez la restreindre à plusieurs types d'instances ou classes d'instance (par exemple, `[ "t2.*", "m4.*" ]` ou `[ "t2.micro", "m4.large" ]`).
Pour un groupe d' AWS Cloud9 utilisateurs, détachez la politique `AWSCloud9User` gérée du groupe. Ajoutez ensuite la politique gérée par le client à la place. Si vous ne détachez pas la politique gérée par `AWSCloud9User`, la politique gérée par le client suivante ne s'applique pas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La politique gérée par le client précédente permet également à ces utilisateurs de créer des environnements SSH. Pour empêcher ces utilisateurs de créer des environnements SSH, supprimez `"cloud9:CreateEnvironmentSSH",` de la politique gérée par le client précédente.
## Permettre aux utilisateurs d'un groupe de créer un seul environnement EC2 dans chaque groupe Région AWS
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, permet à chacun de ces utilisateurs de créer au maximum un environnement EC2 dans chaque Région AWS environnement AWS Cloud9 disponible dans. C'est possible en limitant le nom de l'environnement à un nom spécifique dans cette Région AWS. Dans cet exemple, l'environnement est limité à `my-demo-environment`.
**Note**
AWS Cloud9 ne permet pas de restreindre la création d'environnements Régions AWS à des conditions spécifiques. AWS Cloud9 ne permet pas non plus de restreindre le nombre total d'environnements pouvant être créés. La seule exception concerne les [limites de service](limits.md) publiées.
Pour un groupe d' AWS Cloud9 utilisateurs, détachez la politique `AWSCloud9User` gérée du groupe, puis ajoutez à sa place la politique gérée par le client suivante. Si vous ne détachez pas la politique gérée par `AWSCloud9User`, la politique gérée par le client suivante ne s'applique pas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La politique gérée par le client précédente permet à ces utilisateurs de créer des environnements SSH. Pour empêcher ces utilisateurs de créer des environnements SSH, supprimez `"cloud9:CreateEnvironmentSSH",` de la politique gérée par le client précédente.
Pour obtenir plus d’exemples, consultez [Exemples de politiques gérées par le client](security-iam.md#auth-and-access-control-customer-policies-examples).