AWS Cloud9 tidak lagi tersedia untuk pelanggan baru. Pelanggan yang sudah ada AWS Cloud9 dapat terus menggunakan layanan seperti biasa. [Pelajari selengkapnya](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Opsi pengaturan tambahan untuk AWS Cloud9
Topik ini mengasumsikan Anda telah menyelesaikan langkah-langkah penyiapan di [Pengaturan Tim atau Pengaturan](setup.md) [Perusahaan](setup-enterprise.md).
Di [Pengaturan Tim](setup.md) atau [Pengaturan Perusahaan](setup-enterprise.md), Anda membuat grup dan menambahkan izin AWS Cloud9 akses langsung ke grup tersebut. Ini untuk memastikan bahwa pengguna dalam grup tersebut dapat mengakses AWS Cloud9. Dalam topik ini, Anda menambahkan lebih banyak izin akses untuk membatasi jenis lingkungan yang dapat dibuat oleh pengguna dalam grup tersebut. Ini dapat membantu mengontrol biaya yang terkait AWS Cloud9 dengan AWS akun dan organisasi.
Untuk menambahkan izin akses ini, Anda membuat serangkaian kebijakan Anda sendiri yang menentukan AWS izin akses yang ingin diterapkan. Kami menyebut masing-masing *kebijakan yang dikelola pelanggan*. Kemudian, Anda melampirkan kebijakan yang dikelola pelanggan tersebut ke grup yang menjadi milik pengguna. Dalam beberapa skenario, Anda juga harus melepaskan kebijakan AWS terkelola yang ada yang sudah dilampirkan ke grup tersebut. Untuk mengatur hal ini, ikuti prosedur dalam topik ini.
**catatan**
Prosedur berikut mencakup melampirkan dan melepaskan kebijakan hanya untuk AWS Cloud9 pengguna. Prosedur ini mengasumsikan Anda sudah memiliki grup AWS Cloud9 pengguna dan grup AWS Cloud9 administrator yang terpisah. Mereka juga berasumsi bahwa Anda hanya memiliki sejumlah pengguna terbatas di grup AWS Cloud9 administrator. Praktik terbaik AWS keamanan ini dapat membantu Anda mengontrol, melacak, dan memecahkan masalah dengan akses AWS sumber daya dengan lebih baik.
## Langkah 1: Buat kebijakan terkelola pelanggan
Anda dapat membuat kebijakan terkelola pelanggan menggunakan [Konsol Manajemen AWS](#setup-teams-create-policy-console) atau [AWS Antarmuka Baris Perintah (AWS CLI)](#setup-teams-create-policy-cli).
**catatan**
Langkah ini mencakup pembuatan kebijakan terkelola pelanggan untuk grup IAM saja. Untuk membuat set izin khusus untuk grup AWS IAM Identity Center, lewati langkah ini dan ikuti petunjuk di [Buat Set Izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset) di *Panduan AWS IAM Identity Center Pengguna*. Dalam topik ini, ikuti petunjuk untuk membuat kumpulan izin khusus. Untuk kebijakan izin kustom terkait, lihat [Contoh kebijakan terkelola pelanggan untuk tim yang menggunakan AWS Cloud9](setup-teams-policy-examples.md) pada bagian selanjutnya dalam topik ini.
### Langkah 1.1: Membuat kebijakan terkelola pelanggan menggunakan konsol
1. Masuk ke Konsol Manajemen AWS, jika Anda belum masuk.
Kami menyarankan Anda masuk menggunakan kredensi untuk pengguna administrator di Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.
1. Buka konsol IAM. Untuk melakukannya, di bilah navigasi konsol tersebut, pilih **Layanan**. Lalu pilih **IAM**.
1. Di panel navigasi layanan, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di tab **JSON**, tempel salah satu [contoh kebijakan terkelola pelanggan yang kami sarankan](setup-teams-policy-examples.md).
**catatan**
Anda juga dapat membuat kebijakan terkelola pelanggan. [Untuk informasi selengkapnya, lihat [Referensi Kebijakan IAM JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) di *Panduan Pengguna IAM* dan dokumentasi. Layanan AWS](https://aws.amazon.com/documentation/)
1. Pilih **Tinjau kebijakan**.
1. Pada halaman **Tinjau kebijakan**, ketik **Nama** dan **Deskripsi** opsional untuk kebijakan, lalu pilih **Buat kebijakan**.
Ulangi langkah ini untuk setiap kebijakan tambahan yang dikelola pelanggan yang ingin Anda buat. Kemudian, lewati ke [Tambahkan kebijakan terkelola pelanggan ke grup menggunakan konsol](#setup-teams-add-policy-console).
### Langkah 1.2: Buat kebijakan yang dikelola pelanggan menggunakan AWS CLI
1. Di komputer tempat Anda menjalankan AWS CLI, buat file untuk menjelaskan kebijakan (misalnya,`policy.json`).
Jika Anda membuat file dengan nama file yang berbeda, lakukan penggantian di seluruh prosedur ini.
1. Tempelkan salah satu [contoh kebijakan terkelola pelanggan yang kami sarankan](setup-teams-policy-examples.md) ke dalam file `policy.json`.
**catatan**
Anda juga dapat membuat kebijakan terkelola pelanggan. Untuk informasi selengkapnya, lihat [Referensi Kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) di *Panduan Pengguna IAM* dan AWS [dokumentasi](https://aws.amazon.com/documentation/) layanan.
1. Dari terminal atau command prompt, beralihlah ke direktori yang berisi file `policy.json`.
1. Jalankan perintah IAM `create-policy`, tentukan nama untuk kebijakan dan file `policy.json`.
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
Pada perintah sebelumnya, ganti `MyPolicy` dengan nama kebijakan.
Loncat ke depan untuk [Menambahkan Kebijakan yang dikelola pelanggan ke Grup Menggunakan AWS CLI](#setup-teams-add-policy-cli).
## Langkah 2: Menambahkan kebijakan terkelola pelanggan ke grup
Anda dapat menambahkan kebijakan terkelola pelanggan ke grup dengan menggunakan [Konsol Manajemen AWS](#setup-teams-add-policy-console)atau [Antarmuka Baris AWS Perintah (AWS CLI)](#setup-teams-add-policy-cli). Untuk informasi selengkapnya, lihat [Contoh kebijakan terkelola pelanggan untuk tim yang menggunakan AWS Cloud9](setup-teams-policy-examples.md).
**catatan**
Langkah ini mencakup penambahan kebijakan terkelola pelanggan ke grup IAM saja. Untuk menambahkan set izin khusus ke grup AWS IAM Identity Center, lewati langkah ini dan ikuti petunjuk di [Tetapkan Akses Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers) di *Panduan AWS IAM Identity Center Pengguna* sebagai gantinya.
### Langkah 2.1: Menambahkan kebijakan terkelola pelanggan ke grup menggunakan konsol
1. Dengan konsol IAM terbuka dari prosedur sebelumnya, di panel navigasi pada layanan, pilih **Grup**.
1. Pilih nama grup.
1. Pada tab **Izin**, untuk **Kebijakan Terkelola**, pilih **Lampirkan Kebijakan**.
1. Dalam daftar nama kebijakan, pilih kotak di samping setiap kebijakan terkelola pelanggan yang ingin dilampirkan ke grup. Jika Anda tidak melihat nama kebijakan tertentu dalam daftar, masukkan nama kebijakan di kotak **Filter** untuk menampilkannya.
1. Pilih **Lampirkan Kebijakan**.
### Langkah 2.2: Tambahkan kebijakan yang dikelola pelanggan ke grup menggunakan AWS CLI
**catatan**
Jika Anda menggunakan [kredensi sementara AWS terkelola](security-iam.md#auth-and-access-control-temporary-managed-credentials), Anda tidak dapat menggunakan sesi terminal di AWS Cloud9 IDE untuk menjalankan beberapa atau semua perintah di bagian ini. Untuk mengatasi praktik terbaik AWS keamanan, kredensi sementara AWS terkelola tidak mengizinkan beberapa perintah dijalankan. Sebagai gantinya, Anda dapat menjalankan perintah tersebut dari instalasi terpisah dari AWS Command Line Interface (AWS CLI).
Jalankan perintah IAM `attach-group-policy`, tentukan nama grup dan Amazon Resource Name (ARN) kebijakan.
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
Dengan perintah sebelumnya, ganti `MyGroup` dengan nama grup. Ganti `123456789012` dengan ID AWS akun. Dan ganti `MyPolicy` dengan nama kebijakan yang dikelola pelanggan.
## Langkah selanjutnya
****
| **Tugas** | **Lihat topik ini** |
| --- | --- |
| Buat lingkungan AWS Cloud9 pengembangan, lalu gunakan AWS Cloud9 IDE untuk bekerja dengan kode di lingkungan baru Anda. | [Pembuatan lingkungan](create-environment.md) |
| Pelajari cara menggunakan AWS Cloud9 IDE. | [Memulai: tutorial basic](tutorials-basic.md) dan [Bekerja dengan IDE](ide.md) |
| Undang orang lain untuk menggunakan lingkungan baru Anda bersama Anda secara real time dan dengan dukungan obrolan teks. | [Bekerja dengan Lingkungan Bersama](share-environment.md) |
# Contoh kebijakan terkelola pelanggan untuk tim yang menggunakan AWS Cloud9
Berikut ini adalah beberapa contoh kebijakan yang dapat Anda gunakan untuk membatasi lingkungan yang dapat dibuat oleh pengguna dalam grup. Akun AWS
+ [Mencegah pengguna dalam grup membuat lingkungan](#setup-teams-policy-examples-prevent-environments)
+ [Mencegah pengguna dalam grup membuat lingkungan EC2](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Izinkan pengguna dalam grup untuk membuat lingkungan EC2 hanya dengan jenis instans Amazon EC2 tertentu](#setup-teams-policy-examples-specific-instance-types)
+ [Izinkan pengguna dalam grup untuk membuat hanya satu lingkungan EC2 per Wilayah AWS](#setup-teams-policy-examples-single-ec2-environment)
## Mencegah pengguna dalam grup agar tidak membuat lingkungan
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grup AWS Cloud9 pengguna, mencegah pengguna tersebut membuat lingkungan dalam file Akun AWS. Ini berguna jika Anda ingin pengguna administrator Akun AWS mengelola lingkungan pembuatan. Jika tidak, pengguna dalam grup AWS Cloud9 pengguna melakukan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya secara eksplisit mengesampingkan `"Effect": "Allow"` untuk `"Action": "cloud9:CreateEnvironmentEC2"` dan `"cloud9:CreateEnvironmentSSH"` seterusnya `"Resource": "*"` dalam kebijakan `AWSCloud9User` terkelola yang sudah dilampirkan ke grup pengguna. AWS Cloud9
## Mencegah pengguna dalam grup agar tidak membuat lingkungan EC2
Kebijakan yang dikelola pelanggan berikut, saat dilampirkan ke grup AWS Cloud9 pengguna, mencegah pengguna tersebut membuat lingkungan EC2 dalam file Akun AWS. Ini berguna jika Anda ingin pengguna administrator Akun AWS mengelola pembuatan lingkungan EC2. Jika tidak, pengguna dalam grup AWS Cloud9 pengguna melakukan ini. Ini mengasumsikan Anda juga tidak melampirkan kebijakan yang mencegah pengguna di grup tersebut membuat lingkungan SSH. Jika tidak, pengguna tersebut tidak dapat membuat lingkungan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya secara eksplisit menggantikan `"Effect": "Allow"` `"Action": "cloud9:CreateEnvironmentEC2"` on `"Resource": "*"` dalam kebijakan `AWSCloud9User` terkelola yang sudah dilampirkan ke grup pengguna. AWS Cloud9
## Izinkan pengguna dalam grup untuk membuat lingkungan EC2 hanya dengan jenis Instans Amazon EC2 tertentu
Kebijakan terkelola pelanggan berikut, saat dilampirkan ke grup AWS Cloud9 pengguna, memungkinkan pengguna dalam grup pengguna untuk membuat lingkungan EC2 yang hanya menggunakan tipe instans yang Akun AWS dimulai dengan `t2` dalam file. Kebijakan ini mengasumsikan bahwa Anda juga tidak melampirkan kebijakan yang mencegah pengguna di grup tersebut membuat lingkungan EC2. Jika tidak, pengguna tersebut tidak dapat membuat lingkungan EC2.
Anda dapat mengganti `"t2.*"` dalam kebijakan berikut dengan kelas instans yang berbeda (misalnya, `"m4.*"`). Atau, Anda dapat membatasinya ke beberapa kelas instance atau tipe instance (misalnya, `[ "t2.*", "m4.*" ]` atau`[ "t2.micro", "m4.large" ]`).
Untuk grup AWS Cloud9 pengguna, lepaskan kebijakan `AWSCloud9User` terkelola dari grup. Kemudian, tambahkan kebijakan yang dikelola pelanggan berikut sebagai gantinya. Jika Anda tidak melepaskan kebijakan `AWSCloud9User` terkelola, kebijakan yang dikelola pelanggan berikut tidak akan berpengaruh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya juga memungkinkan pengguna tersebut untuk membuat lingkungan SSH. Untuk mencegah pengguna tersebut agar tidak membuat lingkungan SSH sama sekali, hapus `"cloud9:CreateEnvironmentSSH",` dari kebijakan yang dikelola pelanggan sebelumnya.
## Izinkan pengguna dalam grup untuk membuat hanya satu lingkungan EC2 di masing-masing Wilayah AWS
Kebijakan yang dikelola pelanggan berikut, ketika dilampirkan ke grup AWS Cloud9 pengguna, memungkinkan setiap pengguna tersebut untuk membuat maksimal satu lingkungan EC2 di setiap lingkungan Wilayah AWS yang AWS Cloud9 tersedia di. Ini dilakukan dengan membatasi nama lingkungan ke satu nama tertentu di dalamnya. Wilayah AWS Dalam contoh ini, lingkungan dibatasi untuk`my-demo-environment`.
**catatan**
AWS Cloud9 tidak mengaktifkan pembatasan lingkungan ke spesifik Wilayah AWS agar tidak dibuat. AWS Cloud9 juga tidak memungkinkan membatasi jumlah keseluruhan lingkungan yang dapat dibuat. Satu-satunya pengecualian adalah [batas layanan](limits.md) yang dipublikasikan.
Untuk grup AWS Cloud9 pengguna, lepaskan kebijakan `AWSCloud9User` terkelola dari grup, lalu tambahkan kebijakan terkelola pelanggan berikut sebagai gantinya. Jika Anda tidak melepaskan kebijakan `AWSCloud9User` terkelola, kebijakan yang dikelola pelanggan berikut tidak akan berpengaruh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
Kebijakan terkelola pelanggan sebelumnya memungkinkan pengguna tersebut untuk membuat lingkungan SSH. Untuk mencegah pengguna tersebut agar tidak membuat lingkungan SSH sama sekali, hapus `"cloud9:CreateEnvironmentSSH",` dari kebijakan yang dikelola pelanggan sebelumnya.
Untuk contoh lainnya, lihat [Contoh kebijakan yang dikelola pelanggan](security-iam.md#auth-and-access-control-customer-policies-examples).