AWS Cloud9 non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio normalmente. Ulteriori informazioni
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Identity and Access Management per AWS Cloud9
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse. AWS Cloud9 IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
Argomenti
Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
-
Utente del servizio: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (vedi Risoluzione dei problemi AWS Cloud9 di identità e accesso)
-
Amministratore del servizio: determina l’accesso degli utenti e invia le richieste di autorizzazione (vedi Come AWS Cloud9 funziona con IAM)
-
Amministratore IAM: scrivi policy per gestire l’accesso (vedi Esempi di policy basate su identità per AWS Cloud9)
Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per maggiori informazioni sull’accesso, consultare la sezione Come accedere a Account AWS nella Guida per l’utente di Accedi ad AWS .
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta AWS Signature Version 4 per le richieste API nella Guida per l’utente IAM.
Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata utente Account AWS root che ha accesso completo a tutte Servizi AWS le risorse. Si consiglia vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta Attività che richiedono le credenziali dell’utente root nella Guida per l’utente IAM.
Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'identità federata è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, consigliamo di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta Cos’è IAM Identity Center? nella Guida per l’utente di AWS IAM Identity Center .
Utenti e gruppi IAM
Un utente IAM è un’identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.
Un gruppo IAM specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta Casi d’uso per utenti IAM nella Guida per l’utente IAM.
Ruoli IAM
Un ruolo IAM è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo passando da un ruolo utente a un ruolo IAM (console) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta Metodi per assumere un ruolonella Guida per l’utente IAM.
I ruoli IAM sono utili per l'accesso federato degli utenti, le autorizzazioni utente IAM temporanee, l'accesso tra account, l'accesso tra servizi e le applicazioni in esecuzione su Amazon. EC2 Per maggiori informazioni, consultare Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.
Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e collegandole a identità o risorse. AWS Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l’utente IAM.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale principale può eseguire azioni su quali risorse e in quali condizioni.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente IAM.
Le policy basate sull’identità possono essere policy in linea (incorporate direttamente in una singola identità) o policy gestite (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consultare Scelta fra policy gestite e policy inline nella Guida per l’utente IAM.
Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le policy di trust dei ruoli IAM e le policy dei bucket di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio specificare un’entità principale.
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
-
Limiti delle autorizzazioni: impostano il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente IAM.
-
Politiche di controllo del servizio (SCPs): specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare Policy di controllo dei servizi nella Guida per l’utente di AWS Organizations .
-
Politiche di controllo delle risorse (RCPs): imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta Politiche di controllo delle risorse (RCPs) nella Guida per l'AWS Organizations utente.
-
Le policy di sessione sono policy avanzate che si passano come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare Policy di sessione nella Guida per l’utente IAM.
Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta Logica di valutazione delle policy nella IAM User Guide.
Come AWS Cloud9 funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS Cloud9, scopri con quali funzionalità IAM è disponibile l'uso AWS Cloud9.
| Funzionalità IAM | AWS Cloud9 supporto |
|---|---|
|
Sì |
|
|
No |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
No |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
Sì |
Per avere una panoramica di alto livello su come AWS Cloud9 e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta AWS i servizi che funzionano con IAM nella IAM User Guide.
Politiche basate sull'identità per AWS Cloud9
Supporta le policy basate sull’identità: sì
Le policy basate sull’identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un’identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente di IAM.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l’utente IAM.
Esempi di politiche basate sull'identità per AWS Cloud9
Per visualizzare esempi di politiche basate sull' AWS Cloud9 identità, vedere. Esempi di policy basate su identità per AWS Cloud9
Politiche basate sulle risorse all'interno AWS Cloud9
Supporta le policy basate su risorse: no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli di IAM e le policy dei bucket di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio specificare un’entità principale. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.
AWS Cloud9 non supporta politiche basate sulle risorse, ma è comunque possibile controllare le autorizzazioni relative alle risorse AWS Cloud9 ambientali per i membri dell'ambiente tramite AWS Cloud9 l'API e l'IDE. AWS Cloud9 AWS Cloud9
Azioni politiche per AWS Cloud9
Supporta le operazioni di policy: si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l’accesso a un criterio. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di AWS Cloud9 azioni, vedere Azioni definite da AWS Cloud9 nel Service Authorization Reference.
Le azioni politiche in AWS Cloud9 uso utilizzano il seguente prefisso prima dell'azione:
account
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
"Action": [ "account:action1", "account:action2" ]
Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. Esempi di policy basate su identità per AWS Cloud9
Risorse politiche per AWS Cloud9
Supporta le risorse relative alle policy: sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento JSON Resource della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Per le azioni che non supportano le autorizzazioni a livello di risorsa, utilizzare un carattere jolly (*) per indicare che l’istruzione si applica a tutte le risorse.
"Resource": "*"
Per visualizzare un elenco dei tipi di AWS Cloud9 risorse e relativi ARNs, vedere Resources defined by AWS Cloud9 nel Service Authorization Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione Operazioni definite da AWS Cloud9.
Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. Esempi di policy basate su identità per AWS Cloud9
Chiavi relative alle condizioni delle politiche per AWS Cloud9
Supporta le chiavi di condizione delle policy specifiche del servizio: sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Per visualizzare un elenco di chiavi di AWS Cloud9 condizione, consulta Condition keys for AWS Cloud9 nel Service Authorization Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi Azioni definite da AWS Cloud9.
Per visualizzare esempi di politiche AWS Cloud9 basate sull'identità, vedere. Esempi di policy basate su identità per AWS Cloud9
ACLs in AWS Cloud9
Supporti ACLs: no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
ABAC con AWS Cloud9
Supporta ABAC (tag nelle policy): sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è Sì. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà Parziale.
Per maggiori informazioni su ABAC, consulta Definizione delle autorizzazioni con autorizzazione ABAC nella Guida per l’utente di IAM. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta Utilizzo del controllo degli accessi basato su attributi (ABAC) nella Guida per l’utente di IAM.
Utilizzo di credenziali temporanee con AWS Cloud9
Supporta le credenziali temporanee: sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee in IAM e Servizi AWS compatibili con IAM nelle Guida per l’utente IAM.
Sessioni di accesso diretto per AWS Cloud9
Supporta l’inoltro delle sessioni di accesso (FAS): sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta la pagina Inoltro sessioni di accesso.
Ruoli di servizio per AWS Cloud9
Supporta i ruoli di servizio: sì
Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per maggiori informazioni, consulta la sezione Creare un ruolo per delegare le autorizzazioni a una persona Servizio AWS nella Guida per l’utente di IAM.
avvertimento
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere la funzionalità. AWS Cloud9 Modifica i ruoli di servizio solo quando viene AWS Cloud9 fornita una guida in tal senso.
Ruoli collegati ai servizi per AWS Cloud9
Supporta i ruoli collegati al servizio: Sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta Servizi AWS supportati da IAM. Trova un servizio nella tabella che include un Yes nella colonna Service-linked role (Ruolo collegato ai servizi). Scegli il collegamento Sì per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Esempi di policy basate su identità per AWS Cloud9
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse AWS Cloud9 . Per concedere agli utenti l’autorizzazione a eseguire operazioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta Creazione di policy IAM (console) nella Guida per l’utente IAM.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da AWS Cloud9, incluso il formato di ARNs per ogni tipo di risorsa, vedere Azioni, risorse e chiavi di condizione AWS Cloud9 nel Service Authorization Reference.
Argomenti
Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS Cloud9 risorse nel tuo account. Queste operazioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
-
Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.
-
Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.
-
Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso a operazioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.
-
Utilizzo di IAM Access Analyzer per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - IAM Access Analyzer convalida le policy nuove ed esistenti in modo che aderiscano alla sintassi della policy IAM (JSON) e alle best practice di IAM. IAM Access Analyzer offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consulta Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.
-
Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consulta Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.
Per maggiori informazioni sulle best practice in IAM, consultare Best practice di sicurezza in IAM nella Guida per l’utente IAM.
Utilizzo della console di AWS Cloud9
Per accedere alla AWS Cloud9 console, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle AWS Cloud9 risorse del tuo. Account AWS Se si cra una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle operazioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la AWS Cloud9 console, allega anche la policy AWS Cloud9 ConsoleAccessReadOnly
Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono cpllegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Risoluzione dei problemi AWS Cloud9 di identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS Cloud9 IAM.
Argomenti
Non sono autorizzato a eseguire alcuna azione in AWS Cloud9
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM mateojackson prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa my-example-widgetawes: fittizie.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidgeton resource:my-example-widget
In questo caso, la policy per l’utente mateojackson deve essere aggiornata per consentire l’accesso alla risorsa my-example-widgetawes:.GetWidget
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione iam:PassRole, le tue policy devono essere aggiornate per poter passare un ruolo a AWS Cloud9.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato marymajor cerca di utilizzare la console per eseguire un'operazione in AWS Cloud9. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione iam:PassRole.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
Voglio consentire a persone esterne a me di accedere Account AWS alle mie AWS Cloud9 risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
-
Per sapere se AWS Cloud9 supporta queste funzionalità, consulta. Come AWS Cloud9 funziona con IAM
-
Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà nella IAM User Guide.
-
Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta Fornire l'accesso a soggetti Account AWS di proprietà di terze parti nella Guida per l'utente IAM.
-
Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità) nella Guida per l’utente di IAM.
-
Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta Accesso a risorse multi-account in IAM nella Guida per l’utente di IAM.
Come AWS Cloud9 funziona con le risorse e le operazioni IAM
AWS Identity and Access Management viene utilizzato per gestire le autorizzazioni che consentono di lavorare sia con ambienti di AWS Cloud9 sviluppo che con altre Servizi AWS risorse.
AWS Cloud9 risorse e operazioni
Nel AWS Cloud9, la risorsa principale è un ambiente di AWS Cloud9 sviluppo. In una policy, devi utilizzare un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy stessa. La tabella seguente elenca l'ambiente ARNs. Per ulteriori informazioni, consulta Amazon Resource Names (ARNs) e AWS Service Namespaces nel. Riferimenti generali di Amazon Web Services
| Tipo di risorsa | Formato ARN |
|---|---|
|
Ambiente |
|
|
Tutti gli ambienti di proprietà dell'account indicato nella Regione AWS specificata |
|
|
Tutti gli ambienti di proprietà dell'account indicato nella regione specificata |
|
|
Ogni AWS Cloud9 risorsa, indipendentemente dall'account e dalla regione |
|
Ad esempio, nell'istruzione puoi indicare un ambiente specifico utilizzando il relativo nome della risorsa Amazon (ARN) come segue:
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
Per specificare tutte le risorse, utilizza il carattere jolly (*) nell'elemento Resource.
"Resource": "*"
Per specificare più risorse in un'unica istruzione, separa i rispettivi Amazon Resource Names (ARNs) con una virgola.
"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]
AWS Cloud9 fornisce una serie di operazioni per lavorare con AWS Cloud9 le risorse. Per un elenco, consulta AWS Cloud9 riferimento alle autorizzazioni.
Informazioni sulla proprietà delle risorse
L' Account AWS account possiede le risorse create nell'account, indipendentemente da chi ha creato le risorse.
Considera i casi d'uso e gli scenari seguenti:
-
Si supponga di utilizzare le credenziali dell'account root del proprio account Account AWS per creare un ambiente di AWS Cloud9 sviluppo. Sebbene possibile, questa operazione non è consigliata. In questo caso, il proprietario dell'ambiente Account AWS è tuo.
-
Supponiamo di creare un utente IAM nel tuo ambiente Account AWS e di concedere le autorizzazioni per creare un ambiente a quell'utente. Quindi, l'utente può creare un ambiente. Tuttavia, il tuo Account AWS, a cui appartiene l'utente, è ancora proprietario dell'ambiente.
-
Supponiamo che tu crei un ruolo IAM nel tuo ambiente Account AWS con le autorizzazioni necessarie per creare un ambiente. Quindi, chiunque possa assumere il ruolo può creare un ambiente. L' Account AWS a cui appartiene il ruolo è il proprietario dell'ambiente.
Nota
Se si elimina un account utente che è il proprietario ARN di uno o più AWS Cloud9 ambienti, questi ambienti non avranno alcun proprietario. Una soluzione alternativa per questo scenario consiste nell'utilizzare l' AWS Cloud9 SDK per aggiungere un altro utente IAM con privilegi di lettura e scrittura utilizzando l'CreateEnvironmentMembershipazione e il tipo di dati. EnvironmentMember Dopo aver aggiunto questo utente IAM, puoi copiare i file di ambiente in nuovi AWS Cloud9 ambienti e rendere questo proprietario il proprietario dell'ARN. Per ulteriori informazioni su questa azione CreateEnvironmentMembership, consulta e per ulteriori informazioni su questo tipo di dati, consulta EnvironmentMemberla Guida di riferimento dell'AWS Cloud9 API.
Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a quali risorse.
Nota
In questa sezione si esamina l'utilizzo di IAM in AWS Cloud9. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Riferimento alla policy JSON di IAM nella Guida per l'utente di IAM.
Le policy allegate a un'identità IAM; vengono definite policy basate su identità (o policy IAM). Le politiche allegate a una risorsa vengono chiamate politiche basate sulle risorse. AWS Cloud9 supporta politiche basate sull'identità e sulle risorse.
Ognuna delle seguenti operazioni API richiede solo una policy IAM da allegare all'identità IAM che desidera chiamare queste operazioni API:
-
CreateEnvironmentEC2 -
DescribeEnvironments
Le seguenti operazioni API richiedono una policy basata sulle risorse. Una policy IAM non è obbligatoria, ma AWS Cloud9 utilizza una policy IAM se è collegata all'identità IAM che desidera richiamare queste azioni API. La policy basata sulle risorse deve essere applicata alla risorsa desiderata: AWS Cloud9
-
CreateEnvironmentMembership -
DeleteEnvironment -
DeleteEnvironmentMembership -
DescribeEnvironmentMemberships -
DescribeEnvironmentStatus -
UpdateEnvironment -
UpdateEnvironmentMembership
Per ulteriori informazioni su ogni operazione API, consulta la Documentazione di riferimento delle API di AWS Cloud9 .
Non è possibile allegare una politica basata sulle risorse direttamente a una risorsa. AWS Cloud9 Al contrario, AWS Cloud9 associa alle risorse le politiche appropriate basate sulle risorse man mano che si aggiungono, modificano, aggiornano o eliminano i membri dell'ambiente. AWS Cloud9
Per concedere a un utente le autorizzazioni per eseguire azioni sulle AWS Cloud9 risorse, alleghi una policy di autorizzazione a un gruppo IAM a cui l'utente appartiene. Ti consigliamo di allegare una policy AWS gestita (predefinita) per AWS Cloud9 ogni volta che è possibile. AWS le politiche gestite contengono set predefiniti di autorizzazioni di accesso per scenari di utilizzo e tipi di utente comuni, ad esempio l'amministrazione completa di un ambiente, gli utenti dell'ambiente e gli utenti che hanno accesso solo in sola lettura a un ambiente. Per un elenco delle politiche AWS gestite per, vedere. AWS Cloud9AWS politiche gestite per AWS Cloud9
Per ulteriori scenari di utilizzo e tipi di utente unici, è possibile creare e allegare le policy gestite dal cliente. Consulta Opzioni di configurazione aggiuntive per AWS Cloud9 e Creazione di politiche gestite dai clienti per AWS Cloud9.
Per allegare una policy IAM (AWS gestita o gestita dal cliente) a un'identità IAM, consulta Allegare le politiche IAM (console) nella IAM User Guide.
Autorizzazioni di sessione per operazioni API
Quando utilizzi l' AWS API AWS CLI or per creare a livello di codice una sessione temporanea per un ruolo o un utente federato, puoi passare le policy di sessione come parametro per estendere l'ambito della sessione di ruolo. Vale a dire, che le autorizzazioni della sessione effettive sono l'intersezione tra le policy basate sull'identità del ruolo e le policy di sessione.
Quando viene effettuata una richiesta di accesso a una risorsa durante una sessione, in mancanza di istruzione Deny e istruzione Allow applicabile nella policy di sessione, il risultato della valutazione della policy è un rifiuto implicito. (Per ulteriori informazioni, consulta Determinare se una richiesta è consentita o rifiutata in un account nella Guida per l'utente di IAM.)
Tuttavia, per le operazioni AWS Cloud9 API che richiedono una politica basata sulle risorse (vedi sopra), le autorizzazioni vengono concesse all'entità IAM che effettua la chiamata se è specificata come nella politica delle risorse. Principal Questa autorizzazione esplicita ha la precedenza sulla negazione implicita della politica di sessione, consentendo così alla sessione di chiamare correttamente l'operazione API. AWS Cloud9
AWS politiche gestite per AWS Cloud9
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i propri casi d’uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per maggiori informazioni, consulta Policy gestite da AWS nella Guida per l’utente di IAM.
AWS politica gestita: AWSCloud9 amministratore
È possibile allegare la policy AWSCloud9Administrator alle identità IAM.
Questa politica concede administrative le autorizzazioni che forniscono l'accesso come amministratore a. AWS Cloud9
Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
-
AWS Cloud9 — Tutte le AWS Cloud9 azioni contenute nel loro. Account AWS
-
Amazon EC2 : ottieni informazioni su più risorse Amazon VPC e subnet al loro interno. Account AWS
-
IAM: ottieni informazioni sugli utenti IAM e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze. Account AWS Account AWS
-
Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la relativa EC2 istanza tramite Systems Manager. Per ulteriori informazioni, consulta Accesso alle istanze senza ingresso con EC2 AWS Systems Manager
AWS politica gestita: Utente AWSCloud9
È possibile allegare la policy AWSCloud9User alle identità IAM.
Questa politica concede user le autorizzazioni per creare ambienti di AWS Cloud9
sviluppo e gestire ambienti di proprietà.
Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
-
AWS Cloud9 — Crea e ottieni informazioni sui loro ambienti e ottieni e modifica le impostazioni utente per i loro ambienti.
-
Amazon EC2 : ottieni informazioni su più risorse Amazon VPC e subnet al loro interno. Account AWS
-
IAM: ottieni informazioni sugli utenti IAM e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze. Account AWS Account AWS
-
Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la relativa EC2 istanza tramite Systems Manager. Per ulteriori informazioni, consulta Accesso alle istanze senza ingresso con EC2 AWS Systems Manager
AWS politica gestita: AWSCloud9 EnvironmentMember
È possibile allegare la policy AWSCloud9EnvironmentMember alle identità IAM.
Questa politica concede membership autorizzazioni che forniscono la possibilità di entrare a far parte di un ambiente AWS Cloud9 condiviso.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
AWS Cloud9 — Ottieni informazioni sui loro ambienti e ottieni e modifica le impostazioni utente per i loro ambienti.
-
IAM: ottieni informazioni sugli utenti IAM nei loro Account AWS ambienti e crea il ruolo AWS Cloud9 collegato ai servizi in base alle esigenze Account AWS .
-
Systems Manager: consente all'utente di effettuare una chiamata StartSession per avviare una connessione a un'istanza per una sessione di Session Manager. Questa autorizzazione è necessaria per gli utenti che aprono un ambiente che comunica con la relativa EC2 istanza tramite Systems Manager. Per ulteriori informazioni, consulta Accesso alle istanze senza ingresso con EC2 AWS Systems Manager
AWS politica gestita: AWSCloud9ServiceRolePolicy
Il ruolo collegato al servizio AWSServiceRoleForAWSCloud9utilizza questa politica per consentire all' AWS Cloud9 ambiente di interagire con Amazon EC2 e CloudFormation le risorse.
Dettagli delle autorizzazioni
AWSCloud9ServiceRolePolicyConcede AWSService RoleFor AWSCloud9 le autorizzazioni necessarie AWS Cloud9 per consentire l'interazione con ( Servizi AWS Amazon EC2 e CloudFormation) necessarie per creare ed eseguire ambienti di sviluppo.
AWS Cloud9 definisce le autorizzazioni dei suoi ruoli collegati ai servizi e solo può AWS Cloud9 assumerne i ruoli. Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un’altra entità IAM.
Per ulteriori informazioni sull' AWS Cloud9 utilizzo dei ruoli collegati ai servizi, vedere. Utilizzo di ruoli collegati ai servizi per AWS Cloud9
AWS Cloud9 aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS Cloud9 da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS Cloud9 documenti.
| Modifica | Descrizione | Data |
|---|---|---|
|
È stata aggiunta una nuova azione a AWSCloud9Utente, AWSCloud9Amministratore e AWSCloud9EnvironmentMemberpolitiche. |
L' |
12 ottobre 2023 |
|
L'API è stata aggiunta alle politiche AWSCloud9degli utenti e degli amministratoriAWSCloud9. |
Due nuove API sono state aggiunte alle politiche AWSCloud9utente e AWSCloud9amministratore, queste API sono |
02 agosto 2023 |
|
Aggiornamento a AWSCloud9ServiceRolePolicy |
AWSCloud9ServiceRolePolicyè stato aggiornato AWS Cloud9 per consentire l'avvio e l'arresto EC2 delle istanze Amazon gestite dalle configurazioni di licenza di License Manager. |
12 gennaio 2022 |
|
AWS Cloud9 ha iniziato a tenere traccia delle modifiche |
AWS Cloud9 ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
15 marzo 2021 |
Creazione di politiche gestite dai clienti per AWS Cloud9
Se nessuna delle politiche AWS gestite soddisfa i requisiti di controllo degli accessi, puoi creare e allegare politiche gestite dai clienti personalizzate.
Per creare una policy gestita dal cliente, consulta Creazione di policy IAM (console) nella Guida per l'utente di IAM.
Argomenti
Specifica degli elementi della policy: effetti, principali, operazioni e risorse
Per ogni AWS Cloud9 risorsa, il servizio definisce una serie di operazioni API. Per concedere le autorizzazioni per queste operazioni API, AWS Cloud9 definisce una serie di azioni che è possibile specificare in una politica.
Di seguito sono elencati gli elementi di base di una policy:
-
Effect: specifica l'effetto, ovvero l'autorizzazione o il diniego, quando l'utente richiede l'operazione specifica. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. È possibile eseguire questa operazione per accertarsi che un utente non possa accedere alla risorsa, anche se l'accesso viene concesso da un'altra policy. -
Principal: nelle policy basate su identità (policy IAM), l'utente a cui la policy è allegata l'entità principale implicita. Per le policy basate sulle risorse, devi specificare utente, account, servizio o altre entità che desideri ricevano le autorizzazioni. -
Resource: utilizza un nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy. -
Action: utilizza parole chiave di operazione per identificare le operazioni sulla risorsa da consentire o rifiutare. Ad esempio, l'autorizzazionecloud9:CreateEnvironmentEC2fornisce all'utente le autorizzazioni per eseguire l'operazioneCreateEnvironmentEC2.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta Riferimento alle policy JSON IAM nella Guida per l'utente di IAM.
Per una tabella che mostra tutte le azioni AWS Cloud9 API e le risorse a cui si applicano, consulta laAWS Cloud9 riferimento alle autorizzazioni.
Esempi di policy gestite dal cliente
In questa sezione sono disponibili policy di esempio che concedono le autorizzazioni per le operazioni di AWS Cloud9 . È possibile adattare le seguenti policy IAM di esempio per permettere o rifiutare esplicitamente l'accesso di AWS Cloud9 alle identità IAM.
Per creare o allegare una policy gestita dal cliente a un'identità IAM, consulta la sezione Creazione di policy IAM (console) e Collegamento di policy IAM (console) nella Guida per l'utente di IAM.
Nota
I seguenti esempi utilizzano la regione degli Stati Uniti orientali (Ohio) (us-east-2), un Account AWS ID fittizio (123456789012) e un ambiente di AWS Cloud9 sviluppo fittizio ID (). 81e900317347585a0601e04c8d52eaEX
Argomenti
Informazioni sugli ambienti
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di acquisire informazioni su qualsiasi ambiente nell'account.
Nota
L'autorizzazione di accesso precedente è già inclusa nelle politiche gestite e. AWS AWSCloud9Administrator AWSCloud9User
Crea ambienti EC2
Il seguente esempio di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di AWS Cloud9 EC2 sviluppo nel proprio account.
Nota
L'autorizzazione di accesso precedente è già inclusa nelle politiche AWS gestite AWSCloud9Administrator eAWSCloud9User.
Crea EC2 ambienti con tipi di EC2 istanze Amazon specifici
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di AWS Cloud9 EC2 sviluppo nel proprio account. Tuttavia, EC2 gli ambienti possono utilizzare solo la classe specificata di tipi di EC2 istanze Amazon.
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tale policy AWS
gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Crea EC2 ambienti in sottoreti Amazon VPC specifiche
Il seguente esempio di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di AWS Cloud9 EC2 sviluppo nel proprio account. Tuttavia, EC2 gli ambienti possono utilizzare solo le sottoreti Amazon VPC specificate.
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tale policy AWS
gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Crea un EC2 ambiente con un nome di ambiente specifico
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare un ambiente di AWS Cloud9 EC2 sviluppo nel proprio account. Tuttavia, l' EC2 ambiente può utilizzare solo il nome specificato.
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tale policy AWS
gestita ha la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Creazione solo di ambienti SSH
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di creare ambienti di sviluppo AWS Cloud9 SSH nel proprio account. Tuttavia, l'entità non può creare ambienti di AWS Cloud9 EC2 sviluppo.
Aggiornamento di ambienti o prevenzione aggiornamento di un ambiente
L'esempio seguente di dichiarazione politica IAM, allegata a un'entità IAM, consente a tale entità di modificare le informazioni su qualsiasi ambiente di AWS Cloud9 sviluppo nel proprio account.
Nota
L'autorizzazione di accesso precedente è già inclusa nella policy AWS AWSCloud9Administrator gestita.
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di modificare le informazioni sull'ambiente con il nome della risorsa Amazon (ARN) specificato.
Elenchi di membri dell'ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di acquisire un elenco di membri per qualsiasi ambiente nell'account.
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. AWSCloud9Administrator Inoltre, l'autorizzazione di accesso precedente è più permissiva dell'autorizzazione di accesso equivalente nella politica gestita. AWS AWSCloud9User
Condivisione di ambienti solo con un utente specifico
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di condividere qualsiasi ambiente nell'account solo con l'utente specificato.
Nota
Se la policy AWS gestita AWSCloud9Administrator o AWSCloud9User è già associata all'entità IAM, tali policy AWS
gestite hanno la precedenza sul comportamento della precedente dichiarazione di policy IAM. Questo perché tali policy AWS gestite sono più permissive.
Prevenzione della condivisione degli ambienti
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di condividere qualsiasi ambiente nell'account.
Modifica o prevenzione della modifica delle impostazioni dei membri dell'ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di modificare le impostazioni dei membri in qualsiasi ambiente nell'account.
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica gestita. AWS AWSCloud9Administrator
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di modificare le impostazioni dei membri nell'ambiente con il nome della risorsa Amazon (ARN) specificato.
Rimozione o prevenzione della rimozione dei membri dell'ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di rimuovere qualunque membro da qualsiasi ambiente nell'account.
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. AWSCloud9Administrator
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di rimuovere qualunque membro dall'ambiente con il nome della risorsa Amazon (ARN) specificato.
Eliminazione o prevenzione dell'eliminazione di un ambiente
L'istruzione della policy IAM; di esempio, allegata a un'entità IAM, permette all'entità di eliminare qualsiasi ambiente nell'account.
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica AWS gestita. AWSCloud9Administrator
La seguente istruzione di policy IAM di esempio, collegata a un'entità IAM, impedisce esplicitamente all'entità di eliminare l'ambiente con il nome della risorsa Amazon (ARN) specificato.
Policy IAM personalizzata per la creazione di ambienti SSM
Attualmente esiste un problema di autorizzazioni che si verifica quando si crea un ambiente SSM con le politiche AWSCloud9Administrator o AWSCloud9User allegate. L'esempio seguente di dichiarazione di policy IAM, se collegata a un'entità IAM, consente agli utenti di allegare e utilizzare la policy AWS AWSCloud9Administrator gestita o. AWSCloud9User
AWS Cloud9 riferimento alle autorizzazioni
Puoi utilizzare chiavi AWS di condizione ampie nelle tue AWS Cloud9 politiche per esprimere le condizioni. Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Condition nella Guida per l'utente di IAM.
Puoi specificare le operazioni nel campo Action della policy. Per specificare un'operazione, utilizza il prefisso cloud9: seguito dal nome dell'operazione API (ad esempio, "Action": "cloud9:DescribeEnvironments"). Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola (ad esempio, "Action": [
"cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).
Utilizzo di caratteri jolly
Puoi specificare un ARN, con o senza un carattere jolly (*), come valore della risorsa nel campo Resource della policy. È possibile utilizzare un carattere jolly per specificare più operazioni o risorse. Ad esempio, cloud9:* specifica tutte le AWS Cloud9 azioni e cloud9:Describe* specifica tutte le AWS Cloud9 azioni che iniziano con. Describe
L'esempio seguente permette a un'entità IAM di ottenere informazioni sugli ambienti e sulle appartenenze all'ambiente per qualsiasi ambiente nell'account.
Nota
L'autorizzazione di accesso precedente è già inclusa nella politica gestita. AWS AWSCloud9Administrator Inoltre, l'autorizzazione di accesso precedente è più permissiva dell'autorizzazione di accesso equivalente nella politica gestita. AWS AWSCloud9User
AWS Cloud9 Operazioni API e autorizzazioni richieste per le azioni
Nota
Puoi utilizzare le seguenti tabelle come riferimento quando configuri il controllo dell'accesso e scrivi le policy di autorizzazione da allegare a un'identità IAM (policy basate su identità).
La Public API operations tabella elenca le operazioni API che possono essere richiamate dai clienti utilizzando SDKs e il AWS Command Line Interface.
Permission-only API operations elenca le operazioni API che non sono direttamente richiamabili dal codice cliente o da AWS Command Line Interface. Tuttavia, gli utenti IAM richiedono autorizzazioni per tali operazioni che vengono chiamate quando le operazioni di AWS Cloud9 vengono eseguite dalla console.
| AWS Cloud9 operazione | Autorizzazioni richieste (operazione API) | Risorsa |
|---|---|---|
|
|
Necessario per creare un ambiente di AWS Cloud9 EC2 sviluppo. |
|
|
|
Necessario per aggiungere un membro a un ambiente. |
|
|
|
Necessario per eliminare un ambiente. |
|
|
|
Necessario per rimuovere un membro da un ambiente. |
|
|
|
Necessario per ottenere un elenco di membri in un ambiente. |
|
|
|
Necessario per ottenere informazioni su un ambiente. |
|
|
|
Necessario per ottenere informazioni sullo stato di un ambiente. |
|
|
|
Necessario per aggiornare le impostazioni di un ambiente. |
|
|
|
Necessario per aggiornare le impostazioni di un membro di un ambiente. |
|
| AWS Cloud9 operazione | Description | Documentazione della console |
|---|---|---|
|
|
Avvia l' EC2 istanza Amazon a cui si connette il tuo AWS Cloud9 IDE. |
|
|
|
Crea un ambiente di sviluppo AWS Cloud9 SSH. |
|
|
|
Crea un token di autenticazione che permette una connessione tra l'IDE AWS Cloud9 e l'ambiente dell'utente. |
|
|
|
Ottiene dettagli sulla connessione all'ambiente di EC2 sviluppo, inclusi host, utente e porta. |
|
|
|
Ottiene i dettagli sulla connessione all'ambiente di sviluppo SSH, inclusi host, utente e porta. |
|
|
|
Ottiene informazioni sulla configurazione utilizzata per inizializzare l'IDE AWS Cloud9 . |
|
|
|
Ottiene le impostazioni AWS Cloud9 IDE per un ambiente di sviluppo specificato. |
|
|
|
Ottiene le impostazioni AWS Cloud9 IDE per un membro dell'ambiente specificato. |
|
|
|
Ottiene la chiave SSH pubblica dell'utente, utilizzata da per connettersi AWS Cloud9 agli ambienti di sviluppo SSH. |
|
|
|
Ottiene le impostazioni AWS Cloud9 IDE per un utente specificato. |
|
|
|
Imposta credenziali temporanee AWS gestite sull' EC2 istanza Amazon utilizzata dall'ambiente di sviluppo AWS Cloud9 integrato (IDE). |
|
|
|
Aggiorna le impostazioni AWS Cloud9 IDE per un ambiente di sviluppo specificato. |
|
|
|
Aggiorna le impostazioni AWS Cloud9 IDE per un membro dell'ambiente specificato. |
|
|
|
Aggiorna i dettagli sulla connessione all'ambiente di sviluppo SSH, inclusi host, utente e porta. |
|
|
|
Aggiorna le impostazioni AWS Cloud9 IDE per un utente specificato. |
|
|
|
Concede l'autorizzazione a un AWS Cloud9 utente per ottenere l'esperienza di migrazione da AWS Cloud9 a CodeCatalyst. |
AWS credenziali temporanee gestite
|
Se stai solo cercando l'elenco delle azioni supportate dalla AWS gestione delle credenziali temporanee, vai avanti a. Azioni supportate da credenziali temporanee gestite AWS |
Per un ambiente di AWS Cloud9 EC2 sviluppo, AWS Cloud9 rende disponibili le credenziali di AWS accesso temporanee nell'ambiente. Tali credenziali sono definite credenziali temporanee gestite da AWS . Ciò fornisce i seguenti vantaggi:
-
Non è necessario archiviare le credenziali di AWS accesso permanenti di un' AWS entità (ad esempio, un utente IAM) in qualsiasi parte dell'ambiente. In questo modo si impedisce ai membri dell'ambiente di accedere alle credenziali senza consenso e approvazione.
-
Non è necessario configurare, gestire o collegare manualmente un profilo di istanza all' EC2 istanza Amazon che si connette all'ambiente. Un profilo di istanza è un altro approccio per la gestione delle credenziali di AWS accesso temporanee.
-
AWS Cloud9 rinnova continuamente le proprie credenziali temporanee, quindi un singolo set di credenziali può essere utilizzato solo per un periodo di tempo limitato. Si tratta di una procedura consigliata in materia di sicurezza. AWS Per ulteriori informazioni, consulta Creazione e aggiornamento di credenziali temporanee gestite AWS.
-
AWS Cloud9 impone ulteriori restrizioni sul modo in cui le sue credenziali temporanee possono essere utilizzate per accedere ad AWS azioni e risorse dall'ambiente. Si tratta anche di una best practice in AWS materia di sicurezza.
Importante
Attualmente, se l' EC2 istanza dell'ambiente viene avviata in una sottorete privata, non è possibile utilizzare credenziali temporanee AWS gestite per consentire all' EC2ambiente di accedere a un AWS servizio per conto di un' AWS entità (ad esempio, un utente IAM).
Per ulteriori informazioni su quando è possibile avviare un' EC2 istanza in una sottorete privata, consulta. Crea una sottorete per AWS Cloud9
Nota
Prendi in considerazione l'utilizzo di una politica AWS gestita anziché una politica in linea quando utilizzi credenziali temporanee AWS gestite.
Ecco come funzionano le credenziali temporanee AWS gestite ogni volta che un EC2 ambiente tenta di accedere a un Servizio AWS file per conto di un' AWS entità (ad esempio, un utente IAM):
-
AWS Cloud9 verifica se l' AWS entità chiamante (ad esempio, l'utente IAM) dispone delle autorizzazioni per eseguire l'azione richiesta per la risorsa richiesta in. AWS Se l'autorizzazione non esiste o è negata esplicitamente, la richiesta ha esito negativo.
-
AWS Cloud9 controlla le credenziali temporanee AWS gestite per vedere se le relative autorizzazioni consentono l'azione richiesta per la risorsa richiesta in. AWS Se l'autorizzazione non esiste o è negata esplicitamente, la richiesta ha esito negativo. Per un elenco delle autorizzazioni supportate dalla AWS gestione delle credenziali temporanee, vedere. Azioni supportate da credenziali temporanee gestite AWS
-
Se sia l' AWS entità che le credenziali temporanee AWS gestite consentono l'azione richiesta per la risorsa richiesta, la richiesta ha esito positivo.
-
Se l' AWS entità o le credenziali temporanee AWS gestite negano o non consentono esplicitamente l'azione richiesta per la risorsa richiesta, la richiesta ha esito negativo. Ciò significa che, anche se l' AWS entità chiamante dispone delle autorizzazioni corrette, la richiesta avrà esito negativo se AWS Cloud9 non la consente anche in modo esplicito. Allo stesso modo, se AWS Cloud9 consente di eseguire un'azione specifica per una risorsa specifica, la richiesta ha esito negativo se l' AWS entità non la consente anche esplicitamente.
Il proprietario di un EC2 ambiente può attivare o disattivare le credenziali temporanee AWS gestite per quell'ambiente in qualsiasi momento, come segue:
-
Con l'ambiente aperto, nell' AWS Cloud9 IDE, nella barra dei menu scegli AWS Cloud9 Preferenze.
-
Nella scheda Preferences (Preferenze) nel riquadro di navigazione, selezionare AWS Settings, Credentials (Impostazioni AWS , credenziali).
-
Utilizza AWS managed temporary credentials (Credenziali temporanee gestite da AWS ) per attivare o disattivare le credenziali temporanee gestite da AWS .
Nota
È inoltre possibile attivare o disattivare le credenziali temporanee AWS gestite richiamando l'operazione AWS Cloud9 API UpdateEnvironmente assegnando un valore al managedCredentialsAction parametro. È possibile richiedere questa operazione API utilizzando AWS strumenti standard come AWS SDKs e il. AWS CLI
Se disattivi le credenziali temporanee AWS gestite, l'ambiente non può accedervi a nessuna Servizi AWS, indipendentemente dall' AWS entità che effettua la richiesta. Supponiamo tuttavia che tu non possa o non voglia attivare le credenziali temporanee AWS gestite per un ambiente e che tu abbia comunque bisogno dell'ambiente per accedere. Servizi AWS In questo caso, considera le seguenti alternative:
-
Collega un profilo di istanza all' EC2 istanza Amazon che si connette all'ambiente. Per istruzioni, consulta la sezione relativa alla creazione e utilizzo di un profilo dell'istanza per gestire credenziali temporanee.
-
Archivia le tue credenziali di AWS accesso permanenti nell'ambiente, ad esempio impostando variabili di ambiente speciali o eseguendo il
aws configurecomando. Per istruzioni, consulta Creazione e archiviazione di credenziali di accesso permanenti in un ambiente.
Le alternative precedenti hanno la precedenza su tutte le autorizzazioni consentite (o negate) dalle credenziali temporanee AWS gestite in un ambiente. EC2
Azioni supportate da credenziali temporanee gestite AWS
In un ambiente di AWS Cloud9 EC2 sviluppo, le credenziali temporanee AWS gestite consentono tutte AWS le azioni per tutte AWS le risorse del chiamante Account AWS, con le seguenti restrizioni:
-
Infatti AWS Cloud9, sono consentite solo le seguenti azioni:
-
cloud9:CreateEnvironmentEC2 -
cloud9:CreateEnvironmentSSH -
cloud9:DescribeEnvironmentMemberships -
cloud9:DescribeEnvironments -
cloud9:DescribeEnvironmentStatus -
cloud9:UpdateEnvironment
-
-
Per IAM, sono consentite solo le seguenti operazioni:
-
iam:AttachRolePolicy -
iam:ChangePassword -
iam:CreatePolicy -
iam:CreatePolicyVersion -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeletePolicyVersion -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:DeleteSSHPublicKey -
iam:DetachRolePolicy -
iam:GetInstanceProfile -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRole -
iam:GetRolePolicy -
iam:GetSSHPublicKey -
iam:GetUser -
iam:List* -
iam:PassRole -
iam:PutRolePolicy -
iam:SetDefaultPolicyVersion -
iam:UpdateAssumeRolePolicy -
iam:UpdateRoleDescription -
iam:UpdateSSHPublicKey -
iam:UploadSSHPublicKey
-
-
Tutte le operazioni &IAM; che interagiscono con i ruoli sono consentite solo per i nomi dei ruoli che iniziano con
Cloud9-. Tuttavia,iam:PassRolefunziona con tutti i nomi di ruolo. -
Per AWS Security Token Service (AWS STS), sono consentite solo le seguenti azioni:
-
sts:GetCallerIdentity -
sts:DecodeAuthorizationMessage
-
-
Tutte le AWS azioni supportate sono limitate all'indirizzo IP dell'ambiente. Si tratta di una procedura consigliata in materia di AWS sicurezza.
Se AWS Cloud9 non supporta un'azione o una risorsa a cui è necessario accedere in un EC2 ambiente o se le credenziali temporanee AWS gestite sono disattivate per un EC2 ambiente e non puoi riattivarle, prendi in considerazione le seguenti alternative:
-
Collega un profilo di istanza all' EC2 istanza Amazon che si connette all' EC2 ambiente. Per istruzioni, consulta Creazione e utilizzo di un profilo dell'istanza per gestire le credenziali temporanee.
-
Archivia le tue credenziali di AWS accesso permanenti nell' EC2 ambiente, ad esempio impostando variabili di ambiente speciali o eseguendo il
aws configurecomando. Per istruzioni, consulta Creazione e archiviazione di credenziali di accesso permanenti in un ambiente.
Le alternative precedenti hanno la precedenza su tutte le autorizzazioni consentite (o negate) dalle credenziali temporanee AWS gestite in un ambiente. EC2
Creazione e aggiornamento di credenziali temporanee gestite AWS
Per un ambiente di AWS Cloud9 EC2 sviluppo, le credenziali temporanee AWS gestite vengono create la prima volta che si apre l'ambiente.
AWS le credenziali temporanee gestite vengono aggiornate in una delle seguenti condizioni:
-
Dopo un determinato periodo di tempo. Attualmente, questo periodo è ogni cinque minuti.
-
Quando si ricarica la scheda del browser Web che visualizza l'IDE per l'ambiente.
-
Quando viene raggiunto il timestamp elencato nel file
~/.aws/credentialsper l'ambiente. -
Ogni volta che si riattiva l'impostazione AWS managed temporary credentials (Credenziali temporanee gestite da AWS ) se è disattivata (per visualizzare o modificare questa impostazione, scegli AWS Cloud9, Preferences (AWS Cloud9, Preferenze) nella barra dei menu dell'IDE. Nella scheda Preferences (Preferenze), nel pannello di navigazione, scegli AWS Settings, Credentials (Impostazioni AWS , Credenziali)).
-
Per motivi di sicurezza, le credenziali temporanee AWS gestite scadono automaticamente dopo 15 minuti. Per aggiornare le credenziali, il proprietario dell'ambiente deve essere connesso all'ambiente AWS Cloud9 tramite l'IDE. Per ulteriori informazioni sul ruolo del proprietario dell'ambiente, consulta Controllo dell'accesso alle credenziali temporanee gestite da AWS.
Controllo dell'accesso alle credenziali temporanee gestite da AWS
Un collaboratore con credenziali temporanee AWS gestite può utilizzarle AWS Cloud9 per interagire con altri. Servizi AWS Per garantire che vengano fornite solo a collaboratori di fiducia, le credenziali temporanee gestite da AWS vengono disabilitate se un nuovo membro viene aggiunto da un utente diverso dal proprietario dell'ambiente Le credenziali vengono disabilitate mediante l'eliminazione del file ~/.aws/credentials.
Importante
AWS Le credenziali temporanee gestite inoltre scadono automaticamente ogni 15 minuti. Affinché le credenziali vengano aggiornate in modo che i collaboratori possano continuare a utilizzarle, il proprietario dell'ambiente deve essere connesso all' AWS Cloud9 ambiente tramite l'IDE.
Solo il proprietario dell'ambiente può riattivare le credenziali temporanee AWS gestite in modo che possano essere condivise con altri membri. Quando il proprietario dell'ambiente apre l'IDE, una finestra di dialogo conferma che le credenziali temporanee AWS gestite sono disabilitate. Il proprietario dell'ambiente può abilitare di nuovo le credenziali o tenerle disabilitate per tutti i membri.
avvertimento
Per rispettare le best practice di sicurezza, tieni disabilitate le credenziali temporanee gestite se non sei certo dell'identità dell'ultimo utente aggiunto all'ambiente. Puoi controllare l'elenco dei membri con read/write autorizzazioni nella finestra Collaborate.
