AWS Cloud9 non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio come di consueto. [Ulteriori informazioni](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Opzioni di configurazione aggiuntive per AWS Cloud9
In questo argomento si presuppone che tu abbia già completato le fasi di configurazione descritte in [Configurazione di un team](setup.md) o [Configurazione di un'azienda](setup-enterprise.md).
In [Team Setup](setup.md) o [Enterprise Setup](setup-enterprise.md), hai creato gruppi e aggiunto le autorizzazioni di AWS Cloud9 accesso direttamente a tali gruppi. per garantire che gli utenti dei gruppi possano accedere ad AWS Cloud9. In questo argomento, aggiungi altre autorizzazioni di accesso per limitare i tipi di ambiente che gli utenti dei gruppi possono creare. Questo può aiutare a controllare i costi relativi agli AWS Cloud9 AWS account e alle organizzazioni.
Per aggiungere queste autorizzazioni di accesso, devi creare un set di policy che definiscono le autorizzazioni di accesso ad AWS da applicare. Queste sono chiamate *policy gestite dal cliente*. Quindi colleghi queste policy gestite dal cliente ai gruppi ai quali appartengono gli utenti. In alcuni scenari, è inoltre necessario scollegare le politiche AWS gestite esistenti che sono già associate a tali gruppi. Per questa operazione, segui le procedure riportate nel presente argomento.
**Nota**
Le procedure seguenti riguardano il collegamento e il distacco delle politiche solo per gli AWS Cloud9 utenti. Queste procedure presuppongono che l'utente disponga già di un gruppo di AWS Cloud9 utenti e un gruppo di AWS Cloud9 amministratori separati. Presuppongono inoltre che il numero di utenti nel gruppo di amministratori AWS Cloud9 sia limitato. Questa best practice AWS di sicurezza può aiutarti a controllare, tenere traccia e risolvere meglio i problemi relativi all'accesso alle risorse. AWS
## Fase 1: creare una policy gestita dal cliente
Puoi creare una policy gestita dal cliente utilizzando la [Console di gestione AWS](#setup-teams-create-policy-console) o l'[AWS Command Line Interface (AWS CLI)](#setup-teams-create-policy-cli).
**Nota**
Questa fase tratta la creazione di una policy gestita dal cliente solo per gruppi IAM. *Per creare un set di autorizzazioni personalizzato per i gruppi in AWS IAM Identity Center, salta questo passaggio e segui le istruzioni in [Crea set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset) nella Guida per l'AWS IAM Identity Center utente.* In questo argomento, segui le istruzioni per creare un set di autorizzazioni personalizzato. Per le policy di autorizzazioni personalizzate correlate, consulta [Esempi di policy gestite dal cliente per i team che utilizzano AWS Cloud9](setup-teams-policy-examples.md) più avanti in questo argomento.
### Passaggio 1.1: Creare una politica gestita dai clienti utilizzando la console
1. Accedi a Console di gestione AWS, se non hai già effettuato l'accesso.
Consigliamo di effettuare l'accesso utilizzando le credenziali dell'utente amministratore nell' Account AWS. Se non riesci a farlo, contatta il tuo Account AWS amministratore.
1. Apri la console IAM. Per eseguire questa operazione, scegliere **Services (Servizi)** nella barra di navigazione della console. Quindi scegliere **IAM**.
1. Nel riquadro di navigazione dei servizi, seleziona **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Nella scheda **JSON**, incolla uno degli [esempi di policy gestite dal cliente](setup-teams-policy-examples.md) consigliati.
**Nota**
Puoi anche creare policy gestite dal cliente personalizzate. Per ulteriori informazioni, consulta [Riferimento alla policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM* e nella [documentazione](https://aws.amazon.com/documentation/) dei Servizio AWS.
1. Scegliere **Esamina policy**.
1. Nella pagina **Review policy (Esamina policy)**, digita un **Name (Nome)** e una **Description (Descrizione)** facoltativa per la policy, quindi seleziona **Create policy (Crea policy)**.
Ripeti questo passaggio per ogni altra policy gestita dal cliente che desideri creare. Passa alla sezione [Aggiunta di policy gestite dal cliente a un gruppo utilizzando la console](#setup-teams-add-policy-console).
### Passaggio 1.2: Creare una politica gestita dai clienti utilizzando il AWS CLI
1. Sul computer su cui esegui AWS CLI, crea un file per descrivere la politica (ad esempio,`policy.json`).
Se crei il file con un nome diverso, sostituiscilo in tutta la procedura.
1. Incolla uno degli [esempi di policy gestite dal cliente](setup-teams-policy-examples.md) nel file `policy.json`.
**Nota**
Puoi anche creare policy gestite dal cliente personalizzate. Per ulteriori informazioni, consulta [Riferimento alla policy JSON di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM* e nella [documentazione](https://aws.amazon.com/documentation/) dei servizi AWS .
1. Dal terminale o dal prompt dei comandi, passa alla directory contenente il file `policy.json`.
1. Esegui il comando `create-policy` di IAM , specificando un nome per la policy e il file `policy.json`.
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
Nel comando precedente, sostituisci `MyPolicy` con un nome per la policy.
Passa avanti a [Aggiungere politiche gestite dai clienti a un gruppo utilizzando il AWS CLI](#setup-teams-add-policy-cli).
## Fase 2: aggiungere policy gestite dal cliente a un gruppo
Puoi aggiungere le policy gestite dal cliente utilizzando la [Console di gestione AWS](#setup-teams-add-policy-console) o l'[Interfaccia della linea di comando AWS (AWS CLI)](#setup-teams-add-policy-cli). Per ulteriori informazioni, consulta [Esempi di policy gestite dai clienti per i team che utilizzano AWS Cloud9](setup-teams-policy-examples.md).
**Nota**
Questa fase tratta l'aggiunta di policy gestite dal cliente ai soli gruppi IAM. Per aggiungere set di autorizzazioni personalizzati ai gruppi in AWS IAM Identity Center, salta questo passaggio e segui invece le istruzioni in [Assegna l'accesso utente](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers) nella *Guida per l'AWS IAM Identity Center utente*.
### Passaggio 2.1: Aggiungi le politiche gestite dai clienti a un gruppo utilizzando la console
1. Con la console IAM aperta nella procedura precedente, nel pannello di navigazione del servizio, scegli **Groups** (Gruppi).
1. Scegli il nome del gruppo.
1. Nella scheda **Permissions (Autorizzazioni)**, per **Managed Policies (Policy gestite)**, scegliere **Attach Policy (Collega policy)**.
1. Nell'elenco dei nomi di policy, scegli la casella accanto a ogni policy gestita dal cliente che desideri collegare al gruppo. Se nell'elenco non individui un nome di policy specifico, digita il nome nella casella **Filter** (Filtro) per visualizzarlo.
1. Scegli **Attach Policy (Collega policy)**.
### Passaggio 2.2: Aggiungere le politiche gestite dai clienti a un gruppo utilizzando il AWS CLI
**Nota**
Se utilizzi [credenziali temporanee AWS gestite](security-iam.md#auth-and-access-control-temporary-managed-credentials), non puoi utilizzare una sessione terminale nell' AWS Cloud9 IDE per eseguire alcuni o tutti i comandi di questa sezione. Per soddisfare le migliori pratiche AWS di sicurezza, le credenziali temporanee AWS gestite non consentono l'esecuzione di alcuni comandi. È invece possibile eseguire tali comandi da un'installazione separata di AWS Command Line Interface (AWS CLI).
Esegui il comando `attach-group-policy` di IAM, specificando il nome del gruppo e l'Amazon Resource Name (ARN) della policy.
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
Nel comando precedente, sostituisci `MyGroup` con il nome del gruppo. `123456789012`Sostituiscilo con l'ID AWS dell'account. Sostituisci `MyPolicy` con il nome della policy gestita dal cliente.
## Fasi successive
****
| **Attività** | **Consulta questo argomento** |
| --- | --- |
| Crea un ambiente di AWS Cloud9 sviluppo, quindi usa l' AWS Cloud9 IDE per lavorare con il codice nel nuovo ambiente. | [Creazione di un ambiente](create-environment.md) |
| Scopri come usare l' AWS Cloud9 IDE. | [Nozioni di base: tutorial di base](tutorials-basic.md) e [Lavorare con l'IDE](ide.md) |
| Invita altri utenti a utilizzare il tuo nuovo ambiente, in tempo reale e con il supporto tramite chat. | [Lavorare con gli ambienti condivisi](share-environment.md) |
# Esempi di policy gestite dai clienti per i team che utilizzano AWS Cloud9
Di seguito sono elencati alcuni esempi di policy che puoi utilizzare per limitare gli ambienti che gli utenti di un gruppo possono creare in un Account AWS.
+ [Impedire agli utenti di un gruppo di creare ambienti](#setup-teams-policy-examples-prevent-environments)
+ [Impedire agli utenti di un gruppo di creare ambienti EC2](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Permettere agli utenti di un gruppo di creare ambienti EC2 solo con tipi di istanza Amazon EC2 specifici](#setup-teams-policy-examples-specific-instance-types)
+ [Consenti agli utenti di un gruppo di creare un solo ambiente EC2 per regione AWS](#setup-teams-policy-examples-single-ec2-environment)
## Impedire agli utenti di un gruppo di creare ambienti
La seguente policy gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, impedisce a tali utenti di creare ambienti in un Account AWS. Ciò è utile se desideri che un utente amministratore Account AWS gestisca la creazione di ambienti. Altrimenti, lo fanno gli AWS Cloud9 utenti di un gruppo di utenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
La precedente policy gestita dal cliente sostituisce esplicitamente `"Effect": "Allow"` la `"Action": "cloud9:CreateEnvironmentEC2"` policy `AWSCloud9User` gestita che è già associata al gruppo di utenti. `"cloud9:CreateEnvironmentSSH"` `"Resource": "*"` AWS Cloud9
## Impedire agli utenti di un gruppo di creare ambienti EC2
La seguente politica gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, impedisce a tali utenti di creare ambienti EC2 in un. Account AWS Ciò è utile se desideri che un utente amministratore gestisca la creazione Account AWS di ambienti EC2. Altrimenti, lo fanno gli AWS Cloud9 utenti di un gruppo di utenti. In questo caso, si presuppone che tu non abbia collegato alcuna policy che impedisca agli utenti del gruppo di creare ambienti SSH. In caso contrario, gli utenti non sono in grado di creare alcun ambiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
La precedente politica gestita dal cliente sostituisce esplicitamente `"Effect": "Allow"` l'opzione attiva `"Action": "cloud9:CreateEnvironmentEC2"` `"Resource": "*"` nella politica `AWSCloud9User` gestita già associata al gruppo di utenti. AWS Cloud9
## Permettere agli utenti di un gruppo di creare ambienti EC2 solo con tipi di istanza Amazon EC2 specifici
La seguente policy gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, consente agli utenti del gruppo di utenti di creare ambienti EC2 che utilizzano solo tipi di istanze che iniziano con un. `t2` Account AWS Questa policy presuppone che tu non abbia collegato alcuna policy che impedisca agli utenti del gruppo di creare ambienti EC2. In caso contrario, gli utenti non sono in grado di creare alcun ambiente EC2.
Puoi sostituire `"t2.*"` nella seguente policy con una classe di istanza diversa (ad esempio, `"m4.*"`). In alternativa, puoi limitarla a più classi di istanza o tipi di istanza (ad esempio, `[ "t2.*", "m4.*" ]` o `[ "t2.micro", "m4.large" ]`).
Per un gruppo di AWS Cloud9 utenti, scollega la policy `AWSCloud9User` gestita dal gruppo. Quindi, al suo posto, aggiungi la seguente policy gestita dal cliente. Se non scolleghi la policy gestita `AWSCloud9User`, la seguente policy gestita dal cliente non ha effetto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La policy gestita dal cliente precedente permette inoltre agli utenti di creare ambienti SSH. Per impedire a tali utenti di creare anche ambienti SSH, rimuovi `"cloud9:CreateEnvironmentSSH",` dalla policy gestita dal cliente precedente.
## Consenti agli utenti di un gruppo di creare un solo ambiente EC2 per ogni ambiente Regione AWS
La seguente policy gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, consente a ciascuno di questi utenti di creare al massimo un ambiente EC2 in ciascuno Regione AWS dei quali AWS Cloud9 è disponibile in. Ciò è possibile limitando il nome dell'ambiente a un nome specifico nella Regione AWS. In questo esempio, l'ambiente è limitato a `my-demo-environment`.
**Nota**
AWS Cloud9 non consente la creazione di ambienti limitati Regioni AWS a elementi specifici. AWS Cloud9 inoltre non consente di limitare il numero complessivo di ambienti che possono essere creati. L'unica eccezione sono i [limiti del servizio](limits.md) pubblicati.
Per un gruppo di AWS Cloud9 utenti, scollega la politica `AWSCloud9User` gestita dal gruppo, quindi aggiungi la seguente politica gestita dai clienti al suo posto. Se non scolleghi la policy gestita da `AWSCloud9User`, la seguente policy gestita dal cliente non ha effetto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La policy gestita dal cliente precedente permette agli utenti di creare ambienti SSH. Per impedire a tali utenti di creare anche ambienti SSH, rimuovi `"cloud9:CreateEnvironmentSSH",` dalla policy gestita dal cliente precedente.
Per ulteriori esempi, consulta [Esempi di policy gestite dal cliente](security-iam.md#auth-and-access-control-customer-policies-examples).