AWS Cloud9 は新規顧客には利用できなくなりました。 AWS Cloud9 の既存のお客様は、通常どおりサービスを引き続き使用できます。[詳細はこちら](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セットアップ AWS Cloud9
の使用を開始するには AWS Cloud9、使用する計画に応じて、これらの手順のいずれかに従います AWS Cloud9。
****
| **使用パターン** | **以下の手順に従います** |
| --- | --- |
| AWS アカウント****を使用するのは私だけであり、学生*ではありません*。 | [個々のユーザーセットアップ](setup-express.md) |
| 私は、1 つの AWS アカウント内に複数のユーザーを持つ**チームに**属しています。 | [チームセットアップ](setup.md) |
| 私は、1 つの組織内に 1 つ以上の AWS アカウントを持つ **エンタープライズ**に属しています。 | [エンタープライズセットアップ](setup-enterprise.md) |
の一般的な情報については AWS Cloud9、[「 とは AWS Cloud9](welcome.md)」を参照してください。
**Topics**
+ [個人ユーザーのセットアップ](setup-express.md)
+ [チーム設定](setup.md)
+ [エンタープライズセットアップ](setup-enterprise.md)
+ [追加のセットアップオプション (チームとエンタープライズ)](setup-teams.md)
# の個々のユーザー設定 AWS Cloud9
このトピックでは、学生でないときに で AWS アカウント 唯一のユーザー AWS Cloud9 として をセットアップして使用する方法について説明します。他の使用パターン AWS Cloud9 用に を設定できます。詳細については、「[セットアップ AWS Cloud9](setting-up.md)」を参照してください。
で唯一のユーザー AWS Cloud9 として を使用するには AWS アカウント、まだ がない場合は にサインアップ AWS アカウント します。次に、 AWS Cloud9 コンソールにサインインします。
**Topics**
+ [前提条件](#setup-prerequisites)
+ [その他の認証方法](#setup-express-sign-in-ide)
+ [次の手順](#setup-express-next-steps)
## 前提条件
### にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
### 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、*AWS サインイン ユーザーガイド*の[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM アイデンティティセンター ユーザーガイド」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 *AWS IAM アイデンティティセンター ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「AWS IAM アイデンティティセンター ユーザーガイド」の「[権限設定を作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」*を参照してください*。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
## その他の認証方法
**警告**
セキュリティリスクを避けるため、専用ソフトウェアの開発や実際のデータを扱うときは、IAM ユーザーを認証に使用しないでください。代わりに、[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) などの ID プロバイダーとのフェデレーションを使用してください。
### 間のアクセスを管理する AWS アカウント
セキュリティのベストプラクティスとして、IAM Identity Center AWS Organizations で を使用して、すべての へのアクセスを管理することをお勧めします AWS アカウント。詳細については、「*IAM ユーザーガイド*」の「[IAM でのセキュリティベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
IAM Identity Center でユーザーを作成するか、Microsoft Active Directory を使用するか、SAML 2.0 ID プロバイダー (IdP) を使用するか、IdP を個別にフェデレーションできます AWS アカウント。これらのアプローチのいずれかを使用して、ユーザーにシングルサインオンのエクスペリエンスを提供できます。多要素認証 (MFA) を適用し、一時的な認証情報を使用して AWS アカウント アクセスすることもできます。これは IAM ユーザーとは異なります。IAM ユーザーは、共有できる長期的な認証情報であり、 AWS リソースに対するセキュリティリスクが高まる可能性があります。
### サンドボックス環境専用の IAM ユーザーを作成する
を初めて使用する場合は AWS、テスト IAM ユーザーを作成し、それを使用してチュートリアルを実行し、 が提供する AWS ものを調べることができます。学習中はこの種の資格情報を使用しても問題ありませんが、サンドボックス環境以外では使用しないことをお勧めします。
以下のユースケースでは、 で IAM ユーザーの使用を開始するのが理にかなっている場合があります AWS。
+ AWS SDK またはツールの使用を開始し、 AWS のサービス サンドボックス環境で探索する。
+ 学習の一環として、人間によるサインインプロセスをサポートしない、スケジュールされたスクリプト、ジョブ、その他の自動プロセスを実行する。
これらのユースケース以外で IAM ユーザーを使用している場合は、IAM Identity Center に移行するか、ID プロバイダーを AWS アカウント できるだけ早く にフェデレーションします。詳細については、「[AWSでの ID フェデレーション](https://aws.amazon.com/identity/federation/)」を参照してください。
### IAM ユーザーのアクセスキーを保護する
IAM ユーザーのアクセスキーは定期的に更新する必要があります。「IAM ユーザーガイド」の「[アクセスキーの更新](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)」のガイダンスに従ってください。IAM ユーザーのアクセスキーを誤って共有したと思われる場合は、アクセスキーを更新してください。
IAM ユーザーアクセスキーは、ローカルマシンの共有 AWS `credentials`ファイルに保存する必要があります。IAM ユーザーのアクセスキーをコードに保存しないでください。IAM ユーザーのアクセスキーを含む設定ファイルは、いずれのソースコード管理ソフトウェアにも含めないでください。オープンソースプロジェクトの [git-secrets](https://github.com/awslabs/git-secrets) などの外部ツールを使用すると、機密情報を誤って Git リポジトリにコミットすることを防ぐことができます。詳細については、「IAM ユーザーガイド」の「[IAM アイデンティティ (ユーザー、ユーザーグループ、ロール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」を参照してください。
## 次の手順
****
| **学習のためのタスク** | **トピック** |
| --- | --- |
| IDE AWS Cloud9 の使用方法を説明します。 | [開始方法: ベーシックチュートリアル](tutorials-basic.md) および [ IDE を操作する](ide.md) |
****
| **より高度なタスク** | **トピック** |
| --- | --- |
| AWS Cloud9 開発環境を作成し、IDE AWS Cloud9 を使用して新しい環境でコードを操作します。 | [環境を作成する](create-environment.md) |
| リアルタイムでチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境 を使用します。 | [共有環境を使用する](share-environment.md) |
# のチームのセットアップ AWS Cloud9
このトピックでは、 を使用して[AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/)、単一の 内の複数のユーザーが AWS アカウント を使用できるようにする方法について説明します AWS Cloud9。他の使用パターン AWS Cloud9 に使用するように を設定するには、正しい手順[セットアップ AWS Cloud9](setting-up.md)については、「」を参照してください。
これらの手順では、単一の AWS アカウントへの管理アクセスを持っているか、またはこれから取得することを前提としています。詳細については、「IAM [ユーザーガイド」の AWS アカウント 「ルートユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)」および[「最初の管理者とグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)」を参照してください。 **が既にある AWS アカウント が、アカウントへの管理アクセス権がない場合は、 AWS アカウント 管理者にお問い合わせください。
**警告**
セキュリティリスクを避けるため、専用ソフトウェアを開発するときや実際のデータを扱うときは、IAM ユーザーを認証に使用しないでください。代わりに、[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) などの ID プロバイダーとのフェデレーションを使用してください。
**注記**
IAM の代わりに IAM [Identity Center](https://aws.amazon.com/iam/identity-center/) を使用して、単一の 内の複数のユーザーが AWS アカウント を使用できるようにします AWS Cloud9。この使用パターンでは、単一の AWS アカウント が組織の管理アカウントとして機能します AWS Organizations。さらに、その組織にはメンバーアカウントがありません。IAM Identity Center を使用するには、このトピックをスキップして、代わりに「[エンタープライズセットアップ](setup-enterprise.md)」の指示に従ってください。関連情報については、以下のリソースを参照してください。
*AWS Organizations ユーザーガイド*の [AWS Organizations とは](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) (IAM Identity Center では を使用する必要があります AWS Organizations)
AWS IAM アイデンティティセンター ユーザーガイドの「[AWS IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」
YouTube の 4 分間の動画「[AWS ナレッジセンター動画: AWS Organizationsを使用開始する方法](https://www.youtube.com/watch?v=8VKMrkKXu2w)」
YouTube の [IAM Identity Center を使用して複数の AWS アカウントへのユーザーアクセスを管理する](https://www.youtube.com/watch?v=bXrsUEI1V38) 7 分間の動画
YouTube の 9 分間の動画「[オンプレミスのActive Directoryユーザーに IAM Identity Center をセットアップする方法](https://www.youtube.com/watch?v=nuPjljOVZmU)」
1 つの で複数のユーザーが の使用 AWS アカウント を開始できるようにするには AWS Cloud9、使用している AWS リソースのステップを開始します。
****
| ** AWS アカウントをお持ちですか?** | **そのアカウントには、少なくとも 1 つ以上の IAM グループおよびユーザーがありますか。** | **このステップから開始します** |
| --- | --- | --- |
| いいえ | — | ステップ 1: にサインアップする AWS アカウント |
| はい | なし | [ステップ 2: IAM グループとユーザーを作成し、ユーザーをグループに追加する](#setup-create-iam-resources) |
| はい | はい | [ステップ 3: AWS Cloud9 グループにアクセス許可を追加する](#setup-give-user-access) |
**Topics**
+ [前提条件](#setup-prerequisites)
+ [ステップ 1: IAM グループとユーザーを作成し、ユーザーをグループに追加する](#setup-create-iam-resources)
+ [ステップ 2: AWS Cloud9 グループにアクセス許可を追加する](#setup-give-user-access)
+ [ステップ 3: AWS Cloud9 コンソールにサインインする](#setup-sign-in-ide)
+ [次の手順](#setup-next-steps)
## 前提条件
### にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
### 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 のセキュリティを確保し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 *AWS IAM アイデンティティセンター ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
## ステップ 1: IAM グループとユーザーを作成し、ユーザーをグループに追加する
このステップでは、 AWS Identity and Access Management (IAM) でグループとユーザーを作成し、そのユーザーをグループに追加してから、そのユーザーを使用して にアクセスします AWS Cloud9。これは AWS セキュリティのベストプラクティスです。詳細については、「*IAM ユーザーガイド*」の「[IAM のベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)」を参照してください。
必要なすべての IAM グループとユーザーが既にある場合は、[「ステップ 3: AWS Cloud9 グループにアクセス許可を追加する](#setup-give-user-access)」に進みます。
**注記**
組織で IAM グループとユーザーを設定済みである場合があります。組織に AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。
これらのタスクは、[AWS マネジメントコンソール](#setup-create-iam-resources-group-console) または [AWS コマンドラインインターフェイス (AWS CLI)](#setup-create-iam-resources-group-cli) を使って完了できます。
以下のコンソール手順に関連する 9 分間の動画を視聴するには、[「IAM ユーザーをセットアップし、YouTube で IAM 認証情報 AWS マネジメントコンソール を使用して にサインインする方法](https://www.youtube.com/watch?v=XMi5fXL2Hes)」を参照してください。 YouTube
### ステップ 1.1: コンソールで IAM グループを作成する
1. まだサインインしていない場合は AWS マネジメントコンソール、[https://console.aws.amazon.com/codecommit](https://console.aws.amazon.com/codecommit) で にサインインします。
**注記**
AWS アカウント の作成時に提供された E メールアドレスとパスワード AWS マネジメントコンソール を使用して にサインインできます。これは*ルートユーザー*としての署名と呼ばれます。ただし、これは AWS セキュリティのベストプラクティスではありません。今後は、 AWS アカウントの管理者ユーザーの認証情報を使用してサインインすることをお勧めします。管理者ユーザーは、 AWS アカウント ルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。管理者ユーザーとしてサインインできない場合は、 AWS アカウント 管理者に確認してください。詳細については、IAM ユーザーガイドの「[最初の IAM ユーザーおよびグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)」を参照してください。
1. [IAM コンソール] を開きます。これを行うには、 AWS ナビゲーションバーでサービスを選択します****。次に、[**IAM**]を選択します。
1. IAM コンソールのナビゲーションペインで、[**グループ**]を選択します。
1. [**Create New Group (新しいグループの作成)**]を選択します。
1. [**グループ名の設定**]ページで、[**グループ名**]に新しいグループの名前を入力します。
1. [**Next Step**](次のステップ) をクリックします。
1. [**ポリシーのアタッチ**]ページで、ポリシーをアタッチせずに[**次のステップ**]を選択します。ステップ [3: AWS Cloud9 グループにアクセス許可を追加するでポリシーをアタッチします](#setup-give-user-access)。
1. **グループを作成** を選択します。
**注記**
この手順を繰り返して少なくとも 2 つのグループを作成することをお勧めします。1 つは AWS Cloud9 ユーザー用、もう 1 つは AWS Cloud9 管理者用です。この AWS セキュリティのベストプラクティスは、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立ちます。
「[ステップ 2.2: IAM ユーザーを作成して、コンソールでグループにユーザーを追加する](#setup-create-iam-resources-user-console)」に進みます。
### ステップ 1.2: を使用して IAM グループを作成する AWS CLI
**注記**
[AWS マネージド一時認証情報](security-iam.md#auth-and-access-control-temporary-managed-credentials)を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
1. まだインストールしていない場合は、コンピュータ AWS CLI に をインストールして設定します。これを行うには、AWS Command Line Interface ユーザーガイドで以下の項目を参照してください。
+ [AWS コマンドラインインターフェイスのインストール](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [クイック設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)
**注記**
AWS アカウント の作成時に提供された E メールアドレスとパスワードに関連付けられた認証情報 AWS CLI を使用して、 を設定できます。これは*ルートユーザー*としての署名と呼ばれます。ただし、これは AWS セキュリティのベストプラクティスではありません。代わりに、アカウントの IAM 管理者ユーザーの AWS 認証情報 AWS CLI を使用して を設定することをお勧めします。IAM 管理者ユーザーは、 AWS アカウント ルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。を IAM 管理者ユーザー AWS CLI として設定できない場合は、 AWS アカウント 管理者に確認してください。詳細については、IAM ユーザーガイドの「[最初の IAM 管理者ユーザーおよびグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)」を参照してください。
1. IAM `create-group` コマンドを実行して新しいグループの名前 (例: `MyCloud9Group`) を指定します。
```
aws iam create-group --group-name MyCloud9Group
```
**注記**
この手順を繰り返して少なくとも 2 つのグループを作成することをお勧めします。1 つは AWS Cloud9 ユーザー用、もう 1 つは AWS Cloud9 管理者用です。この AWS セキュリティのベストプラクティスは、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立ちます。
ステップ [2.2: AWS CLI を使用して IAM ユーザーを作成し、そのユーザーをグループに追加します](#setup-create-iam-resources-user-cli)。
### ステップ 1.3: IAM ユーザーを作成して、コンソールでグループにユーザーを追加する
1. 前の手順で開いた IAM コンソールで、ナビゲーションペインの[**ユーザー**]を選択します。
1. [**ユーザーを追加**]を選択します。
1. [**ユーザー名**]に新しいユーザーの名前を入力します。
**注記**
[**別のユーザーの追加**]を選択することで、複数のユーザーを同時に作成できます。この手順のその他の設定は、これらの新しいユーザーのそれぞれに適用されます。
1. [**プログラムによるアクセス**]と[**AWS マネジメントコンソール アクセス**]チェックボックスを選択します。これにより、新しいユーザーがさまざまな AWS デベロッパー用ツールとサービスコンソールを使用できるようになります。
1. [**Autogenerated password (自動生成パスワード)**]のデフォルトの選択を維持します。これにより、新しいユーザーがコンソールにサインインするためのパスワードがランダムに作成されます。または、**[Custom password]** (カスタムパスワード) を選択して、新しいユーザー用のパスワードを入力します。
1. [**パスワードのリセットが必要**]のデフォルトの選択を維持します。このメッセージは、コンソールに初回サインインした後にパスワードを変更することを、新しいユーザーに促すものです。
1. [**Next: Permissions (次へ: アクセス許可)**]を選択します。
1. [**グループにユーザーを追加**](複数のユーザーの場合も[**グループにユーザーを追加**]) をデフォルトの選択のままにしておきます。
1. グループのリストで、ユーザーを追加するグループの横にあるチェックボックス (名前ではなく) を選択します。
1. [**Next: Review**] を選択します。
1. [**Create user**] を選択します。または、複数のユーザーに **[Create users]** (ユーザーを作成) します。
1. ウィザードの最後のページで、次のいずれかの操作を行います。
+ 新しいユーザーの横にある[**E メールの送信**]を選択し、画面の指示に従って新しいユーザーにコンソールのサインイン URL とユーザー名を E メールで送信します。次に、コンソールのサインインパスワード、 AWS アクセスキー ID、シー AWS クレットアクセスキーを新しい各ユーザーと個別に通信します。
+ [**.csv のダウンロード**]を選択します。次に、ダウンロードしたファイルにあるコンソールサインイン URL、コンソールサインインパスワード、 AWS アクセスキー ID、シー AWS クレットアクセスキーを新しい各ユーザーに伝えます。
+ それぞれの新しいユーザーの横で、[**シークレットアクセスキー**]と[**パスワード**]の両方で[**表示**]を選択します。次に、コンソールのサインイン URL、コンソールのサインインパスワード、 AWS アクセスキー ID、シー AWS クレットアクセスキーを新しい各ユーザーに伝えます。
**注記**
**.csv のダウンロード**を選択しない場合、新しいユーザーの AWS シークレットアクセスキーとコンソールのサインインパスワードを表示できるのは今回のみです。新しいユーザーの新しい AWS シークレットアクセスキーまたはコンソールサインインパスワードを生成するには、*IAM ユーザーガイド*の以下を参照してください。
[アクセスキーの作成、変更、表示 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)
[IAM ユーザーパスワードの作成、変更、削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)
1. 作成したい追加の各 IAM ユーザーにこの手順を繰り返したら、「[ステップ 3: グループに AWS Cloud9 アクセス許可を追加する](#setup-give-user-access)」に進みます。
### ステップ 1.4: IAM ユーザーを作成し、 を使用してそのユーザーをグループに追加する AWS CLI
**注記**
[AWS マネージド一時認証情報](security-iam.md#auth-and-access-control-temporary-managed-credentials)を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
1. IAM `create-user` コマンドを実行してユーザーを作成し、新しいユーザーの名前 (例: `MyCloud9User`) を指定します。
```
aws iam create-user --user-name MyCloud9User
```
1. IAM `create-login-profile` コマンドを実行して新しいコンソールにサインインするユーザーのパスワードを作成し、ユーザー名と最初のサインインパスワードを指定します (例: `MyC10ud9Us3r!`)。ユーザーがサインインしたら、 AWS は サインインパスワードの変更をユーザーに依頼します。
```
aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required
```
後でユーザーのために交換用コンソールのサインインパスワードを生成する必要がある場合は、*IAM ユーザーガイド*の「[IAM ユーザーパスワードの作成、変更、削除 (API、CLI、PowerShell)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#Using_ManagingPasswordsCLIAPI)」を参照してください。
1. IAM `create-access-key` コマンドを実行して、ユーザーの新しい AWS アクセスキーと対応する AWS シークレットアクセスキーを作成します。
```
aws iam create-access-key --user-name MyCloud9User
```
表示されている[`AccessKeyId`]と[`SecretAccessKey`]の値をメモします。IAM `create-access-key` コマンドを実行した後、ユーザーの AWS シークレットアクセスキーを表示できるのは今回だけです。後でユーザーの新しい AWS シークレットアクセスキーを生成する必要がある場合は、*IAM ユーザーガイド*の[「アクセスキーの作成、変更、表示 (API、CLI、PowerShell)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey_CLIAPI)」を参照してください。
1. IAM `add-user-to-group` コマンドを実行してユーザーをグループに追加し、グループおよびユーザーの名前を指定します。
```
aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User
```
1. コンソールのサインイン URL、初期コンソールのサインインパスワード、 AWS アクセスキー ID、シー AWS クレットアクセスキーをユーザーに伝えます。
1. 作成したい追加 IAM ユーザーそれぞれにこの手順を繰り返します。
## ステップ 2: AWS Cloud9 グループにアクセス許可を追加する
デフォルトでは、ほとんどの IAM グループとユーザーは AWS のサービス、 AWS Cloud9を含む にアクセスできません (例外は、 AWS アカウント デフォルトで AWS のサービス のすべての にアクセスできる IAM 管理者グループと IAM 管理者ユーザーです)。このステップでは、IAM を使用して、1 人以上のユーザーが属する AWS Cloud9 IAM グループにアクセス許可を直接追加します。これにより、それらのユーザーが AWS Cloud9にアクセスできるようになります。
**注記**
組織では、適切なアクセス許可を持つグループを設定済みである場合があります。組織に AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。
[AWS マネジメントコンソール](#setup-give-user-access-console)または[AWS CLI](#setup-give-user-access-cli)を使ってこのタスクを完成できます。
### ステップ 2.1: コンソールを使用して AWS Cloud9 グループにアクセス許可を追加する
1. まだサインインしていない場合は AWS マネジメントコンソール、[https://console.aws.amazon.com/codecommit](https://console.aws.amazon.com/) で にサインインします。
**注記**
AWS アカウント の作成時に提供された E メールアドレスとパスワード AWS マネジメントコンソール を使用して にサインインできます。これは*ルートユーザー*としての署名と呼ばれます。ただし、これは AWS セキュリティのベストプラクティスではありません。今後は、 AWS アカウントの IAM 管理者ユーザーの認証情報を使用してサインインすることをお勧めします。管理者ユーザーは、 AWS アカウント ルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。管理者ユーザーとしてサインインできない場合は、 AWS アカウント 管理者に確認してください。詳細については、IAM ユーザーガイドの「[最初の IAM 管理者ユーザーおよびグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)」を参照してください。
1. IAM コンソールを開きます。これを行うには、 AWS ナビゲーションバーでサービスを選択します****。次に、**[IAM]** を選択します。
1. [**グループ**]を選択します。
1. グループの名前を選択します。
1. AWS Cloud9 ユーザーまたは AWS Cloud9 管理者のアクセス許可をグループに追加するかどうかを決定します。これらのアクセス許可は、グループ内の各ユーザーに適用されます。
AWS Cloud9 ユーザーアクセス許可により、グループ内の各ユーザーは自分の 内で次の操作を実行できます AWS アカウント。
+ 独自の AWS Cloud9 開発環境を作成します。
+ 独自の環境に関する情報を取得する。
+ 自分の環境設定を変更する。
AWS Cloud9 管理者アクセス許可により、グループ内の各ユーザーは自分の 内で追加の操作を実行できます AWS アカウント。
+ 自分自身または他のユーザーの環境を作成する。
+ 自分自身または他のユーザーの環境に関する情報を取得する。
+ 自分自身または他のユーザーの環境を削除する。
+ 自分自身または他のユーザーの環境の設定を変更する。
**注記**
AWS Cloud9 管理者グループには、限定した数のユーザーのみ追加するようお勧めします。この AWS セキュリティのベストプラクティスは、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立ちます。
1. [**許可**] タブの[**マネージドポリシー**] で、[**ポリシーのアタッチ**]を選択します。
1. ポリシー名のリストで、 AWS Cloud9 ユーザーアクセス許可の場合は **AWSCloud9User** の横にあるボックスを選択し、 AWS Cloud9 管理者アクセス許可の場合は **AWSCloud9Administrator** を選択します。どちらのポリシー名もリストに表示されない場合は、**[Filter]** (フィルター) ボックスにポリシー名を入力して表示させます。
1. [**ポリシーをアタッチ**] を選択します。
**注記**
AWS Cloud9 アクセス許可を追加するグループが複数ある場合は、それらのグループごとにこの手順を繰り返します。
これらの AWS 管理ポリシーがグループに付与するアクセス許可のリストを確認するには、「 [AWS 管理 (事前定義) ポリシー](security-iam.md#auth-and-access-control-managed-policies)」を参照してください。
に必要な AWS アクセス許可に加えてグループに追加できるアクセス許可については AWS Cloud9、*IAM ユーザーガイド*の[「 管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」および[「ポリシーによって付与されるアクセス許可について](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)」を参照してください。
[ステップ 4: AWS Cloud9 コンソールにサインインする](#setup-sign-in-ide)」に進みます。
### ステップ 2.2: を使用して AWS Cloud9 グループにアクセス許可を追加する AWS CLI
**注記**
[AWS マネージド一時認証情報](security-iam.md#auth-and-access-control-temporary-managed-credentials)を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
1. まだインストールしていない場合は、コンピュータ AWS CLI に をインストールして設定します。これを行うには、AWS Command Line Interface ユーザーガイドで以下の項目を参照してください。
+ [AWS コマンドラインインターフェイスのインストール](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [クイック設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)
**注記**
AWS アカウント の作成時に提供された E メールアドレスとパスワードに関連付けられた認証情報 AWS CLI を使用して、 を設定できます。これは*ルートユーザー*としての署名と呼ばれます。ただし、これは AWS セキュリティのベストプラクティスではありません。代わりに、 で IAM 管理者ユーザーの認証情報 AWS CLI を使用して を設定することをお勧めします AWS アカウント。IAM 管理者ユーザーは、 AWS アカウント ルートユーザーと同様の AWS アクセス許可を持ち、関連するセキュリティリスクの一部を回避します。を管理者ユーザー AWS CLI として設定できない場合は、 AWS アカウント 管理者に確認してください。詳細については、IAM ユーザーガイドの「[最初の IAM 管理者ユーザーおよびグループの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)」を参照してください。
1. AWS Cloud9 ユーザーまたは AWS Cloud9 管理者のアクセス許可をグループに追加するかどうかを決定します。これらのアクセス許可は、グループ内の各ユーザーに適用されます。
AWS Cloud9 ユーザーアクセス許可により、グループ内の各ユーザーは自分の 内で次のことを実行できます AWS アカウント。
+ 独自の AWS Cloud9 開発環境を作成します。
+ 独自の環境に関する情報を取得する。
+ 自分の環境設定を変更する。
AWS Cloud9 管理者アクセス許可により、グループ内の各ユーザーは自分の 内で追加の操作を実行できます AWS アカウント。
+ 自分自身または他のユーザーの環境を作成する。
+ 自分自身または他のユーザーの環境に関する情報を取得する。
+ 自分自身または他のユーザーの環境を削除する。
+ 自分自身または他のユーザーの環境の設定を変更する。
**注記**
AWS Cloud9 管理者グループには、限定した数のユーザーのみ追加するようお勧めします。この AWS セキュリティのベストプラクティスは、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立ちます。
1. IAM `attach-group-policy` コマンドを実行し、グループの名前と追加する AWS Cloud9 アクセス許可ポリシーの Amazon リソースネーム (ARN) を指定します。
AWS Cloud9 ユーザーアクセス許可には、次の ARN を指定します。
```
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User
```
AWS Cloud9 管理者アクセス許可には、次の ARN を指定します。
```
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator
```
**注記**
AWS Cloud9 アクセス許可を追加するグループが複数ある場合は、それらのグループごとにこの手順を繰り返します。
これらの AWS 管理ポリシーがグループに付与するアクセス許可のリストを確認するには、[AWS 「 管理 (事前定義) ポリシー](security-iam.md#auth-and-access-control-managed-policies)」を参照してください。
に必要な AWS アクセス許可に加えてグループに追加できるアクセス許可については AWS Cloud9、*IAM ユーザーガイド*の[「 管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」および[「ポリシーによって付与されるアクセス許可の理解](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)」を参照してください。
## ステップ 3: AWS Cloud9 コンソールにサインインする
このトピックの前のステップを完了すると、ユーザーとユーザーは AWS Cloud9 コンソールにサインインする準備が整います。
1. AWS アカウント ルートユーザー AWS マネジメントコンソール として に既にサインインしている場合は、 コンソールからサインアウトします。
1. [https://console.aws.amazon.com/cloud9/](https://console.aws.amazon.com/cloud9/) で AWS Cloud9 コンソールを開きます。
1. 先ほど作成または識別した IAM ユーザーの AWS アカウント 番号を入力し、**次へ**を選択します。
**注記**
AWS アカウント番号を入力するオプションが表示されない場合は、**別のアカウントにサインイン**を選択します。次のページで AWS アカウント を入力し、**[Next]** (次へ) を選択します。
1. 先ほど作成または識別した IAM ユーザーのサインイン認証情報を入力し、**[Sign In]** (サインイン) を選択します。
1. プロンプトが表示されたら、画面の指示に従って、ユーザーの最初のサインインパスワードを変更します。新しいサインインパスワードを安全な場所に保存します。
AWS Cloud9 コンソールが表示され、使用を開始できます AWS Cloud9。
## 次の手順
****
| **タスク** | **次のトピックを参照** |
| --- | --- |
| コストを制御するために AWS アカウント、 内の他のユーザー AWS Cloud9 の使用を制限します。 | [追加のセットアップオプション](setup-teams.md) |
| AWS Cloud9 開発環境を作成し、IDE AWS Cloud9 を使用して新しい環境でコードを操作します。 | [環境を作成する](create-environment.md) |
| IDE AWS Cloud9 の使用方法を説明します。 | [開始方法: ベーシックチュートリアル](tutorials-basic.md)、および [ IDE を操作する](ide.md) |
| リアルタイムでチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境 を使用します。 | [共有環境を使用する](share-environment.md) |
# のエンタープライズセットアップ AWS Cloud9
このトピックでは、 [AWS IAM アイデンティティセンター](https://aws.amazon.com/iam/identity-center/)を使用して 1 つ以上の AWS アカウント をエンタープライズ AWS Cloud9 内で使用できるようにする方法について説明します。他の使用パターン AWS Cloud9 に使用するように をセットアップするには、正しい手順[セットアップ AWS Cloud9](setting-up.md)については、「」を参照してください。
**警告**
セキュリティリスクを避けるため、専用ソフトウェアを開発するときや実際のデータを扱うときは、IAM ユーザーを認証に使用しないでください。代わりに、[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) などの ID プロバイダーとのフェデレーションを使用してください。
これらの手順では、 AWS Organizationsで組織への管理アクセス権を持っているか、または持つであろうことを前提としています。で組織への管理アクセスがまだない場合は AWS Organizations、 AWS アカウント 管理者にお問い合わせください。詳細については、以下のリソースを参照してください。
+ [AWS Organizations ユーザーガイドの Organization のアクセス許可の管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) (IAM Identity Center では を使用する必要があります AWS Organizations) *AWS *
+ AWS IAM アイデンティティセンター ユーザーガイドの「[IAM Identity Center リソースへのアクセス許可の管理の概要](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)」
+ [マルチ](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)AWS Control Tower AWS アカウント環境のセットアップと管理に使用できるサービスである を使用します。 は AWS のサービス、ランディングゾーンを 1 時間未満で構築 AWS Service Catalog AWS IAM アイデンティティセンターするなど AWS Organizations、他の の機能 AWS Control Tower を使用します。
このトピックに関連する基本情報については、以下のリソースを参照してください。
+ *AWS Organizations ユーザーガイド*の [AWS Organizations とは](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) (IAM Identity Center では を使用する必要があります AWS Organizations)
+ AWS IAM アイデンティティセンター ユーザーガイドの「[AWS IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」
+ [AWS Control Tower ユーザーガイドの](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)*AWS 「Control Tower の開始方法*」
+ 4 分間の動画 [AWS ナレッジセンターの動画: YouTube で AWS Organizations の使用を開始する方法](https://www.youtube.com/watch?v=mScBPL8VV48) YouTube
+ YouTube で [を使用して複数の AWS アカウントへのユーザーアクセスを管理する AWS IAM アイデンティティセンター](https://www.youtube.com/watch?v=bXrsUEI1V38) 7 分間の動画
+ YouTube で[オンプレミス Active Directory ユーザーに AWS シングルサインオンを設定する方法に関する](https://www.youtube.com/watch?v=nuPjljOVZmU) 9 分間の動画 YouTube
次の概念図は、最終的なセットアップ結果を示しています。
![\[使用する エンタープライズのセットアップの概念図 AWS Cloud9\]](http://docs.aws.amazon.com/ja_jp/cloud9/latest/user-guide/images/enterprise_update.png)
1 つ以上の が エンタープライズ AWS Cloud9 内で の使用 AWS アカウント を開始できるようにするには、既に持っている AWS リソースに従ってステップに従います。
****
| **組織の管理アカウント AWS アカウント として機能する はありますか AWS Organizations?** | **その管理アカウントの AWS Organizations に組織はありますか?** | **その組織に必要な AWS アカウント メンバーは全員ですか?** | **その組織は IAM Identity Center を使用するようにセットアップされていますか。** | **その組織は、 AWS Cloud9を使用するすべての必要なグループおよびユーザーで構成されていますか。** | **このステップから開始します** |
| --- | --- | --- | --- | --- | --- |
| いいえ | — | — | — | — | [ステップ 1: 組織の管理アカウントを作成する](#setup-enterprise-create-account) |
| はい | なし | — | — | — | [ステップ 2: 管理アカウントの組織を作成する](#setup-enterprise-create-organization) |
| はい | あり | なし | — | — | [ステップ 3: 組織にメンバーアカウントを追加する](#setup-enterprise-add-to-organization) |
| はい | はい | あり | なし | — | ステップ 4: 組織全体で IAM Identity Center を有効にする |
| はい | はい | はい | あり | なし | [ステップ 5: 組織内のグループとユーザーをセットアップする](#setup-enterprise-set-up-groups-users) |
| はい | はい | はい | はい | はい | [ステップ 6: 組織内のグループとユーザーが を使用できるようにする AWS Cloud9](#setup-enterprise-groups-users-access) |
## ステップ 1: 組織の管理アカウントを作成する
**注記**
エンタープライズで管理アカウントが既にお客様に対して設定されている場合があります。エンタープライズに AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。管理アカウントが既にある場合は、「[ステップ 2: 管理アカウントの組織を作成する](#setup-enterprise-create-organization)」までスキップします。
AWS IAM アイデンティティセンター (IAM Identity Center) を使用するには、 が必要です AWS アカウント。 AWS アカウント は、 の組織の管理アカウントとして機能します AWS Organizations。詳細については、AWS Organizations ユーザーガイドの「[AWS Organizations の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」で管理アカウントに関する説明を参照してください。
次の手順に関連した 4 分間の動画をご覧になるには、YouTube の「[Amazon Web Services アカウントの作成](https://www.youtube.com/watch?v=WviHsoz8yHk)」を参照してください。
管理アカウントの作成:
1. [https://aws.amazon.com/](https://aws.amazon.com/) に移動します。
1. [**コンソールにサインインする**]を選択します。
1. **[AWS アカウントの作成]** を選択します。
1. 画面上の指示に従ってプロセスを完了します。この中で、 AWS に E メールアドレスとクレジットカード情報を提供します。また、電話を使用して、 AWS が提供するコードを入力する必要があります。
アカウントの作成が完了すると、 AWS から確認メールが送信されます。この確認が完了するまで、次のステップに進まないでください。
## ステップ 2: 管理アカウントの組織を作成する
**注記**
管理アカウントを使用するようにエンタープライズが既に AWS Organizations をセットアップしている可能性があります。エンタープライズに AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。管理アカウントを使用するように をすでに AWS Organizations 設定している場合は、[ステップ 3: メンバーアカウントを組織に追加するに進んでください](#setup-enterprise-add-to-organization)。
IAM Identity Center を使用するには、 に管理アカウント AWS Organizations を使用する組織が必要です。詳細については、AWS Organizations ユーザーガイドの「[AWS Organizations の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」で、組織に関する説明を参照してください。
管理 AWS Organizations 用の組織を で作成するには AWS アカウント、 *AWS Organizations ユーザーガイド*の以下の手順に従ってください。
1. [組織の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_create.html)
1. [組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
これらの手順に関連する 4 分間の動画を見るには、[AWS 「ナレッジセンターの動画: YouTube で AWS Organizations の使用を開始する方法](https://www.youtube.com/watch?v=mScBPL8VV48)」を参照してください。 YouTube
## ステップ 3: 組織にメンバーアカウントを追加する
**注記**
エンタープライズは、必要なメンバーアカウントで既に AWS Organizations をセットアップしている可能性があります。エンタープライズに AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。必要なメンバーアカウントを既に AWS Organizations セットアップしている場合は、[「ステップ 4: 組織全体で IAM アイデンティティセンターを有効にする」に進んでください](#setup-enterprise-set-up-sso)。
このステップでは、組織のメンバーアカウント AWS アカウント として機能する を追加します AWS Organizations。詳細については、AWS Organizations ユーザーガイドの「[AWS Organizations の用語と概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)」で、メンバーアカウントに関する説明を参照してください。
**注記**
組織にメンバーアカウントを追加する必要はありません。組織の単一の管理アカウントだけで IAM Identity Center を使用できます。必要に応じて、後でメンバーアカウントを組織に追加できます。今はメンバーアカウントを追加しない場合は、「[ステップ 4: 組織全体で IAM Identity Center を有効にする](#setup-enterprise-set-up-sso)」までスキップします。
でメンバーアカウントを組織に追加するには AWS Organizations、*AWS Organizations 「 ユーザーガイド*」の以下の一連の指示のいずれかまたは両方に従います。組織のメンバーとして必要な がすべて揃うまで AWS アカウント 、必要な回数だけこれらの手順を繰り返します。
+ [組織 AWS アカウント での の作成](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)
+ [を組織に招待 AWS アカウント する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)
## ステップ 4: 組織全体で IAM Identity Center を有効にする
**注記**
IAM Identity Center を使用するようにエンタープライズが既に AWS Organizations をセットアップしている可能性があります。エンタープライズに AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。IAM Identity Center を使用するように をすでに AWS Organizations 設定している場合は、[ステップ 5 に進みます。組織内のグループとユーザーをセットアップする](#setup-enterprise-set-up-groups-users)」までスキップします。
このステップでは、 の組織が IAM Identity Center AWS Organizations を使用できるようにします。これを行うには、AWS IAM アイデンティティセンター ユーザーガイドの以下の手順に従います。
1. [IAM Identity Center の前提条件](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-prereqs-considerations.html)
1. [IAM Identity Center を有効にする](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)
## ステップ 5: 組織内のグループとユーザーをセットアップする
**注記**
エンタープライズでは、IAM Identity Center ディレクトリ、または で管理されている AWS Managed Microsoft AD または AD Connector ディレクトリのグループとユーザーがすでに AWS Organizations セットアップされている可能性があります AWS Directory Service。エンタープライズに AWS アカウント 管理者がある場合は、次の手順を開始する前に、その管理者に確認してください。IAM Identity Center ディレクトリまたは からグループとユーザーを既に AWS Organizations セットアップしている場合は AWS Directory Service、[ステップ 6 に進みます。組織内のグループとユーザーが AWS Cloud9を使用できるようにする](#setup-enterprise-groups-users-access)」にスキップします。
このステップでは、組織用に IAM Identity Center ディレクトリにグループとユーザーを作成します。または、 AWS Directory Service 組織の で管理されている AWS Managed Microsoft AD または AD Connector ディレクトリに接続します。後のステップで、 AWS Cloud9を使用するために必要なアクセス許可をグループに付与します。
+ 組織の IAM Identity Center ディレクトリを使用する場合は、AWS IAM アイデンティティセンター ユーザーガイドの以下の手順に従います。必要なグループとユーザーがすべて揃うまで、これらのステップを必要な回数だけ繰り返します。
1. [グループを追加します](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)。組織全体の AWS Cloud9 管理者には、少なくとも 1 つのグループを作成することをお勧めします。次に、このステップを繰り返して、組織全体のすべての AWS Cloud9 ユーザーに別のグループを作成します。オプションで、このステップを繰り返して、既存の AWS Cloud9 開発環境を共有する組織全体のすべてのユーザーの 3 番目のグループを作成することもできます。ただし、ユーザーが自分自身で環境を作成することは許可しないようにします。わかりやすいように、これらのグループにはそれぞれ `AWSCloud9Administrators`、`AWSCloud9Users`、`AWSCloud9EnvironmentMembers` という名前を付けることをお勧めします。詳細については、「[AWS Cloud9用AWS マネージドポリシー](security-iam.md#auth-and-access-control-managed-policies)」を参照してください。
1. [ユーザーを追加します](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)。
1. [グループにユーザーを追加します](https://docs.aws.amazon.com/singlesignon/latest/userguide/adduserstogroups.html)。`AWSCloud9Administrators` グループに AWS Cloud9 管理者を追加し、このステップを繰り返してユーザーを`AWSCloud9Users`グループに追加 AWS Cloud9 します。必要に応じて、このステップを繰り返して残りのユーザーを `AWSCloud9EnvironmentMembers` グループに追加します。グループへのユーザーの追加は、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立つ AWS セキュリティのベストプラクティスです。
+ 組織の で管理している AWS Managed Microsoft AD または AD Connector ディレクトリを使用している場合は、「 *AWS IAM アイデンティティセンター ユーザーガイド* AWS Directory Service 」の[「Microsoft AD ディレクトリに接続する](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-directory-connected.html)」を参照してください。
## ステップ 6. 組織内のグループとユーザーが を使用できるようにする AWS Cloud9
デフォルトでは、 の組織内のほとんどのユーザーとグループは AWS のサービス、 を含む にアクセス AWS Organizations できません AWS Cloud9。このステップでは、IAM Identity Center を使用して、 の組織全体のグループとユーザーが AWS Organizations 、参加アカウントの任意の組み合わせ AWS Cloud9 内で を使用できるようにします。
1. [[IAM Identity Center console]](https://console.aws.amazon.com/singlesignon) (IAM Identity Center コンソール) で、サービスナビゲーションペインの [**AWS アカウント**] を選択します。
1. **[Permission sets]** (アクセス許可セット) タブを選択します。
1. **[Create permission set]** (アクセス許可セットを作成) を選択します。
1. **[Create a custom permission set]** (カスタムアクセス許可セットを作成) を選択します。
1. このアクセス許可セットの**名前**を入力します。組織全体の AWS Cloud9 管理者には、少なくとも 1 つのアクセス許可セットを作成することをお勧めします。次に、この手順のステップ 3~10 を繰り返して、組織全体のすべての AWS Cloud9 ユーザーに別のアクセス許可セットを作成します。必要に応じて、この手順のステップ 3 ~ 10 を繰り返して、既存の AWS Cloud9 開発環境を共有する組織全体のすべてのユーザーに 3 番目のアクセス許可セットを作成することもできます。ただし、ユーザーが独自に環境を作成することは許可しないようにします。わかりやすいように、これらのアクセス許可セットにそれぞれ `AWSCloud9AdministratorsPerms`、`AWSCloud9UsersPerms`、`AWSCloud9EnvironmentMembersPerms` という名前を付けることをお勧めします。詳細については、「[AWS Cloud9用AWS マネージドポリシー](security-iam.md#auth-and-access-control-managed-policies)」を参照してください。
1. 必要に応じて、アクセス許可セットの**説明**を入力します。
1. アクセス許可セットの **[Session duration]** (セッション期間) を選択するか、デフォルトのセッション期間 (**1 時間**) のままにします。
1. ** AWS 管理ポリシーのアタッチ**を選択します。
1. ポリシーのリストで、正しい [**ポリシー名**] エントリの横にある以下のボックスのいずれかを選択します。(ポリシー名そのものを選択しないでください。リストにポリシー名が表示されていない場合は、[**検索**] ボックスにポリシー名を入力して表示します)。
+ `AWSCloud9AdministratorsPerms` アクセス許可セットとして、[**AWSCloud9Administrator**] を選択します。
+ `AWSCloud9UsersPerms` アクセス許可セットとして、[**AWSCloud9User**] を選択します。
+ オプションで、`AWSCloud9EnvironmentMembersPerms` アクセス許可セットとして、[**AWSCloud9EnvironmentMember**] を選択します。
**注記**
で必要なポリシーに加えて追加できるポリシーについては AWS Cloud9、*IAM ユーザーガイド*の[「管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」および[「ポリシーによって付与されるアクセス許可について](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)」を参照してください。
1. **[作成]** を選択します。
1. 必要なすべてのアクセス許可セットの作成が完了したら、**AWS 組織**タブで、 AWS Cloud9 アクセス許可 AWS アカウント を割り当てる を選択します。**[AWS 組織]** タブが表示されない場合は、サービスナビゲーションペインで、**[AWS アカウント]** を選択します。**[AWS 組織]** タブが表示されます。
1. **[ユーザーの割り当て]** を選択します。
1. Groups ****タブで、 AWS Cloud9 アクセス許可を割り当てるグループの名前の横にあるボックスを選択します。グループ名自体を選択しないでください。
+ 組織の IAM Identity Center ディレクトリを使用する場合、 AWS Cloud9 管理者用に **AWSCloud9Administrators** という名前のグループが既に作成されている場合があります。
+ AWS Directory Service 組織の で管理している AWS Managed Microsoft AD または AD Connector ディレクトリを使用している場合は、ディレクトリの ID を選択します。次に、グループ名の一部または全部を入力して、**[Search connected directory]** (接続されたディレクトリを検索) を選択します。最後に、 AWS Cloud9 アクセス許可を割り当てるグループの名前の横にあるボックスを選択します。
**注記**
個々のユーザーではなく グループにアクセス AWS Cloud9 許可を割り当てることをお勧めします。この AWS セキュリティのベストプラクティスは、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立ちます。
1. **[Next: Permissions sets]** (次へ: アクセス許可セット) を選択します。
1. このグループに割り当てるアクセス許可セットの名前の横にあるボックスを選択します (たとえば、 AWS Cloud9 管理者グループの **AWSCloud9AdministratorsPerms**)。アクセス許可セット自体を選択しないでください。
1. [**Finish**] を選択してください。
1. **続行 AWS アカウント**を選択します。
1. 組織全体で に割り当てる追加の AWS Cloud9 アクセス許可については、この手順のステップ 11~17 AWS アカウント を繰り返します。
## ステップ 7: の使用を開始する AWS Cloud9
このトピックの前のステップを完了すると、ユーザーとユーザーは IAM Identity Center にサインインして の使用を開始する準備が整います AWS Cloud9。
1. AWS アカウントまたは IAM Identity Center に既にサインインしている場合は、サインアウトします。これを行うには、 AWS サポートウェブサイトの[AWS 「アカウントからサインアウトする方法](https://aws.amazon.com/premiumsupport/knowledge-center/sign-out-account/)」または[「 ユーザーガイド」の「ユーザーポータルからサインアウトする方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignout.html)」を参照してください。 *AWS IAM アイデンティティセンター *
1. IAM Identity Center にサインインするには、AWS IAM アイデンティティセンター ユーザーガイドの「[IAM アイデンティティセンターへの参加招待を受け入れる方法](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtoactivateaccount.html)」の手順に従ってください。これには、固有のサインイン URL にアクセスして固有の認証情報でサインインすることが含まれます。 AWS アカウント 管理者はこの情報を E メールで送信するか、お客様に提供します。
**注記**
提供された固有のサインイン URL を必ずブックマークしてください。こうすることで、後で簡単に戻ることができます。また、この URL の固有のサインイン認証情報は安全な場所に保管してください。
この URL、ユーザー名、パスワードの組み合わせは、 AWS アカウント 管理者が付与する AWS Cloud9 アクセス許可のレベルによって異なる場合があります。例えば、1 つのアカウントへの AWS Cloud9 管理者アクセスを許可するには、1 つの URL、ユーザー名、およびパスワードを使用できます。別のアカウントへの AWS Cloud9 ユーザーアクセスのみを許可する別の URL、ユーザー名、パスワードを使用できます。
1. IAM Identity Center にサインインしたら、**[AWS アカウント]** タイルを選択します。
1. 表示されたドロップダウンリストからユーザーの表示名を選択します。複数の名前が表示された場合は、使用を開始する名前を選択します AWS Cloud9。どちらの名前を選択するべきかわからない場合は、 AWS アカウント 管理者にお問い合わせください。
1. ユーザーの表示名の横にある [**管理コンソール**] リンクを選択します。複数の **[Management console]** (管理コンソール) リンクが表示されている場合は、正しいアクセス許可セットの横にあるリンクを選択してください。これらのリンクのどれを選択するかわからない場合は、 AWS アカウント 管理者にお問い合わせください。
1. から AWS マネジメントコンソール、次のいずれかを実行します。
+ 既に表示されている場合は、[**Cloud9**]を選択します。
+ [**すべてのサービス**]を展開し、[**Cloud9**]を選択します。
+ [**Find services (サービスの検索)**]ボックスに、「**Cloud9**」と入力し、`Enter` を押します。
+ AWS ナビゲーションバーで、**サービス**を選択し、**Cloud9** を選択します。
AWS Cloud9 コンソールが表示され、使用を開始できます AWS Cloud9。
## 次の手順
****
| **タスク** | **次のトピックを参照** |
| --- | --- |
| AWS Cloud9 開発環境を作成し、IDE AWS Cloud9 を使用して新しい環境でコードを操作します。 | [環境を作成する](create-environment.md) |
| IDE AWS Cloud9 の使用方法を説明します。 | [開始方法: ベーシックチュートリアル](tutorials-basic.md) および [ IDE を操作する](ide.md) |
| リアルタイムでチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境 を使用します。 | [共有環境を使用する](share-environment.md) |
# の追加のセットアップオプション AWS Cloud9
このトピックでは、[[Team Setup]](setup.md) (チームセットアップ) または[[Enterprise Setup]](setup-enterprise.md) (エンタープライズセットアップ) のセットアップステップを完了していることを前提としています。
[チームセットアップ](setup.md)または[エンタープライズセットアップ](setup-enterprise.md)で、グループを作成し、それらのグループにアクセス AWS Cloud9 許可を直接追加しました。これは、それらのグループのユーザーが AWS Cloud9にアクセスできるようにするためです。このトピックでは、さらにアクセス許可を追加して、それらのグループのユーザーが作成できる環境の種類を制限します。これにより、 AWS Cloud9 AWS アカウントや組織の に関連するコストを制御できます。
これらのアクセス許可を追加するには、強制したい AWS アクセス許可を定義する独自の一連のポリシーを作成します このような各ポリシーを*カスタマー管理ポリシー*と呼びます。次に、これらのカスタマー管理ポリシーを、ユーザーが含まれるグループにアタッチします。シナリオによっては、それらのグループに既にアタッチされている既存の AWS 管理ポリシーをデタッチする必要もあります。これを設定するには、このトピックの手順に従います。
**注記**
次の手順では、 AWS Cloud9 ユーザーのみのポリシーのアタッチとデタッチについて説明します。これらの手順は、別の AWS Cloud9 ユーザーグループと AWS Cloud9 管理者グループが既にあることを前提としています。 AWS Cloud9 管理者グループのユーザー数は限定されていることを前提としています。この AWS セキュリティのベストプラクティスは、 AWS リソースアクセスの問題をより適切に制御、追跡、トラブルシューティングするのに役立ちます。
## ステップ 1: カスタマー管理ポリシーを作成する
カスタマー管理ポリシーは、[AWS マネジメントコンソール](#setup-teams-create-policy-console) または [AWS コマンドラインインターフェイス (AWS CLI)](#setup-teams-create-policy-cli) を使って作成できます。
**注記**
このステップでは、IAM グループ用のカスタマー管理ポリシーを作成する方法のみを示します。でグループのカスタムアクセス許可セットを作成するには AWS IAM アイデンティティセンター、このステップをスキップし、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「アクセス許可セットの作成](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset)」の手順に従います。このトピックでは、カスタムアクセス許可セットを作成する手順を示します。関連するカスタムアクセス許可ポリシーは、このトピックの後半にある「[AWS Cloud9を使用したチームのカスタマー管理ポリシーの例](setup-teams-policy-examples.md)」を参照してください。
### ステップ 1.1: コンソールを使用してカスタマー管理ポリシーを作成する
1. まだサインインしていない場合は AWS マネジメントコンソール、 にサインインします。
AWS アカウントの管理者ユーザーの認証情報を使用してサインインすることをお勧めします。これができない場合は、 AWS アカウント 管理者に確認してください。
1. [IAM コンソール] を開きます。これを行うには、コンソールのナビゲーションバーで、[**サービス**]を選択します。次に、[**IAM**]を選択します。
1. サービスのナビゲーションペインで、[**ポリシー**] を選択します。
1. **[Create policy]** (ポリシーを作成) を選択します。
1. [**JSON**] タブに、提案された[カスタマー管理ポリシーの例](setup-teams-policy-examples.md)のいずれかを貼り付けます。
**注記**
独自のカスタマーマネージドポリシーを作成することもできます。詳細については、「*IAM ユーザーガイド*」と AWS のサービスの[ドキュメント](https://aws.amazon.com/documentation/)の「[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)」を参照してください。
1. **[ポリシーの確認]** を選択します。
1. [**ポリシーの確認**] ページで、ポリシーの [**名前**] と [**説明**] (省略可能) を入力して、[**ポリシーの作成**] を選択します。
作成したい追加のカスタマー管理ポリシーそれぞれに対してこのステップを繰り返します。次に、「[コンソールを使用してカスタマー管理ポリシーをグループに追加する](#setup-teams-add-policy-console)」までスキップします。
### ステップ 1.2: を使用してカスタマー管理ポリシーを作成する AWS CLI
1. を実行するコンピュータで AWS CLI、ポリシーを記述するファイルを作成します (例: `policy.json`)。
別のファイル名を使用してファイルを作成する場合は、この手順全体でそれを置き換えてください。
1. `policy.json` ファイルに、提案された[カスタマー管理ポリシーの例](setup-teams-policy-examples.md)のいずれかを貼り付けます。
**注記**
独自のカスタマーマネージドポリシーを作成することもできます。詳細については、*IAM ユーザーガイド*の[IAM JSON ポリシーリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)と AWS サービスの「[ドキュメント](https://aws.amazon.com/documentation/)」を参照してください。
1. ターミナルまたはコマンドプロンプトで、`policy.json` ファイルが格納されているディレクトリに移動します。
1. ポリシーの名前および `create-policy` ファイルを指定して、IAM `policy.json` コマンドを実行します。
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
前述のコマンドで、`MyPolicy` をポリシーの名前に置き換えます。
「」をスキップして、 [を使用してカスタマー管理ポリシーをグループに追加します AWS CLI](#setup-teams-add-policy-cli)。
## ステップ 2: カスタマーマネージドポリシーをグループに追加する
カスタマー管理ポリシーをグループに追加するには、「[AWS マネジメントコンソール](#setup-teams-add-policy-console)」または「[AWS コマンドラインインターフェイス (AWS CLI)](#setup-teams-add-policy-cli)」を使用します。詳細については、「 [を使用するチームのカスタマー管理ポリシーの例 AWS Cloud9](setup-teams-policy-examples.md)」を参照してください。
**注記**
このステップでは、IAM グループにカスタマー管理ポリシーを追加する方法のみを示します。のグループにカスタムアクセス許可セットを追加するには AWS IAM アイデンティティセンター、このステップをスキップし、代わりに*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「ユーザーアクセスの割り当て](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers)」の手順に従います。
### ステップ 2.1: コンソールを使用してカスタマーマネージドポリシーをグループに追加する
1. 前の手順で開いた IAM コンソールを使って、サービスのナビゲーションペイン内で、[**グループ**] を選択します。
1. グループの名前を選択します。
1. [**許可**] タブの[**マネージドポリシー**]には、[**ポリシーのアタッチ**]を選択します。
1. ポリシー名のリストで、グループにアタッチする各カスタマー管理ポリシーの横にあるボックスを選択します。特定のポリシー名がリストに表示されない場合は、**[Filter]** (フィルター) ボックスにポリシー名を入力して表示させます。
1. [**ポリシーをアタッチ**] を選択します。
### ステップ 2.2: を使用してカスタマー管理ポリシーをグループに追加する AWS CLI
**注記**
[AWS マネージド一時認証情報](security-iam.md#auth-and-access-control-temporary-managed-credentials)を使用している場合、IDE AWS Cloud9 のターミナルセッションを使用して、このセクションのコマンドの一部またはすべてを実行することはできません。 AWS セキュリティのベストプラクティスに対処するために、 AWS マネージド一時認証情報では一部のコマンドを実行できません。代わりに、これらのコマンドを AWS Command Line Interface () の別のインストールから実行できますAWS CLI。
ポリシーのグループの名前と Amazon リソースネーム (ARN) を指定して、IAM `attach-group-policy` コマンドを実行します。
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
前述のコマンドで、`MyGroup` をグループの名前に置き換えます。を AWS アカウント ID `123456789012`に置き換えます。`MyPolicy` はカスタマー管理ポリシーの名前に置き換えます。
## 次の手順
****
| **タスク** | **次のトピックを参照** |
| --- | --- |
| AWS Cloud9 開発環境を作成し、IDE AWS Cloud9 を使用して新しい環境でコードを操作します。 | [環境を作成する](create-environment.md) |
| IDE AWS Cloud9 の使用方法を説明します。 | [開始方法: ベーシックチュートリアル](tutorials-basic.md) および [ IDE を操作する](ide.md) |
| リアルタイムでチャットサポートを使用し、他のユーザーを招待して一緒に新しい環境 を使用します。 | [共有環境を使用する](share-environment.md) |
# を使用するチームのカスタマー管理ポリシーの例 AWS Cloud9
以下に、グループのユーザーが AWS アカウント内に作成できる環境を制限するために使用できるポリシーの例をいくつか示します。
+ [グループ内のユーザーが環境を作成できないようにする](#setup-teams-policy-examples-prevent-environments)
+ [グループ内のユーザーが EC2 環境を作成できないようにする](#setup-teams-policy-examples-prevent-ec2-environments)
+ [グループ内のユーザーに特定の Amazon EC2 インスタンスタイプでのみ EC2 環境を作成することを許可する](#setup-teams-policy-examples-specific-instance-types)
+ [グループ内のユーザーがリージョンごとに 1 つの EC2 環境のみを作成できるようにする AWS](#setup-teams-policy-examples-single-ec2-environment)
## グループ内のユーザーが環境を作成できないようにする
次のカスタマー管理ポリシーは、 AWS Cloud9 ユーザーグループにアタッチすると、それらのユーザーが で環境を作成できないようにします AWS アカウント。これは、 の管理者ユーザーが環境の作成 AWS アカウント を管理する場合に便利です。それ以外の場合、ユーザーグループの AWS Cloud9 ユーザーはこれを行います。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
前述のカスタマー管理ポリシー`"Effect": "Allow"`は、 AWS Cloud9 ユーザーグループに既にアタッチされている`AWSCloud9User`管理ポリシー`"Resource": "*"`の `"Action": "cloud9:CreateEnvironmentEC2"`と `"cloud9:CreateEnvironmentSSH"` の を明示的に上書きします。
## グループ内のユーザーが EC2 環境を作成できないようにする
次のカスタマー管理ポリシーは、 AWS Cloud9 ユーザーグループにアタッチされると、それらのユーザーが に EC2 環境を作成できないようにします AWS アカウント。これは、 の管理者ユーザーが EC2 環境の作成 AWS アカウント を管理できるようにする場合に便利です。それ以外の場合、ユーザーグループの AWS Cloud9 ユーザーはこれを行います。これは、そのグループのユーザーが SSH 環境を作成できないようにするポリシーがアタッチ済みでないことを前提としています。アタッチ済みの場合、それらのユーザーは環境を作成できません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
前述のカスタマー管理ポリシーは、 AWS Cloud9 ユーザーグループに既にアタッチされている`AWSCloud9User`管理ポリシー`"Resource": "*"`の `"Action": "cloud9:CreateEnvironmentEC2"` `"Effect": "Allow"`の を明示的に上書きします。
## グループ内のユーザーに特定の Amazon EC2 インスタンスタイプでのみ EC2 環境を作成することを許可する
次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、ユーザーグループのユーザーは、 `t2`で から始まるインスタンスタイプのみを使用する EC2 環境を作成できます AWS アカウント。このポリシーは、そのグループのユーザーが EC2 環境を作成できないようにするポリシーをアタッチ済みでないことも前提としています。アタッチ済みの場合、それらのユーザーは EC2 環境を作成できません。
次のポリシーの `"t2.*"` は、別のインスタンスクラス (例: `"m4.*"`) に置き換えることができます。または、複数のインスタンスクラスやインスタンスタイプ (例: `[ "t2.*", "m4.*" ]` または `[ "t2.micro", "m4.large" ]`) に制限できます。
AWS Cloud9 ユーザーグループの場合は、`AWSCloud9User`管理ポリシーをグループからデタッチします。次に、その場所に、次のカスタマー管理ポリシーを追加します。`AWSCloud9User` マネージドポリシーをデタッチしないと、次のカスタマー管理ポリシーは効果がありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
前述のカスタマー管理ポリシーによって、そのユーザーの環境の作成も許可されます。これらのユーザーが SSH 環境を作成できないようにするには、前述のカスタマー管理ポリシーから `"cloud9:CreateEnvironmentSSH",` を削除します。
## グループ内のユーザーがそれぞれに 1 つの EC2 環境のみを作成することを許可する AWS リージョン
次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、各ユーザーは AWS リージョン AWS Cloud9 で使用できる各 に最大 1 つの EC2 環境を作成できます。これは、環境の名前をその AWS リージョン内で 1 つの特定の名前に制限することで行われます。この例では、環境は `my-demo-environment` に制限されています。
**注記**
AWS Cloud9 では、環境の作成を特定の に制限することはできません AWS リージョン 。 AWS Cloud9 また、 では、作成できる環境の総数の制限も有効になりません。唯一の例外は、公開されている[サービスの制限](limits.md)です。
AWS Cloud9 ユーザーグループの場合、グループから`AWSCloud9User`管理ポリシーをデタッチし、代わりに次のカスタマー管理ポリシーを追加します。`AWSCloud9User` マネージドポリシーをデタッチしないと、次のカスタマー管理ポリシーは効果がありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
前述のカスタマー管理ポリシーによって、そのユーザーの SSH 環境の作成が許可されます。これらのユーザーが SSH 環境を作成できないようにするには、前述のカスタマー管理ポリシーから `"cloud9:CreateEnvironmentSSH",` を削除します。
その他の例については、「[お客様のマネージドポリシーの例](security-iam.md#auth-and-access-control-customer-policies-examples)」を参照してください。