AWS Cloud9 não está mais disponível para novos clientes. Os clientes atuais do AWS Cloud9 podem continuar usando o serviço normalmente. Saiba mais
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Identity and Access Management para AWS Cloud9
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (tem permissões) a usar AWS Cloud9 os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
Tópicos
Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
-
Usuário do serviço: solicite permissões ao seu administrador se você não conseguir acessar os recursos (consulte Solução de problemas AWS Cloud9 de identidade e acesso).
-
Administrador do serviço: determine o acesso do usuário e envie solicitações de permissão (consulte Como AWS Cloud9 funciona com o IAM).
-
Administrador do IAM: escreva políticas para gerenciar o acesso (consulte Exemplos de políticas baseadas em identidade para o AWS Cloud9).
Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como AWS IAM Identity Center (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte How to sign in to your Conta da AWS no Guia do usuário do Início de Sessão da AWS .
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte AWS Signature Version 4 para solicitações de API no Guia do usuário do IAM.
Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada usuário Conta da AWS raiz que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz para tarefas diárias. Para ver as tarefas que exigem credenciais de usuário-raiz, consulte Tarefas que exigem credenciais de usuário-raiz no Guia do usuário do IAM.
Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma identidade federada é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem perfis que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, é recomendável usar o AWS IAM Identity Center. Para obter mais informações, consulte O que é o IAM Identity Center? no Guia do usuário do AWS IAM Identity Center .
Usuários e grupos do IAM
Usuário do IAM é uma identidade com permissões específicas a uma única pessoa ou aplicação. Recomendamos usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias no Guia do usuário do IAM.
Um grupo do IAM especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte Casos de uso de usuários do IAM no Guia do usuário do IAM.
Perfis do IAM
Perfil do IAM é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função mudando de um usuário para uma função do IAM (console) ou chamando uma operação de AWS API AWS CLI ou. Para obter mais informações, consulte Métodos para assumir um perfil no Manual do usuário do IAM.
As funções do IAM são úteis para acesso de usuários federados, permissões temporárias de usuários do IAM, acesso entre contas, acesso entre serviços e aplicativos executados na Amazon. EC2 Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.
Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte Visão geral das políticas de JSON no Guia do usuário do IAM.
Por meio de políticas, os administradores especificam quem tem acesso ao quê, definindo qual entidade principal pode realizar ações em quais recursos e sob quais condições.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões independentemente do método usado para executar a operação.
Políticas baseadas em identidade
Políticas baseadas em identidade são documentos de política de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.
As políticas baseadas em identidade podem ser políticas em linha (incorporadas diretamente em uma única identidade) ou políticas gerenciadas (políticas independentes anexadas a várias identidades). Para saber como escolher entre uma política gerenciada ou uma política em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário do IAM.
Políticas baseadas em recursos
Políticas baseadas em atributos são documentos de políticas JSON que você anexa a um atributo. Os exemplos incluem políticas de confiança de perfil do IAM e políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário especificar uma entidade principal em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
-
Limites de permissões: definem o máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para obter mais informações, consulte Limites de permissões para entidades do IAM no Guia do usuário do IAM.
-
Políticas de controle de serviço (SCPs) — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para obter mais informações, consulte Políticas de controle de serviço no Guia do usuário do AWS Organizations .
-
Políticas de controle de recursos (RCPs) — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte Políticas de controle de recursos (RCPs) no Guia AWS Organizations do usuário.
-
Políticas de sessão: políticas avançadas transmitidas como um parâmetro ao criar uma sessão temporária para um perfil ou usuário federado. Para obter mais informações, consulte Políticas de sessão no Guia do usuário do IAM.
Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte Lógica de avaliação de políticas no Guia do usuário do IAM.
Como AWS Cloud9 funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS Cloud9, saiba com quais recursos do IAM estão disponíveis para uso AWS Cloud9.
| Recurso do IAM | AWS Cloud9 apoio |
|---|---|
|
Sim |
|
|
Não |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Não |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
Para ter uma visão de alto nível de como AWS Cloud9 e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte AWS os serviços que funcionam com o IAM no Guia do usuário do IAM.
Políticas baseadas em identidade para AWS Cloud9
Compatível com políticas baseadas em identidade: sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte Referência de elemento de política JSON do IAM no Guia do usuário do IAM.
Exemplos de políticas baseadas em identidade para AWS Cloud9
Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9
Políticas baseadas em recursos dentro AWS Cloud9
Compatibilidade com políticas baseadas em recursos: não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário especificar uma entidade principal em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, você pode especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.
AWS Cloud9 não oferece suporte a políticas baseadas em recursos, mas você ainda pode controlar as permissões de recursos do AWS Cloud9 ambiente para membros do AWS Cloud9 ambiente por meio da AWS Cloud9 API e AWS Cloud9 do IDE.
Ações políticas para AWS Cloud9
Compatível com ações de políticas: sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Action de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de AWS Cloud9 ações, consulte Ações definidas por AWS Cloud9 na Referência de Autorização de Serviço.
As ações de política AWS Cloud9 usam o seguinte prefixo antes da ação:
account
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
"Action": [ "account:action1", "account:action2" ]
Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9
Recursos políticos para AWS Cloud9
Compatível com recursos de políticas: sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento de política JSON Resource especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu nome do recurso da Amazon (ARN). Para ações em que não é possível usar permissões em nível de recurso, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.
"Resource": "*"
Para ver uma lista dos tipos de AWS Cloud9 recursos e seus ARNs, consulte Recursos definidos por AWS Cloud9 na Referência de Autorização de Serviço. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte Ações definidas pelo AWS Cloud9.
Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9
Chaves de condição de política para AWS Cloud9
Compatível com chaves de condição de política específicas de serviço: sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Condition especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as chaves de contexto de condição AWS global no Guia do usuário do IAM.
Para ver uma lista de chaves de AWS Cloud9 condição, consulte Chaves de condição AWS Cloud9 na Referência de autorização de serviço. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte Ações definidas por AWS Cloud9.
Para ver exemplos de políticas AWS Cloud9 baseadas em identidade, consulte. Exemplos de políticas baseadas em identidade para o AWS Cloud9
ACLs in AWS Cloud9
Suportes ACLs: Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
ABAC com AWS Cloud9
Compatível com ABAC (tags em políticas): sim
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as aws:ResourceTag/, key-nameaws:RequestTag/ ou chaves de condição key-nameaws:TagKeys.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será Sim para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será Parcial
Para obter mais informações sobre o ABAC, consulte Definir permissões com autorização do ABAC no Guia do usuário do IAM. Para visualizar um tutorial com etapas para configurar o ABAC, consulte Usar controle de acesso baseado em atributos (ABAC) no Guia do usuário do IAM.
Usando credenciais temporárias com AWS Cloud9
Compatível com credenciais temporárias: sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte Credenciais de segurança temporárias no IAM e Serviços da Serviços da AWS que funcionam com o IAM no Guia do usuário do IAM.
Sessões de acesso direto para AWS Cloud9
Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS): sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte Encaminhamento de sessões de acesso.
Funções de serviço para AWS Cloud9
Compatível com perfis de serviço: sim
O perfil de serviço é um perfil do IAM que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte Criar um perfil para delegar permissões a um AWS service (Serviço da AWS) no Guia do Usuário do IAM.
Atenção
Alterar as permissões de uma função de serviço pode interromper AWS Cloud9 a funcionalidade. Edite as funções de serviço somente quando AWS Cloud9 fornecer orientação para fazer isso.
Funções vinculadas a serviços para AWS Cloud9
Compatibilidade com perfis vinculados a serviços: sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode presumir o perfil para executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para funções vinculadas ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte Serviços da AWS que funcionam com o IAM. Encontre um serviço na tabela que inclua um Yes na coluna Perfil vinculado ao serviço. Escolha o link Sim para visualizar a documentação do perfil vinculado a esse serviço .
Exemplos de políticas baseadas em identidade para o AWS Cloud9
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS Cloud9 . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte Criar políticas do IAM (console) no Guia do usuário do IAM.
Para obter detalhes sobre ações e tipos de recursos definidos por AWS Cloud9, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição AWS Cloud9 na Referência de Autorização de Serviço.
Tópicos
Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS Cloud9 recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
-
Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: condição no Guia do usuário do IAM.
-
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.
-
Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do Usuário do IAM.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.
Usar o console do AWS Cloud9
Para acessar o AWS Cloud9 console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS Cloud9 recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o AWS Cloud9 console, anexe também a política AWS Cloud9 ConsoleAccessReadOnly
Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Solução de problemas AWS Cloud9 de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS Cloud9 um IAM.
Tópicos
Não estou autorizado a realizar uma ação em AWS Cloud9
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM mateojackson tenta usar o console para visualizar detalhes sobre um atributo my-example-widgetawes: fictícias.GetWidget
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidgeton resource:my-example-widget
Nesse caso, a política do usuário mateojackson deve ser atualizada para permitir o acesso ao recurso my-example-widgetawes:.GetWidget
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
Não estou autorizado a realizar iam: PassRole
Se você receber uma mensagem de erro informando que não está autorizado a executar a ação iam:PassRole, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS Cloud9.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada marymajor tenta utilizar o console para executar uma ação no AWS Cloud9. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
User: arn:aws:iam::123456789012:user/marymajoris not authorized to perform: iam:PassRole
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação iam:PassRole.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS Cloud9 recursos
Você pode criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
-
Para saber se é AWS Cloud9 compatível com esses recursos, consulteComo AWS Cloud9 funciona com o IAM.
-
Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui no Guia do usuário do IAM.
-
Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como fornecer acesso Contas da AWS a terceiros no Guia do usuário do IAM.
-
Para saber como conceder acesso por meio da federação de identidades, consulte Conceder acesso a usuários autenticados externamente (federação de identidades) no Guia do usuário do IAM.
-
Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte Acesso a recursos entre contas no IAM no Guia do usuário do IAM.
Como AWS Cloud9 funciona com recursos e operações do IAM
AWS Identity and Access Management é usado para gerenciar as permissões que permitem que você trabalhe com ambientes de AWS Cloud9 desenvolvimento Serviços da AWS e outros recursos.
AWS Cloud9 recursos e operações
Em AWS Cloud9, o recurso principal é um ambiente AWS Cloud9 de desenvolvimento. Em uma política, você usa um Nome de recurso da Amazon (ARN) para identificar o recurso a que a política se aplica. A tabela a seguir lista o ambiente ARNs. Para obter mais informações, consulte Amazon Resource Names (ARNs) e AWS Service Namespaces no. Referência geral da Amazon Web Services
| Tipo de atributo | Formato ARN |
|---|---|
|
Environment |
|
|
Todo ambiente de propriedade da conta especificada na Região da AWS especificada |
|
|
Todo ambiente de propriedade da conta determinada na região especificada |
|
|
Todos os AWS Cloud9 recursos, independentemente da conta e da região |
|
Por exemplo, você pode indicar um ambiente específico na instrução usando o nome do recurso da Amazon (ARN), da forma a seguir.
"Resource": "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX"
Para especificar todos os recursos, use o caractere curinga (*) no elemento Resource.
"Resource": "*"
Para especificar vários recursos em uma única declaração, separe seus nomes de recursos da Amazon (ARNs) com vírgulas.
"Resource": [ "arn:aws:cloud9:us-east-2:123456789012:environment:70d899206236474f9590d93b7c41dfEX", "arn:aws:cloud9:us-east-2:123456789012:environment:81e900317347585a0601e04c8d52eaEX" ]
AWS Cloud9 fornece um conjunto de operações para trabalhar com AWS Cloud9 recursos. Para obter uma lista, consulte AWS Cloud9 referência de permissões.
Informações sobre propriedade de recursos
A Conta da AWS conta é proprietária dos recursos criados na conta, independentemente de quem criou os recursos.
Considere os seguintes casos de uso e cenários:
-
Suponha que você use as credenciais da sua conta raiz Conta da AWS para criar um ambiente de AWS Cloud9 desenvolvimento. Embora seja possível, isso não é recomendado. Nesse caso, você Conta da AWS é o proprietário do ambiente.
-
Suponha que você crie um usuário do IAM no seu Conta da AWS e conceda permissões para criar um ambiente para esse usuário. O usuário poderá criar um ambiente. No entanto, o seu Conta da AWS, ao qual o usuário pertence, ainda é dono do ambiente.
-
Suponha que você crie uma função do IAM em sua Conta da AWS com permissões para criar um ambiente. Qualquer pessoa capaz de assumir o perfil poderá criar um ambiente. Sua Conta da AWS, à qual a função pertence, é a proprietária do ambiente.
nota
Se você excluir uma conta de usuário que seja proprietária do ARN de um ou mais AWS Cloud9 ambientes, esses ambientes não terão proprietário. Uma solução alternativa para esse cenário é usar o AWS Cloud9 SDK para adicionar outro usuário do IAM com privilégios de leitura e gravação usando a CreateEnvironmentMembership ação e o EnvironmentMember tipo de dados. Depois de adicionar esse usuário do IAM, você pode copiar os arquivos do ambiente para novos AWS Cloud9 ambientes e tornar esse proprietário o proprietário do ARN. Para obter mais informações sobre essa ação, consulte e CreateEnvironmentMembership, para obter mais informações sobre esse tipo de dados, consulte EnvironmentMembero Guia de referência da AWS Cloud9 API.
Gerenciar acesso aos recursos da
A política de permissões descreve quem possui acesso a quais recursos.
nota
Esta seção aborda o uso do IAM no AWS Cloud9. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é IAM? no Manual do usuário do IAM. Para obter informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência da política JSON do IAM no Manual do usuário do IAM.
As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (ou políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. AWS Cloud9 oferece suporte a políticas baseadas em identidade e em recursos.
Cada uma das ações da API a seguir requer que apenas uma política do IAM seja associada à identidade do IAM que deseja chamar estas ações da API:
-
CreateEnvironmentEC2 -
DescribeEnvironments
As seguintes ações da API exigem uma política baseada em recursos. Uma política do IAM não é necessária, mas AWS Cloud9 usa uma política do IAM se ela estiver anexada à identidade do IAM que deseja chamar essas ações da API. A política baseada em recursos deve ser aplicada ao recurso desejado AWS Cloud9 :
-
CreateEnvironmentMembership -
DeleteEnvironment -
DeleteEnvironmentMembership -
DescribeEnvironmentMemberships -
DescribeEnvironmentStatus -
UpdateEnvironment -
UpdateEnvironmentMembership
Para obter mais informações sobre o que cada uma dessas ações da API faz, consulte a Referência da API do AWS Cloud9 .
Você não pode anexar uma política baseada em recursos diretamente a um AWS Cloud9 recurso. Em vez disso, AWS Cloud9 anexa as políticas apropriadas baseadas em AWS Cloud9 recursos aos recursos à medida que você adiciona, modifica, atualiza ou exclui membros do ambiente.
Para conceder a um usuário permissões para realizar ações em AWS Cloud9 recursos, você anexa uma política de permissões a um grupo do IAM ao qual o usuário pertence. Recomendamos que você anexe uma política AWS gerenciada (predefinida) AWS Cloud9 sempre que possível. AWS as políticas gerenciadas contêm conjuntos predefinidos de permissões de acesso para cenários de uso e tipos de usuários comuns, como administração completa de um ambiente, usuários do ambiente e usuários que têm acesso somente de leitura a um ambiente. Para obter uma lista de políticas AWS gerenciadas para AWS Cloud9, consulteAWS políticas gerenciadas para AWS Cloud9.
Para obter mais detalhes sobre os cenários de uso e os tipos de usuário exclusivos, crie e anexe suas próprias políticas gerenciadas pelo cliente. Consulte Opções adicionais de configuração para o AWS Cloud9 e Criação de políticas gerenciadas pelo cliente para AWS Cloud9.
Para anexar uma política do IAM (AWS gerenciada ou gerenciada pelo cliente) a uma identidade do IAM, consulte Anexar políticas do IAM (console) no Guia do usuário do IAM.
Permissões de sessão para operações de API
Ao usar a AWS API AWS CLI ou para criar programaticamente uma sessão temporária para uma função ou usuário federado, você pode transmitir políticas de sessão como um parâmetro para ampliar o escopo da sessão de função. Isso significa que as permissões efetivas da sessão são a interseção das políticas baseadas em identidade da função e das políticas de sessão.
Quando uma solicitação é feita para acessar um recurso durante uma sessão, se não houver uma declaração Deny, nem uma declaração Allow aplicável na política da sessão, o resultado da avaliação da política será uma negação implícita. (Para obter mais informações, consulte Determining whether a request is allowed or denied within an account (Como determinar se uma solicitação é permitida ou negada) no Manual do Usuário do IAM.
Porém, para operações de AWS Cloud9 API que exigem uma política baseada em recursos (veja acima), as permissões são concedidas à entidade do IAM que está chamando se ela for especificada como Principal na política de recursos. Essa permissão explícita tem precedência sobre a negação implícita da política de sessão, permitindo que a sessão chame a operação da API com sucesso. AWS Cloud9
AWS políticas gerenciadas para AWS Cloud9
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.
AWS política gerenciada: AWSCloud9 Administrador
É possível anexar a política AWSCloud9Administrator às suas identidades do IAM.
Essa política concede administrative permissões que fornecem acesso ao administrador AWS Cloud9 a.
Detalhes das permissões
Esta política inclui as seguintes permissões.
-
AWS Cloud9 — Todas as AWS Cloud9 ações em suas Conta da AWS.
-
Amazon EC2 — Obtenha informações sobre vários recursos de sub-rede e VPC da Amazon em seus. Conta da AWS
-
IAM — Obtenha informações sobre os usuários do IAM e crie a função AWS Cloud9 vinculada ao serviço neles, Conta da AWS conforme necessário. Conta da AWS
-
Systems Manager— Permite que o usuário chame StartSession para iniciar uma conexão com uma instância para uma sessão do Session Manager. Essa permissão é necessária para usuários que abrem um ambiente que se comunica com sua EC2 instância por meio do Systems Manager. Para obter mais informações, consulte Acessando instâncias sem entrada EC2 com AWS Systems Manager.
AWS política gerenciada: AWSCloud9 Usuário
É possível anexar a política AWSCloud9User às suas identidades do IAM.
Essa política concede user permissões para criar ambientes de AWS Cloud9
desenvolvimento e gerenciar ambientes próprios.
Detalhes das permissões
Esta política inclui as seguintes permissões.
-
AWS Cloud9 — crie e obtenha informações sobre seus ambientes e obtenha e altere as configurações do usuário em seus ambientes.
-
Amazon EC2 — Obtenha informações sobre vários recursos de sub-rede e VPC da Amazon em seus. Conta da AWS
-
IAM — Obtenha informações sobre os usuários do IAM e crie a função AWS Cloud9 vinculada ao serviço neles, Conta da AWS conforme necessário. Conta da AWS
-
Systems Manager— Permite que o usuário chame StartSession para iniciar uma conexão com uma instância para uma sessão do Session Manager. Essa permissão é necessária para usuários que abrem um ambiente que se comunica com sua EC2 instância por meio do Systems Manager. Para obter mais informações, consulte Acessando instâncias sem entrada EC2 com AWS Systems Manager.
AWS política gerenciada: AWSCloud9 EnvironmentMember
É possível anexar a política AWSCloud9EnvironmentMember às suas identidades do IAM.
Essa política concede membership permissões que permitem ingressar em um ambiente AWS Cloud9 compartilhado.
Detalhes de permissões
Esta política inclui as seguintes permissões:
-
AWS Cloud9 — obtenha informações sobre seus ambientes e obtenha e altere as configurações do usuário para seus ambientes.
-
IAM — Obtenha informações sobre os usuários do IAM e crie a função AWS Cloud9 vinculada ao serviço neles, Conta da AWS conforme necessário. Conta da AWS
-
Systems Manager— Permite que o usuário chame StartSession para iniciar uma conexão com uma instância para uma sessão do Session Manager. Essa permissão é necessária para usuários que abrem um ambiente que se comunica com sua EC2 instância por meio do Systems Manager. Para obter mais informações, consulte Acessando instâncias sem entrada EC2 com AWS Systems Manager.
AWS política gerenciada: AWSCloud9ServiceRolePolicy
A função vinculada ao serviço AWSServiceRoleForAWSCloud9usa essa política para permitir que o AWS Cloud9 ambiente interaja com a Amazon EC2 e CloudFormation os recursos.
Detalhes das permissões
Isso AWSCloud9ServiceRolePolicyconcede as permissões necessárias para permitir AWS Cloud9 a interação com a Serviços da AWS (Amazon EC2 e CloudFormation) que são necessárias para criar e executar ambientes de desenvolvimento. AWSService RoleFor AWSCloud9
AWS Cloud9 define as permissões de suas funções vinculadas ao serviço e só AWS Cloud9 pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para obter mais informações sobre como AWS Cloud9 usa funções vinculadas a serviços, consulte. Usar perfis vinculados ao serviço do AWS Cloud9
AWS Cloud9 atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS Cloud9 desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS Cloud9 documento.
| Alteração | Descrição | Data |
|---|---|---|
|
Uma nova ação foi adicionada ao AWSCloud9Usuário, AWSCloud9Administrador e AWSCloud9EnvironmentMemberpolíticas. |
A |
12 de outubro de 2023 |
|
APIs adicionadas às políticas de AWSCloud9usuário e AWSCloud9administrador. |
Duas novas APIs foram adicionadas às políticas de AWSCloud9usuário e AWSCloud9administrador, essas APIs são |
2 de agosto de 2023 |
|
Atualização para o AWSCloud9ServiceRolePolicy |
AWSCloud9ServiceRolePolicyfoi atualizado AWS Cloud9 para permitir iniciar e interromper EC2 instâncias da Amazon que são gerenciadas pelas configurações de licença do License Manager. |
12 de janeiro de 2022 |
|
AWS Cloud9 começou a rastrear as alterações |
AWS Cloud9 começou a rastrear as mudanças em suas políticas AWS gerenciadas. |
15 de março de 2021 |
Criação de políticas gerenciadas pelo cliente para AWS Cloud9
Se nenhuma das políticas AWS gerenciadas atender aos seus requisitos de controle de acesso, você poderá criar e anexar suas próprias políticas gerenciadas pelo cliente.
Para criar uma política gerenciada pelo cliente, consulte Create an IAM Policy (Console) (Criar uma política do IAM, console) no Manual do usuário do IAM.
Tópicos
Especificar elementos da política: efeitos, principais, ações e recursos
Para cada AWS Cloud9 recurso, o serviço define um conjunto de operações de API. Para conceder permissões para essas operações de API, AWS Cloud9 defina um conjunto de ações que você pode especificar em uma política.
Estes são os elementos de política básicos:
-
Effect– Especifique o efeito, permitir ou negar, quando o usuário solicitar a ação. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Faça isso para garantir que um usuário não acesse um recurso, mesmo quando uma política diferente conceder o acesso. -
Principal– Em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política está anexada é o principal implícito. Para as políticas baseadas em recursos, você especifica o usuário, conta, serviço ou outra entidade a receber permissões. -
Resource: use um nome do recurso da Amazon (ARN) para identificar o recurso ao qual a política se aplica. -
Action– Use palavras-chave para identificar as operações de recurso que você quer permitir ou negar. Por exemplo, a permissãocloud9:CreateEnvironmentEC2permite que o usuário execute a operaçãoCreateEnvironmentEC2.
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a Referência da política JSON do IAM no Manual do usuário do IAM.
Para ver uma tabela mostrando todas as ações da AWS Cloud9 API e os recursos aos quais elas se aplicam, consulte AWS Cloud9 referência de permissões o.
Exemplos de política gerenciada pelo cliente
Nesta seção, encontre exemplos de políticas que concedem permissões para ações do AWS Cloud9 . Adapte as políticas do IAM de exemplo a seguir para permitir ou negar explicitamente o acesso ao AWS Cloud9 para suas identidades do IAM.
Para criar ou anexar uma política gerenciada pelo cliente a uma identidade do IAM, consulte Criar uma política do IAM (console) e Anexar políticas do IAM (console) no Manual do usuário do IAM.
nota
Os exemplos a seguir usam a região Leste dos EUA (Ohio) (us-east-2), uma ID fictícia (123456789012) e uma Conta da AWS ID de ambiente de AWS Cloud9 desenvolvimento fictícia (). 81e900317347585a0601e04c8d52eaEX
Tópicos
Obter informações sobre ambientes
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade obtenha informações sobre todos os ambientes na conta.
nota
A permissão de acesso anterior já está incluída nas políticas AWS gerenciadas AWSCloud9Administrator e. AWSCloud9User
Crie EC2 ambientes
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade crie ambientes de AWS Cloud9 EC2 desenvolvimento em sua conta.
nota
A permissão de acesso anterior já está incluída nas políticas AWS gerenciadas AWSCloud9Administrator e. AWSCloud9User
Crie EC2 ambientes com tipos específicos de EC2 instância da Amazon
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade crie ambientes de AWS Cloud9 EC2 desenvolvimento em sua conta. No entanto, EC2 os ambientes podem usar somente a classe especificada dos tipos de EC2 instância da Amazon.
nota
Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à entidade do IAM, essa política AWS
gerenciada substituirá o comportamento da declaração de política anterior do IAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.
Crie EC2 ambientes em sub-redes específicas da Amazon VPC
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade crie ambientes de AWS Cloud9 EC2 desenvolvimento em sua conta. No entanto, EC2 os ambientes podem usar somente as sub-redes especificadas da Amazon VPC.
nota
Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à entidade do IAM, essa política AWS
gerenciada substituirá o comportamento da declaração de política anterior do IAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.
Crie EC2 ambientes com um nome de ambiente específico
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade crie um ambiente de AWS Cloud9 EC2 desenvolvimento em sua conta. No entanto, o EC2 ambiente pode usar somente o nome especificado.
nota
Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à entidade do IAM, essa política AWS
gerenciada substituirá o comportamento da declaração de política anterior do IAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.
Criar somente ambientes SSH
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade crie ambientes de desenvolvimento AWS Cloud9 SSH em sua conta. No entanto, a entidade não pode criar ambientes AWS Cloud9 EC2 de desenvolvimento.
Atualizar ambientes ou impedir a atualização de um ambiente
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade altere as informações sobre qualquer ambiente de AWS Cloud9 desenvolvimento em sua conta.
nota
A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.
O exemplo de instrução de política do IAM a seguir, anexado a uma entidade do IAM, impede explicitamente que essa entidade altere as informações sobre o ambiente com o nome do recurso da Amazon (ARN) especificado.
Obter listas de membros do ambiente
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade obtenha uma lista de membros para todos os ambientes na conta.
nota
A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada. Além disso, a permissão de acesso anterior é mais permissiva do que a permissão de acesso equivalente na política gerenciada AWS . AWSCloud9User
Compartilhar ambientes somente com um usuário específico
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade compartilhe todos os ambientes na conta com somente usuários especificados.
nota
Se a política AWS gerenciada AWSCloud9Administrator ou já AWSCloud9User estiver anexada à entidade do IAM, essas políticas AWS
gerenciadas substituirão o comportamento da declaração de política anterior do IAM. Isso ocorre porque essas políticas AWS gerenciadas são mais permissivas.
Impedir o compartilhamento de ambientes
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, impede que essa entidade compartilhe qualquer ambiente na conta.
Alterar ou impedir a alteração das configurações de membros do ambiente
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade altere as configurações de membros em qualquer ambiente da conta.
nota
A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.
O exemplo de instrução de política do IAM a seguir, anexado a uma entidade do IAM, impede explicitamente que essa entidade altere as configurações de membros no ambiente com o nome do recurso da Amazon (ARN) especificado.
Remover ou impedir a remoção de membros do ambiente
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade remova todos os ambientes da conta.
nota
A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.
O exemplo de instrução de política do IAM a seguir, anexado a uma entidade do IAM, impede explicitamente que essa entidade remova membros do ambiente com o nome do recurso da Amazon (ARN) especificado.
Excluir ou impedir a exclusão de um ambiente
O exemplo de declaração de política do IAM a seguir, anexado a uma entidade do IAM, permite que essa entidade exclua todos os ambientes de na conta.
nota
A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada.
O exemplo de instrução de política do IAM a seguir, anexado a uma entidade do IAM, impede explicitamente que essa entidade exclua o ambiente com o nome do recurso da Amazon (ARN) especificado.
Política de IAM personalizada para criação de ambiente SSM
Há um problema de permissões atual que ocorre ao criar um ambiente SSM com as políticas AWSCloud9Administrator ou AWSCloud9User anexadas. O exemplo de declaração de política do IAM a seguir, quando anexado a uma entidade do IAM, permite que os usuários anexem e usem a política AWS gerenciada AWSCloud9Administrator ouAWSCloud9User.
AWS Cloud9 referência de permissões
Você pode usar chaves AWS de condição amplas em suas AWS Cloud9 políticas para expressar condições. Para obter mais informações, consulte IAM JSON Policy Elements: Condition (Elementos da política JSON do IAM: condição) no Manual do usuário do IAM.
Você especifica as ações no campo Action das políticas. Para especificar uma ação, use o prefixo cloud9: seguido do nome da operação da API (por exemplo, "Action": "cloud9:DescribeEnvironments"). Para especificar várias ações em uma única declaração, separe-as com vírgulas (por exemplo, "Action": [
"cloud9:UpdateEnvironment", "cloud9:DeleteEnvironment" ]).
Usando caracteres curinga
Especifique um ARN, com ou sem um caractere curinga (*), como o valor do recurso no campo Resource da política. Você pode usar um curinga para especificar várias ações ou recursos. Por exemplo, cloud9:* especifica todas as AWS Cloud9 ações e cloud9:Describe* especifica todas as AWS Cloud9 ações que começam com. Describe
O exemplo a seguir permite que uma entidade do IAM obtenha informações sobre ambientes e associações de ambientes para qualquer ambiente da conta.
nota
A permissão de acesso anterior já está incluída na política AWS AWSCloud9Administrator gerenciada. Além disso, a permissão de acesso anterior é mais permissiva do que a permissão de acesso equivalente na política gerenciada AWS . AWSCloud9User
AWS Cloud9 Operações de API e permissões necessárias para ações
nota
É possível usar a tabela a seguir como referência ao configurar o controle de acesso e escrever políticas de permissões que podem ser associadas a uma identidade do IAM (políticas baseadas em identidade).
A Public API operations tabela lista as operações de API que podem ser chamadas pelos clientes que usam SDKs AWS Command Line Interface e.
O Permission-only API operations lista as operações de API que não são diretamente chamadas pelo código do cliente ou pelo AWS Command Line Interface. Porém, os usuários do IAM exigem permissões para essas operações que são chamadas quando as ações do AWS Cloud9 são executadas usando o console.
| AWS Cloud9 operação | Permissão necessária (ação da API) | Recurso |
|---|---|---|
|
|
Necessário para criar um ambiente de AWS Cloud9 EC2 desenvolvimento. |
|
|
|
Necessário para adicionar um membro a um ambiente. |
|
|
|
Necessário para excluir um ambiente. |
|
|
|
Necessário para remover um membro de um ambiente. |
|
|
|
Necessário para obter uma lista de membros em um ambiente. |
|
|
|
Necessário para obter informações sobre um ambiente. |
|
|
|
Necessário para obter informações sobre o status de um ambiente. |
|
|
|
Necessário para atualizar as configurações de um ambiente. |
|
|
|
Necessário para atualizar as configurações de um membro em um ambiente. |
|
| AWS Cloud9 operação | Description | Documentação do console |
|---|---|---|
|
|
Inicia a EC2 instância da Amazon à qual seu AWS Cloud9 IDE se conecta. |
|
|
|
Cria um ambiente de desenvolvimento AWS Cloud9 SSH. |
|
|
|
Cria um token de autenticação que permite uma conexão entre o IDE do AWS Cloud9 e o ambiente do usuário. |
|
|
|
Obtém detalhes sobre a conexão com o ambiente de EC2 desenvolvimento, incluindo host, usuário e porta. |
|
|
|
Obtém detalhes sobre a conexão com o ambiente de desenvolvimento do SSH, incluindo host, usuário e porta. |
|
|
|
Obtém informações de configuração que são usadas para inicializar o IDE do AWS Cloud9 . |
|
|
|
Obtém as configurações do AWS Cloud9 IDE para um ambiente de desenvolvimento especificado. |
|
|
|
Obtém as configurações do AWS Cloud9 IDE para um membro do ambiente especificado. |
|
|
|
Obtém a chave SSH pública do usuário, que é usada AWS Cloud9 para se conectar aos ambientes de desenvolvimento SSH. |
|
|
|
Obtém as configurações do AWS Cloud9 IDE para um usuário especificado. |
|
|
|
Define credenciais temporárias AWS gerenciadas na EC2 instância da Amazon que é usada pelo ambiente de desenvolvimento AWS Cloud9 integrado (IDE). |
|
|
|
Atualiza as configurações do AWS Cloud9 IDE para um ambiente de desenvolvimento especificado. |
|
|
|
Atualiza as configurações do AWS Cloud9 IDE para um membro do ambiente especificado. |
|
|
|
Atualiza detalhes sobre a conexão com o ambiente de desenvolvimento SSH, incluindo host, usuário e porta. |
|
|
|
Atualiza as configurações do AWS Cloud9 IDE para um usuário especificado. |
|
|
|
Concede permissão a um AWS Cloud9 usuário para obter a experiência de migração de AWS Cloud9 para CodeCatalyst. |
AWS credenciais temporárias gerenciadas
|
Se você está apenas procurando a lista de ações que as credenciais temporárias AWS gerenciadas suportam, vá para. Ações suportadas por credenciais temporárias AWS gerenciadas |
Para um ambiente de AWS Cloud9 EC2 desenvolvimento, AWS Cloud9 disponibiliza credenciais de AWS acesso temporário para você no ambiente. Elas são chamadas de credenciais temporárias gerenciadas pela AWS . Isso oferece os seguintes benefícios:
-
Você não precisa armazenar as credenciais de AWS acesso permanente de uma AWS entidade (por exemplo, um usuário do IAM) em nenhum lugar do ambiente. Isso evita que essas credenciais sejam acessadas pelos membros do ambiente sem o seu conhecimento e aprovação.
-
Você não precisa configurar, gerenciar ou anexar manualmente um perfil de instância à EC2 instância da Amazon que se conecta ao ambiente. Um perfil de instância é outra abordagem para gerenciar credenciais de AWS acesso temporário.
-
AWS Cloud9 renova continuamente suas credenciais temporárias, portanto, um único conjunto de credenciais só pode ser usado por um tempo limitado. Essa é uma prática recomendada de AWS segurança. Para obter mais informações, consulte Criação e atualização de credenciais temporárias AWS gerenciadas.
-
AWS Cloud9 impõe restrições adicionais sobre como suas credenciais temporárias podem ser usadas para acessar AWS ações e recursos do ambiente. Essa também é uma prática recomendada de AWS segurança.
Importante
Atualmente, se a EC2 instância do seu ambiente for executada em uma sub-rede privada, você não poderá usar credenciais temporárias AWS gerenciadas para permitir que o EC2 ambiente acesse um AWS serviço em nome de uma AWS entidade (por exemplo, um usuário do IAM).
Para obter mais informações sobre quando você pode executar uma EC2 instância em uma sub-rede privada, consulteCrie uma sub-rede para AWS Cloud9.
nota
Considere usar uma política AWS gerenciada em vez de uma política embutida ao usar credenciais temporárias AWS gerenciadas.
Veja como as credenciais temporárias AWS gerenciadas funcionam sempre que um EC2 ambiente tenta acessar uma AWS service (Serviço da AWS) em nome de uma AWS entidade (por exemplo, um usuário do IAM):
-
AWS Cloud9 verifica se a AWS entidade chamadora (por exemplo, o usuário do IAM) tem permissão para realizar a ação solicitada para o recurso solicitado em AWS. Se a permissão não existir ou for explicitamente negada, a solicitação falhará.
-
AWS Cloud9 verifica as credenciais temporárias AWS gerenciadas para ver se suas permissões permitem a entrada da ação solicitada para o recurso solicitado. AWS Se a permissão não existir ou for explicitamente negada, a solicitação falhará. Para obter uma lista de permissões que AWS gerenciaram o suporte de credenciais temporárias, consulteAções suportadas por credenciais temporárias AWS gerenciadas.
-
Se a AWS entidade e as credenciais temporárias AWS gerenciadas permitirem a ação solicitada para o recurso solicitado, a solicitação será bem-sucedida.
-
Se a AWS entidade ou as credenciais temporárias AWS gerenciadas negarem explicitamente ou falharem em permitir explicitamente a ação solicitada para o recurso solicitado, a solicitação falhará. Isso significa que, mesmo que a AWS entidade chamadora tenha as permissões corretas, a solicitação falhará se também AWS Cloud9 não for explicitamente permitida. Da mesma forma, se AWS Cloud9 permitir que uma ação específica seja executada para um recurso específico, a solicitação falhará se a AWS entidade também não permitir explicitamente.
O proprietário de um EC2 ambiente pode ativar ou desativar as credenciais temporárias AWS gerenciadas para esse ambiente a qualquer momento, da seguinte maneira:
-
Com o ambiente aberto, no AWS Cloud9 IDE, na barra de menu AWS Cloud9, escolha Preferências.
-
No painel de navegação da guia Preferências, selecione Configurações da AWS , Credenciais.
-
Usar as credenciais temporárias gerenciadas pela AWS para ativar e desativar as credenciais temporárias gerenciadas pela AWS .
nota
Você também pode ativar ou desativar as credenciais temporárias AWS gerenciadas chamando a operação da AWS Cloud9 API UpdateEnvironmente atribuindo um valor ao managedCredentialsAction parâmetro. Você pode solicitar essa operação de API usando AWS ferramentas padrão, como AWS SDKs AWS CLI e.
Se você desativar as credenciais temporárias AWS gerenciadas, o ambiente não poderá acessar nenhuma Serviços da AWS, independentemente da AWS entidade que faz a solicitação. Porém, suponha que você não possa ou não queira ativar as credenciais temporárias AWS gerenciadas para um ambiente e ainda precise que o ambiente acesse Serviços da AWS. Considere as seguintes alternativas:
-
Anexe um perfil de instância à EC2 instância da Amazon que se conecta ao ambiente. Para obter instruções, consulte Criar e usar um perfil de instância para gerenciar credenciais temporárias.
-
Armazene suas credenciais de AWS acesso permanentes no ambiente, por exemplo, definindo variáveis de ambiente especiais ou executando o
aws configurecomando. Para instruções, consulte Crie e armazene as credenciais de acesso permanentes em um ambiente.
As alternativas anteriores substituem todas as permissões permitidas (ou negadas) pelas credenciais temporárias AWS gerenciadas em um ambiente. EC2
Ações suportadas por credenciais temporárias AWS gerenciadas
Para um ambiente de AWS Cloud9 EC2 desenvolvimento, as credenciais temporárias AWS gerenciadas permitem todas as AWS ações de todos os AWS recursos do chamador Conta da AWS, com as seguintes restrições:
-
Pois AWS Cloud9, somente as seguintes ações são permitidas:
-
cloud9:CreateEnvironmentEC2 -
cloud9:CreateEnvironmentSSH -
cloud9:DescribeEnvironmentMemberships -
cloud9:DescribeEnvironments -
cloud9:DescribeEnvironmentStatus -
cloud9:UpdateEnvironment
-
-
Para o IAM, apenas as seguintes ações são permitidas:
-
iam:AttachRolePolicy -
iam:ChangePassword -
iam:CreatePolicy -
iam:CreatePolicyVersion -
iam:CreateRole -
iam:CreateServiceLinkedRole -
iam:DeletePolicy -
iam:DeletePolicyVersion -
iam:DeleteRole -
iam:DeleteRolePolicy -
iam:DeleteSSHPublicKey -
iam:DetachRolePolicy -
iam:GetInstanceProfile -
iam:GetPolicy -
iam:GetPolicyVersion -
iam:GetRole -
iam:GetRolePolicy -
iam:GetSSHPublicKey -
iam:GetUser -
iam:List* -
iam:PassRole -
iam:PutRolePolicy -
iam:SetDefaultPolicyVersion -
iam:UpdateAssumeRolePolicy -
iam:UpdateRoleDescription -
iam:UpdateSSHPublicKey -
iam:UploadSSHPublicKey
-
-
Todas as ações do IAM que interagem com funções são permitidas somente para nomes de função que começam com
Cloud9-. No entanto,iam:PassRolefunciona com todos os nomes de função. -
Para AWS Security Token Service (AWS STS), somente as seguintes ações são permitidas:
-
sts:GetCallerIdentity -
sts:DecodeAuthorizationMessage
-
-
Todas as AWS ações suportadas são restritas ao endereço IP do ambiente. Essa é uma prática recomendada de AWS segurança.
Se AWS Cloud9 não oferecer suporte a uma ação ou recurso que você precisa de um EC2 ambiente para acessar, ou se as credenciais temporárias AWS gerenciadas estiverem desativadas para um EC2 ambiente e você não puder ativá-las novamente, considere as seguintes alternativas:
-
Anexe um perfil de instância à EC2 instância da Amazon que se conecta ao EC2 ambiente. Para instruções, consulte Crie e use um perfil da instância para gerenciar as credenciais temporárias.
-
Armazene suas credenciais de AWS acesso permanentes no EC2 ambiente, por exemplo, definindo variáveis de ambiente especiais ou executando o
aws configurecomando. Para instruções, consulte Crie e armazene as credenciais de acesso permanentes em um ambiente.
As alternativas anteriores substituem todas as permissões permitidas (ou negadas) pelas credenciais temporárias AWS gerenciadas em um ambiente. EC2
Criação e atualização de credenciais temporárias AWS gerenciadas
Para um ambiente de AWS Cloud9 EC2 desenvolvimento, as credenciais temporárias AWS gerenciadas são criadas na primeira vez que você abre o ambiente.
AWS as credenciais temporárias gerenciadas são atualizadas sob qualquer uma das seguintes condições:
-
Sempre que um determinado período passar. Atualmente, isso ocorre a cada cinco minutos.
-
Sempre que recarregar a guia do navegador da Web que exibe o IDE para o ambiente.
-
Quando o carimbo de hora listado no arquivo
~/.aws/credentialsdo ambiente for alcançado. -
Se a configuração das credenciais temporárias gerenciadas pela AWS for definida como desativada toda vez que você a reativa. (Para exibir ou alterar essa configuração, selecione AWS Cloud9, Preferências na barra de menus do IDE. No painel de navegação da guia Preferências, selecione Configurações de AWS , Credenciais.)
-
Por motivos de segurança, as credenciais temporárias AWS gerenciadas expiram automaticamente após 15 minutos. Para que as credenciais sejam atualizadas, o proprietário do ambiente deve estar conectado ao ambiente do AWS Cloud9 por meio do IDE. Para obter mais informações sobre as funções do proprietário do ambiente, consulte Controlar o acesso às credenciais temporárias gerenciadas pela AWS.
Controlar o acesso às credenciais temporárias gerenciadas pela AWS
Um colaborador com credenciais temporárias AWS gerenciadas pode usar AWS Cloud9 para interagir com outros. Serviços da AWS Para garantir que apenas colaboradores confiáveis recebam as credenciais temporárias gerenciadas pela AWS , essas credenciais serão desativadas se um novo membro for adicionado por qualquer pessoa que não seja o proprietário do ambiente. As credenciais são desativadas pela exclusão do arquivo ~/.aws/credentials.
Importante
AWS as credenciais temporárias gerenciadas também expiram automaticamente a cada 15 minutos. Para que as credenciais sejam atualizadas para que os colaboradores possam continuar a usá-las, o proprietário do ambiente deve estar conectado ao AWS Cloud9 ambiente por meio do IDE.
Somente o proprietário do ambiente pode reativar as credenciais temporárias AWS gerenciadas para que elas possam ser compartilhadas com outros membros. Quando o proprietário do ambiente abre o IDE, uma caixa de diálogo confirma que as credenciais temporárias AWS gerenciadas estão desativadas. O proprietário do ambiente pode reativar as credenciais para todos os membros ou mantê-las desabilitadas para todos os membros.
Atenção
Para manter a conformidade com as práticas recomendadas de segurança, mantenha as credenciais temporárias gerenciadas desativadas se você não tiver certeza sobre a identidade do último usuário adicionado ao ambiente. Você pode verificar a lista de membros com read/write permissões na janela do Collaborate.
