Permissões de função vinculadas ao serviço para AWS Cloud9 Criação de uma função vinculada ao serviço para AWS Cloud9 Editando uma função vinculada ao serviço para AWS Cloud9 Excluindo uma função vinculada ao serviço para AWS Cloud9 Regiões suportadas para funções vinculadas a AWS Cloud9 serviços

Usando funções vinculadas a serviços para AWS Cloud9

AWS Cloud9 usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Cloud9 Os perfis vinculados a serviços são predefinidos pelo AWS Cloud9 e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração AWS Cloud9 porque você não precisa adicionar as permissões necessárias. AWS Cloud9 define as permissões de suas funções vinculadas ao serviço e só AWS Cloud9 pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Isso protege seus AWS Cloud9 recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Service-Linked Role. Escolha Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço do AWS Cloud9
Criação de uma função vinculada ao serviço para AWS Cloud9
Editando uma função vinculada ao serviço para AWS Cloud9
Excluindo uma função vinculada ao serviço para AWS Cloud9
Regiões suportadas para funções vinculadas a AWS Cloud9 serviços

Permissões de função vinculadas ao serviço para AWS Cloud9

AWS Cloud9 usa a função vinculada ao serviço chamada. AWSService RoleFor AWSCloud9 Essa função vinculada a serviço confia no serviço cloud9.amazonaws.com para assumir a função.

A política de permissões para essa função vinculada ao serviço é nomeada AWSCloud9ServiceRolePolicye permite AWS Cloud9 concluir as ações listadas na política nos recursos especificados.

Importante

Se você estiver usando o License Manager e receber um erro unable to access your environment, será necessário substituir a antiga função vinculada a serviço pela versão compatível com o License Manager. É possível substituir a função antiga simplesmente excluindo-a. Em seguida, a função atualizada será criada automaticamente.

JSON


{
	"Version":"2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:RunInstances",
				"ec2:CreateSecurityGroup",
				"ec2:DescribeVpcs",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeInstances",
				"ec2:DescribeInstanceStatus",
				"cloudformation:CreateStack",
				"cloudformation:DescribeStacks",
				"cloudformation:DescribeStackEvents",
				"cloudformation:DescribeStackResources"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:TerminateInstances",
				"ec2:DeleteSecurityGroup",
				"ec2:AuthorizeSecurityGroupIngress"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DeleteStack"
			],
			"Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": [
				"arn:aws:ec2:*:*:instance/*",
				"arn:aws:ec2:*:*:security-group/*"
			],
			"Condition": {
				"StringLike": {
					"aws:RequestTag/Name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": "*",
			"Condition": {
				"StringLike": {
					"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*"
				}
			}
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:StartInstances",
				"ec2:StopInstances"
			],
			"Resource": [
				"arn:aws:license-manager:*:*:license-configuration:*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:ListInstanceProfiles",
				"iam:GetInstanceProfile"
			],
			"Resource": [
				"arn:aws:iam::*:instance-profile/cloud9/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"iam:PassRole"
			],
			"Resource": [
				"arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole"
			],
			"Condition": {
				"StringLike": {
					"iam:PassedToService": "ec2.amazonaws.com"
				}
			}
		}
	]
}

Você deve configurar permissões AWS Cloud9 para permitir a criação de uma função vinculada ao serviço em nome de uma entidade do IAM (como um usuário, grupo ou função).

AWS Cloud9 Para permitir a criação da função AWSService RoleFor AWSCloud9 vinculada ao serviço, adicione a declaração a seguir à política de permissões da entidade do IAM em nome da qual AWS Cloud9 precisa criar a função vinculada ao serviço.


{
  "Effect": "Allow",
  "Action": [
    "iam:CreateServiceLinkedRole"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Como alternativa, adicione as políticas gerenciadas pela AWS AWSCloud9User ou AWSCloud9Administrator à entidade do IAM.

Para permitir que uma entidade do IAM exclua a função AWSService RoleFor AWSCloud9 vinculada ao serviço, adicione a declaração a seguir à política de permissões da entidade do IAM que precisa excluir uma função vinculada ao serviço.


{
  "Effect": "Allow",
  "Action": [
    "iam:DeleteServiceLinkedRole",
    "iam:GetServiceLinkedRoleDeletionStatus"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "iam:AWSServiceName": "cloud9.amazonaws.com"
    }
  }
}

Criação de uma função vinculada ao serviço para AWS Cloud9

Não é necessário criar uma função vinculada ao serviço. Quando você cria um ambiente de AWS Cloud9 desenvolvimento, AWS Cloud9 cria a função vinculada ao serviço para você.

Editando uma função vinculada ao serviço para AWS Cloud9

Você não pode editar a função AWSService RoleFor AWSCloud9 vinculada ao serviço em. AWS Cloud9 Por exemplo, depois de criar uma função vinculada a serviço, não é possível alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para AWS Cloud9

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Excluir uma função vinculada ao serviço no IAM

Antes que você possa usar o IAM para excluir uma função vinculada ao serviço, é necessário remover todos os recursos do AWS Cloud9 usados pela função. Para remover AWS Cloud9 recursos, consulte Excluindo um ambiente.

Você pode usar o console do IAM para excluir a função AWSService RoleFor AWSCloud9 vinculada ao serviço. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a AWS Cloud9 serviços

AWS Cloud9 suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para ter mais informações, consulte AWS Cloud9 no Referência geral da Amazon Web Services.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conteúdo da AMI

Registro de chamadas de API do CloudTrail com