AWS Cloud9 不再提供給新客戶。 AWS Cloud9 的現有客戶可以繼續正常使用該服務。[進一步了解](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Cloud9
若要開始使用 AWS Cloud9,請根據您計劃使用的方式,遵循下列其中一組程序 AWS Cloud9。
****
| **使用模式** | **遵循下列程序** |
| --- | --- |
| 我是唯一使用 AWS 帳戶**的人**,而且我*不是*學生。 | [個別使用者設定](setup-express.md) |
| 我屬於一個**團隊**,在單一 AWS 帳戶中有多個使用者。 | [小組設定](setup.md) |
| 我屬於在單一組織中擁有一或多個 AWS 帳戶**的企業**。 | [企業設定](setup-enterprise.md) |
如需 的一般資訊 AWS Cloud9,請參閱[什麼是 AWS Cloud9?](welcome.md)。
**Topics**
+ [個別使用者設定](setup-express.md)
+ [小組設定](setup.md)
+ [企業設定](setup-enterprise.md)
+ [其他設定選項 (小組和企業)](setup-teams.md)
# 的個別使用者設定 AWS Cloud9
本主題說明如何在您不是學生時,在 AWS 帳戶 中設定和使用 AWS Cloud9 做為唯一的使用者。您可以 AWS Cloud9 設定任何其他用量模式。如需詳細資訊,請參閱[設定 AWS Cloud9](setting-up.md)。
若要使用 AWS Cloud9 做為 中的唯一使用者 AWS 帳戶, AWS 帳戶 如果您還沒有 ,請註冊 。接著,登入 AWS Cloud9 主控台。
**Topics**
+ [先決條件](#setup-prerequisites)
+ [其他驗證方式](#setup-express-sign-in-ide)
+ [後續步驟](#setup-express-next-steps)
## 先決條件
### 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
### 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 其他驗證方式
**警告**
為避免安全風險,在開發專用軟體或使用真實資料時,請勿使用 IAM 使用者進行身分驗證。相反地,搭配使用聯合功能和身分提供者,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### 管理跨 的存取 AWS 帳戶
作為安全最佳實務,我們建議您使用 AWS Organizations 搭配 IAM Identity Center 來管理所有 的存取 AWS 帳戶。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 中的安全性最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
您可以在 IAM Identity Center 中建立使用者、使用 Microsoft Active Directory、使用 SAML 2.0 身分提供者 (IdP),或個別聯合您的 IdP AWS 帳戶。使用這些方法之一,您可以為使用者提供單一登入體驗。您也可以強制執行多重要素驗證 (MFA),並使用臨時登入資料進行 AWS 帳戶 存取。這與 IAM 使用者不同,IAM 使用者是可共用的長期憑證,可能會增加 AWS 資源的安全風險。
### 僅為沙盒環境建立 IAM 使用者
如果您是初次使用 AWS,您可以建立測試 IAM 使用者,然後使用它來執行教學課程,並探索 AWS 提供的內容。您可以在學習時使用此類型的登入資料,但我們建議您避免在沙盒環境之外使用。
對於下列使用案例,在 中開始使用 IAM 使用者可能很合理 AWS:
+ 開始使用 AWS SDK 或工具,並在沙盒 AWS 服務 環境中探索 。
+ 在學習過程中,執行不支援人工登入程序的排程指令碼、任務和其他自動化程序。
如果您在這些使用案例之外使用 IAM 使用者,請 AWS 帳戶 盡快轉換至 IAM Identity Center 或聯合身分提供者至 。如需詳細資訊,請參閱 [中的聯合身分 AWS](https://aws.amazon.com/identity/federation/)。
### 安全 IAM 使用者存取金鑰
您應該定期輪換 IAM 使用者存取金鑰。請遵循《*IAM 使用者指南*》中的[輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)的指引。如果您認為自己不小心共用了 IAM 使用者存取金鑰,請輪換存取金鑰。
IAM 使用者存取金鑰應存放在本機電腦上的共用 AWS `credentials`檔案中。請勿將 IAM 使用者存取金鑰存放在程式碼中。請勿在任何原始碼管理軟體中包含包含 IAM 使用者存取金鑰的組態檔案。開放原始碼專案 [git-secrets](https://github.com/awslabs/git-secrets) 等外部工具可協助您避免不小心將敏感資訊遞交至 Git 儲存庫。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 身分 (使用者、使用者群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
## 後續步驟
****
| **學習任務** | **主題** |
| --- | --- |
| 了解如何使用 AWS Cloud9 IDE。 | [入門 : 基本教學課程](tutorials-basic.md) 和 [使用 IDE](ide.md) |
****
| **更進階的任務** | **主題** |
| --- | --- |
| 建立 AWS Cloud9 開發環境,然後使用 AWS Cloud9 IDE 在新環境中使用程式碼。 | [建立環境](create-environment.md) |
| 邀請其他人與您即時透過文字聊天支援功能一起使用您的新環境。 | [使用共享環境](share-environment.md) |
# 設定 的 團隊 AWS Cloud9
本主題說明如何使用 [AWS IAM Identity Center](https://aws.amazon.com/iam/) 在單一 內啟用多個 AWS 帳戶 要使用的使用者 AWS Cloud9。若要設定 以 AWS Cloud9 用於任何其他用量模式,請參閱 [設定 AWS Cloud9](setting-up.md)以取得正確的指示。
這些指示假設您具有或將有單一 AWS 帳戶的管理存取權。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS 帳戶 根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)和[建立您的第一個管理員和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。如果您已有 , AWS 帳戶 但沒有帳戶的管理存取權,請洽詢您的 AWS 帳戶 管理員。
**警告**
為避免安全風險,在開發專用軟體或使用真實資料時,請勿使用 IAM 使用者進行身分驗證。相反地,搭配使用聯合功能和身分提供者,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**注意**
您可以使用 [IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 而非 IAM,讓單一 中的多個使用者 AWS 帳戶 能夠使用 AWS Cloud9。在此使用模式中,單一 AWS 帳戶 做為 中組織的管理帳戶 AWS Organizations。此外,該組織沒有成員帳戶。若要使用 IAM Identity Center,請跳過這個主題,改按照[企業設定](setup-enterprise.md)中的指示操作。如需相關資訊,請參閱下列資源:
*AWS Organizations 使用者指南*中的[什麼是 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) (IAM Identity Center 需要使用 AWS Organizations)
*《AWS IAM Identity Center 使用者指南》*中的[什麼是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
YouTube 上的 4 分鐘影片 [AWS 知識中心影片:如何開始使用 AWS Organizations](https://www.youtube.com/watch?v=8VKMrkKXu2w)
7 分鐘影片 在 YouTube [上使用 IAM Identity Center 管理使用者對多個 AWS 帳戶的存取](https://www.youtube.com/watch?v=bXrsUEI1V38)
YouTube 上的 9 分鐘影片:[如何為內部部署 Active Directory 使用者設定 IAM Identity Center](https://www.youtube.com/watch?v=nuPjljOVZmU)
若要讓單一 中的多個使用者 AWS 帳戶 開始使用 AWS Cloud9,請針對您擁有 AWS 的資源啟動 步驟。
****
| **您有 AWS 帳戶嗎?** | **您在該帳戶中是否至少有一個 IAM 群組和使用者?** | **由此步驟開始** |
| --- | --- | --- |
| 否 | — | 步驟 1:註冊 AWS 帳戶 |
| 是 | 否 | [步驟 2:建立 IAM 群組和使用者並將使用者新增至群組](#setup-create-iam-resources) |
| 是 | 是 | [步驟 3:將 AWS Cloud9 存取許可新增至群組](#setup-give-user-access) |
**Topics**
+ [先決條件](#setup-prerequisites)
+ [步驟 1:建立 IAM 群組和使用者,並將使用者新增至群組](#setup-create-iam-resources)
+ [步驟 2:將 AWS Cloud9 存取許可新增至群組](#setup-give-user-access)
+ [步驟 3:登入 AWS Cloud9 主控台](#setup-sign-in-ide)
+ [後續步驟](#setup-next-steps)
## 先決條件
### 註冊 AWS 帳戶
如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。
**註冊 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電或簡訊,並在電話鍵盤輸入驗證碼。
當您註冊 時 AWS 帳戶,*AWS 帳戶根使用者*會建立 。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。作為安全最佳實務,請將管理存取權指派給使用者,並且僅使用根使用者來執行[需要根使用者存取權的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
AWS 會在註冊程序完成後傳送確認電子郵件給您。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇**我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
### 建立具有管理存取權的使用者
註冊 後 AWS 帳戶,請保護 AWS 帳戶根使用者、啟用 AWS IAM Identity Center和建立管理使用者,以免將根使用者用於日常任務。
**保護您的 AWS 帳戶根使用者**
1. 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者[AWS 管理主控台](https://console.aws.amazon.com/)身分登入 。在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需說明,請參閱《*IAM 使用者指南*》中的[為您的 AWS 帳戶 根使用者 (主控台) 啟用虛擬 MFA 裝置](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理存取權的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM Identity Center 中,將管理存取權授予使用者。
如需使用 IAM Identity Center 目錄 做為身分來源的教學課程,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[使用預設值設定使用者存取 IAM Identity Center 目錄](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)。
**以具有管理存取權的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM Identity Center 使用者登入的說明,請參閱*AWS 登入 《 使用者指南*》中的[登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM Identity Center 中,建立一個許可集來遵循套用最低權限的最佳實務。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[建立許可集](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)。
1. 將使用者指派至群組,然後對該群組指派單一登入存取權。
如需指示,請參閱《AWS IAM Identity Center 使用者指南》**中的[新增群組](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)。
## 步驟 1:建立 IAM 群組和使用者,並將使用者新增至群組
在此步驟中,您會在 AWS Identity and Access Management (IAM) 中建立群組和使用者,將使用者新增至群組,然後使用使用者進行存取 AWS Cloud9。這是 AWS 安全最佳實務。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
如果您已擁有所需的所有 IAM 群組和使用者,請跳到[步驟 3:將 AWS Cloud9 存取許可新增至群組](#setup-give-user-access)。
**注意**
您的組織可能已為您設定了 IAM 群組和使用者。如果您的組織有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。
您可以使用 [AWS 管理主控台](#setup-create-iam-resources-group-console) 或 [AWS 命令列界面 (AWS CLI)](#setup-create-iam-resources-group-cli) 完成這些任務。
若要觀看與下列主控台程序相關的 9 分鐘影片,請參閱[如何在 YouTube 上使用 AWS 管理主控台 IAM 登入資料來設定 IAM 使用者和登入](https://www.youtube.com/watch?v=XMi5fXL2Hes) 。 YouTube
### 步驟 1.1:使用主控台建立 IAM 群組
1. 如果您尚未登入 AWS 管理主控台,請登入 https://[https://console.aws.amazon.com/codecommit](https://console.aws.amazon.com/codecommit)。
**注意**
您可以使用 AWS 帳戶 建立 時提供 AWS 管理主控台 的電子郵件地址和密碼登入 。這稱為以*根使用者*身分登入。不過,這不是 AWS 安全最佳實務。未來,我們建議您使用 AWS 帳戶中管理員使用者的登入資料登入。管理員使用者具有與 AWS 帳戶 根使用者類似的 AWS 存取許可,可避免某些相關的安全風險。如果您無法以管理員使用者身分登入,請洽詢您的 AWS 帳戶 管理員。如需詳細資訊,請參閱《IAM 使用者指南》**中的[建立您的第一個 IAM 使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。
1. 開啟 IAM 主控台。若要這樣做,請在 AWS 導覽列中選擇**服務**。然後選擇 **IAM**。
1. 從 IAM 主控台的導覽窗格中選擇 **Groups** (群組)。
1. 選擇 **Create New Group** (建立新群組)。
1. 在 **Set Group Name (設定群組名稱)** 頁面的 **Group Name (群組名稱)** 中,輸入新群組的名稱。
1. 選擇 **Next Step (後續步驟)**。
1. 在 **Attach Policy (附加政策)** 頁面上選擇 **Next Step (下一個步驟)**,無須附加任何政策 您將在[步驟 3:將 AWS Cloud9 存取許可新增至群組](#setup-give-user-access)中連接政策。
1. 選擇 **Create Group (建立群組)**。
**注意**
我們建議您重複此程序來建立至少兩個群組:一個群組用於 AWS Cloud9 使用者,另一個群組用於 AWS Cloud9 管理員。此 AWS 安全最佳實務可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
跳至[步驟 2.2:使用主控台建立 IAM 使用者並將使用者新增至群組](#setup-create-iam-resources-user-console)。
### 步驟 1.2:使用 建立 IAM 群組 AWS CLI
**注意**
如果您使用的是[AWS 受管臨時憑證](security-iam.md#auth-and-access-control-temporary-managed-credentials),則無法使用 IDE AWS Cloud9 中的終端機工作階段來執行本節中的部分或全部命令。為了解決 AWS 安全最佳實務, AWS 受管臨時登入資料不允許執行某些命令。反之,您可以從個別安裝的 AWS Command Line Interface () 執行這些命令AWS CLI。
1. 如果您尚未在 AWS CLI 電腦上安裝和設定 。若要執行此作業,請參閱以下 *AWS Command Line Interface 使用者指南*中的說明:
+ [安裝 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [快速組態](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)
**注意**
您可以使用與 AWS 帳戶 建立 時提供的電子郵件地址和密碼相關聯的 AWS CLI 登入資料來設定 。這稱為以*根使用者*身分登入。不過,這不是 AWS 安全最佳實務。反之,我們建議您 AWS CLI 使用帳戶中 IAM 管理員使用者的登入資料來 AWS 設定 。IAM 管理員使用者具有與 AWS 帳戶 根使用者類似的 AWS 存取許可,可避免某些相關的安全風險。如果您無法 AWS CLI 將 設定為 IAM 管理員使用者,請洽詢您的 AWS 帳戶 管理員。如需詳細資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)中的*建立您的第一個 IAM 管理員使用者和群組*。
1. 執行 IAM `create-group` 命令,指定新群組的名稱 (例如 `MyCloud9Group`)。
```
aws iam create-group --group-name MyCloud9Group
```
**注意**
我們建議您重複此程序來建立至少兩個群組:一個群組用於 AWS Cloud9 使用者,另一個群組用於 AWS Cloud9 管理員。此 AWS 安全最佳實務可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
跳到[步驟 2.2:建立 IAM 使用者,然後使用 AWS CLI 將使用者新增至群組。](#setup-create-iam-resources-user-cli)
### 步驟 1.3:建立 IAM 使用者,並使用主控台將使用者新增至群組
1. 在之前的程序開啟的 IAM 主控台中,從導覽窗格中選擇 **Users** (使用者)。
1. 選擇**新增使用者**。
1. 對於 **User name (使用者名稱)**,輸入新使用者的名稱。
**注意**
選擇 **Add another user** (新增另一個使用者) 可同時建立多名使用者。本程序進行的其他設定會套用到當中的每一名新使用者。
1. 選取 **Programmatic access** (程式設計存取權) 和 **AWS 管理主控台 access** (主控台存取權) 核取方塊。這可讓新使用者使用各種 AWS 開發人員工具和服務主控台。
1. 保留預設選擇 **Autogenerated password (自動產生的密碼)**。這會建立隨機密碼讓新的使用者登入主控台。或者,選擇 **Custom password** (自訂密碼),並為新使用者輸入特定密碼。
1. 保留預設選擇 **Require password reset (需要密碼重設)**。這會在新使用者第一次登入主控台之後提示他們變更密碼。
1. 選擇**下一步:許可**。
1. 保留預設選項 **Add user to group** (新增使用者至群組),如有多名使用者則為 **Add users to group** (新增各使用者至群組)。
1. 在群組清單中,選取您要新增使用者的該群組旁的核取方塊 (而非名稱)。
1. 選擇 **Next:Review (下一步:檢閱)**。
1. 選擇 **Create user** (建立使用者)。或者,若有多個使用者,選擇 **Create users** (建立使用者)。
1. 在精靈的最後一頁,執行下列其中一項:
+ 在每一個新使用者旁,選擇 **Send email (傳送電子郵件)**,並依照螢幕上的指示,透過電子郵件將主控台登入 URL 和使用者名稱傳送給新使用者。然後,分別與每個新使用者通訊其主控台登入密碼、 AWS 存取金鑰 ID 和 AWS 私密存取金鑰。
+ 選擇 **Download .csv** (下載 .csv)。然後,與每個新使用者通訊其主控台登入 URL、主控台登入密碼、 AWS 存取金鑰 ID 和下載檔案中的 AWS 私密存取金鑰。
+ 選擇每一名新使用者旁的 **Show** (顯示) 以查看 **Secret access key** (私密存取金鑰) 及 **Password** (密碼) 資訊。然後,與每個新使用者通訊其主控台登入 URL、主控台登入密碼、 AWS 存取金鑰 ID 和 AWS 私密存取金鑰。
**注意**
如果您未選擇**下載 .csv**,這是唯一您可以檢視新使用者 AWS 私密存取金鑰和主控台登入密碼的時間。若要為新使用者產生新的 AWS 私密存取金鑰或主控台登入密碼,請參閱《*IAM 使用者指南*》中的以下內容。
[建立、修改和檢視存取金鑰 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)
[建立、變更或刪除 IAM 使用者密碼 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)
1. 為您要建立的每個其他每個 IAM 使用者重複操作這個程序,然後跳到[步驟 3:為群組新增 AWS Cloud9 存取許可](#setup-give-user-access)。
### 步驟 1.4:建立 IAM 使用者,並使用 將使用者新增至群組 AWS CLI
**注意**
如果您使用的是[AWS 受管臨時憑證](security-iam.md#auth-and-access-control-temporary-managed-credentials),則無法使用 IDE AWS Cloud9 中的終端機工作階段來執行本節中的部分或全部命令。為了解決 AWS 安全最佳實務, AWS 受管臨時登入資料不允許執行某些命令。反之,您可以從個別安裝的 AWS Command Line Interface () 執行這些命令AWS CLI。
1. 執行 IAM `create-user` 命令,指定新使用者的名稱 (例如 `MyCloud9User`) 以建立使用者。
```
aws iam create-user --user-name MyCloud9User
```
1. 執行 IAM `create-login-profile` 命令,指定使用者的名稱及初始登入密碼 (例如 `MyC10ud9Us3r!`),為使用者建立新的主控台登入密碼。使用者登入後, AWS 將要求使用者變更其登入密碼。
```
aws iam create-login-profile --user-name MyCloud9User --password MyC10ud9Us3r! --password-reset-required
```
若之後需要為使用者產生替代的主控台登入密碼,請參閱 *IAM 使用者指南*中的[建立、變更或刪除 IAM 使用者密碼 (API、CLI、PowerShell)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#Using_ManagingPasswordsCLIAPI)。
1. 執行 IAM `create-access-key`命令,為使用者建立新的 AWS 存取金鑰和對應的 AWS 私密存取金鑰。
```
aws iam create-access-key --user-name MyCloud9User
```
記下畫面上顯示的 `AccessKeyId` 和 `SecretAccessKey` 值。執行 IAM `create-access-key`命令後,這是您唯一可以檢視使用者 AWS 私密存取金鑰的時間。如果您需要稍後為使用者產生新的 AWS 私密存取金鑰,請參閱《*IAM 使用者指南*》中的[建立、修改和檢視存取金鑰 (API、CLI、PowerShell)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey_CLIAPI)。
1. 執行 IAM `add-user-to-group` 命令,指定群組的名稱與使用者的名稱,將使用者新增至群組。
```
aws iam add-user-to-group --group-name MyCloud9Group --user-name MyCloud9User
```
1. 向使用者傳達其主控台登入 URL、初始主控台登入密碼、 AWS 存取金鑰 ID 和 AWS 私密存取金鑰。
1. 為您要建立的其他每個 IAM 使用者重複操作這個程序。
## 步驟 2:將 AWS Cloud9 存取許可新增至群組
根據預設,大多數 IAM 群組和使用者都無法存取任何 AWS 服務,包括 AWS Cloud9(IAM 管理員群組和 IAM 管理員使用者除外,這些使用者 AWS 帳戶 在預設情況下可以存取 AWS 服務 中的所有 )。在此步驟中,您會使用 IAM 將 AWS Cloud9 存取許可直接新增至一或多個使用者所屬的 IAM 群組。如此,您就可以確保這些使用者可以存取 AWS Cloud9。
**注意**
您的組織可能已為您設定了具備適當存取許可的群組。如果您的組織有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。
您可以使用 [AWS 管理主控台](#setup-give-user-access-console) 主控台或 [AWS CLI](#setup-give-user-access-cli) 執行這項任務。
### 步驟 2.1:使用主控台將 AWS Cloud9 存取許可新增至群組
1. 如果您尚未登入 AWS 管理主控台,請登入 https://[https://console.aws.amazon.com/codecommit](https://console.aws.amazon.com/)。
**注意**
您可以使用 AWS 帳戶 建立 時提供 AWS 管理主控台 的電子郵件地址和密碼登入 。這稱為以*根使用者*身分登入。不過,這不是 AWS 安全最佳實務。日後,建議您使用 AWS 帳戶中 IAM 管理員使用者的憑證來登入。管理員使用者具有與 AWS 帳戶 根使用者類似的 AWS 存取許可,可避免某些相關的安全風險。如果您無法以管理員使用者身分登入,請洽詢您的 AWS 帳戶 管理員。如需詳細資訊,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)中的*建立您的第一個 IAM 管理員使用者和群組*。
1. 開啟 IAM 主控台。若要這樣做,請在 AWS 導覽列中選擇**服務**。然後,選擇 **IAM**。
1. 選擇 **Groups (群組)**。
1. 選擇群組的名稱。
1. 決定是否要將 AWS Cloud9 使用者或 AWS Cloud9 管理員存取許可新增至群組。這些許可會套用到群組中的每個使用者。
AWS Cloud9 使用者存取許可允許群組中的每個使用者在其內執行下列動作 AWS 帳戶:
+ 建立自己的 AWS Cloud9 開發環境。
+ 取得自己環境的相關資訊。
+ 變更自有環境的設定。
AWS Cloud9 管理員存取許可允許群組中的每個使用者在其內執行其他動作 AWS 帳戶:
+ 為自己或其他人建立環境。
+ 取得自己或其他人的環境相關資訊。
+ 刪除自己或其他人的環境。
+ 變更自己或其他人的環境設定。
**注意**
建議您僅新增限定人數的使用者至 AWS Cloud9 管理員群組。此 AWS 安全最佳實務可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
1. 在 **Permissions** (許可) 標籤上,針對 **Managed Policies** (受管政策),選擇 **Attach Policy** (連接政策)。
1. 在政策名稱清單中,針對 AWS Cloud9 使用者存取許可選擇 **AWSCloud9User** 旁的方塊,或針對 AWS Cloud9 管理員存取許可選擇 **AWSCloud9Administrator**。如果您在清單中未看到上述任一政策名稱,請在 **Filter (篩選條件)** 方塊中輸入政策名稱來顯示它。
1. 選擇 **Attach Policy (連接政策)**。
**注意**
如果您有多個要新增 AWS Cloud9 存取許可的群組,請針對每個群組重複此程序。
若要查看這些 AWS 受管政策提供給群組的存取許可清單,請參閱[AWS 受管 (預先定義) 政策](security-iam.md#auth-and-access-control-managed-policies)。
若要了解除了 所需的 AWS 存取許可之外,您還可以新增至群組的存取許可 AWS Cloud9,請參閱《*IAM 使用者指南*》中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)以及[了解政策授予的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)。
跳至[步驟 4:登入 AWS Cloud9 主控台](#setup-sign-in-ide)。
### 步驟 2.2:使用 將 AWS Cloud9 存取許可新增至群組 AWS CLI
**注意**
如果您使用的是[AWS 受管臨時憑證](security-iam.md#auth-and-access-control-temporary-managed-credentials),則無法使用 IDE AWS Cloud9 中的終端機工作階段來執行本節中的部分或全部命令。為了解決 AWS 安全最佳實務, AWS 受管臨時登入資料不允許執行某些命令。反之,您可以從個別安裝的 AWS Command Line Interface () 執行這些命令AWS CLI。
1. 如果您尚未在 AWS CLI 電腦上安裝和設定 。若要執行此作業,請參閱以下 *AWS Command Line Interface 使用者指南*中的說明:
+ [安裝 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [快速組態](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration)
**注意**
您可以使用與 AWS 帳戶 建立 時提供的電子郵件地址和密碼相關聯的 AWS CLI 登入資料來設定 。這稱為以*根使用者*身分登入。不過,這不是 AWS 安全最佳實務。反之,建議您 AWS CLI 在 中使用 IAM 管理員使用者的登入資料來設定 AWS 帳戶。IAM 管理員使用者具有與 AWS 帳戶 根使用者類似的 AWS 存取許可,可避免某些相關的安全風險。如果您無法 AWS CLI 將 設定為管理員使用者,請洽詢您的 AWS 帳戶 管理員。如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立您的第一個 IAM 管理員使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin)。
1. 決定要將 AWS Cloud9 使用者或 AWS Cloud9 管理員存取許可新增至群組。這些許可會套用到群組中的每個使用者。
AWS Cloud9 使用者存取許可允許群組中的每個使用者在其內執行下列動作 AWS 帳戶:
+ 建立自己的 AWS Cloud9 開發環境。
+ 取得自己環境的相關資訊。
+ 變更自有環境的設定。
AWS Cloud9 管理員存取許可允許群組中的每個使用者在其內執行其他動作 AWS 帳戶:
+ 為自己或其他人建立環境。
+ 取得自己或其他人的環境相關資訊。
+ 刪除自己或其他人的環境。
+ 變更自己或其他人的環境設定。
**注意**
建議您僅新增限定人數的使用者至 AWS Cloud9 管理員群組。此 AWS 安全最佳實務可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
1. 執行 IAM `attach-group-policy`命令,為要新增的 AWS Cloud9 存取許可政策指定群組名稱和 Amazon Resource Name (ARN)。
針對 AWS Cloud9 使用者存取許可,指定下列 ARN。
```
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9User
```
針對 AWS Cloud9 管理員存取許可,指定下列 ARN。
```
aws iam attach-group-policy --group-name MyCloud9Group --policy-arn arn:aws:iam::aws:policy/AWSCloud9Administrator
```
**注意**
如果您有多個要新增 AWS Cloud9 存取許可的群組,請針對每個群組重複此程序。
若要查看這些 AWS 受管政策提供給群組的存取許可清單,請參閱[AWS 受管 (預先定義) 政策](security-iam.md#auth-and-access-control-managed-policies)。
若要了解除了 所需的 AWS 存取許可之外,您還可以新增至群組的存取許可 AWS Cloud9,請參閱《*IAM 使用者指南*》中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)以及[了解政策授予的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)。
## 步驟 3:登入 AWS Cloud9 主控台
完成本主題的先前步驟後,您和您的使用者即可登入 AWS Cloud9 主控台。
1. 如果您已以 AWS 帳戶 根使用者 AWS 管理主控台 身分登入 ,請登出 主控台。
1. 開啟 AWS Cloud9 主控台,網址為 https://[https://console.aws.amazon.com/cloud9/](https://console.aws.amazon.com/cloud9/)。
1. 輸入您先前建立或識別的 IAM 使用者的 AWS 帳戶 號碼,然後選擇**下一步**。
**注意**
如果您沒有看到輸入 AWS 帳戶號碼的選項,請選擇**登入不同的帳戶**。在下一頁輸入 AWS 帳戶 號碼,然後選擇 **Next** (下一步)。
1. 輸入您先前所建立或識別之 IAM 使用者的登入憑證,然後選擇 **Sign In** (登入)。
1. 出現提示時,依照螢幕上的指示變更您的使用者初始登入密碼。將新的登入密碼存放到安全的位置。
AWS Cloud9 主控台隨即顯示,您可以開始使用 AWS Cloud9。
## 後續步驟
****
| **任務** | **參閱此主題** |
| --- | --- |
| 限制您 中其他人的 AWS Cloud9 用量 AWS 帳戶,以控制成本。 | [其他設定選項](setup-teams.md) |
| 建立 AWS Cloud9 開發環境,然後使用 AWS Cloud9 IDE 在新環境中使用程式碼。 | [建立環境](create-environment.md) |
| 了解如何使用 AWS Cloud9 IDE。 | [入門 : 基本教學課程](tutorials-basic.md)、 和 [使用 IDE](ide.md) |
| 邀請其他人與您即時透過文字聊天支援功能一起使用您的新環境。 | [使用共用環境](share-environment.md) |
# 的企業設定 AWS Cloud9
本主題說明如何使用 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 來啟用企業 AWS Cloud9 內的一或多個 AWS 帳戶 。若要設定 以 AWS Cloud9 用於任何其他用量模式,請參閱 [設定 AWS Cloud9](setting-up.md)以取得正確的指示。
**警告**
為避免安全風險,在開發專用軟體或使用真實資料時,請勿使用 IAM 使用者進行身分驗證。相反地,搭配使用聯合功能和身分提供者,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
這些指示假設您在 AWS Organizations中具有或將具有組織的管理存取權。如果您尚未擁有 中組織的管理存取權 AWS Organizations,請洽詢您的 AWS 帳戶 管理員。如需詳細資訊,請參閱下列資源:
+ 《 [AWS Organizations 使用者指南》中的管理 Organization 的存取許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_permissions_overview.html) (IAM Identity Center 需要使用 AWS Organizations) *AWS *
+ *AWS IAM Identity Center 使用者指南*中的[管理 IAM Identity Center 資源存取許可概觀](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)
+ [使用 ](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)AWS Control Tower是一項服務,您可以用來設定和管理 AWS 多帳戶環境。 與其他 的功能 AWS Control Tower 互動 AWS Organizations, AWS 服務包括在一小時內 AWS Service Catalog AWS IAM Identity Center建置登陸區域。
如需本主題相關的簡介資訊,請參閱下列資源:
+ *AWS Organizations 使用者指南*中的[什麼是 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) (IAM Identity Center 需要使用 AWS Organizations)
+ *《AWS IAM Identity Center 使用者指南》*中的[什麼是 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [AWS Control Tower 使用者指南中的 Control Tower 入門](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) *AWS *
+ 4 分鐘影片[AWS 知識中心影片:如何在 YouTube 上開始使用 AWS Organizations](https://www.youtube.com/watch?v=mScBPL8VV48) YouTube
+ 7 分鐘影片 在 YouTube [上使用 管理使用者對多個 AWS 帳戶的存取 AWS IAM Identity Center](https://www.youtube.com/watch?v=bXrsUEI1V38)
+ 9 分鐘影片 [如何在 YouTube 上為您的內部部署 Active Directory 使用者設定 AWS 單一登入](https://www.youtube.com/watch?v=nuPjljOVZmU) YouTube
以下概念圖顯示您最後得到的結果。
![\[設定要使用之企業的概念圖 AWS Cloud9\]](http://docs.aws.amazon.com/zh_tw/cloud9/latest/user-guide/images/enterprise_update.png)
若要讓一或多個 AWS 帳戶 在企業 AWS Cloud9 內開始使用 ,請依照您已擁有 AWS 的資源執行步驟。
****
| **您是否擁有 AWS 帳戶 可以或確實做為組織管理帳戶的 AWS Organizations?** | **您在 中是否有 AWS Organizations 該管理帳戶的組織?** | **是該組織所有想要 AWS 帳戶 的成員嗎?** | **該組織是否設定為使用 IAM Identity Center?** | **該組織是否已設定所有想要使用 AWS Cloud9的必要群組和使用者?** | **由此步驟開始** |
| --- | --- | --- | --- | --- | --- |
| 否 | — | — | — | — | [步驟 1:建立組織的管理帳戶](#setup-enterprise-create-account) |
| 是 | 否 | — | — | — | [步驟 2:為管理帳戶建立組織](#setup-enterprise-create-organization) |
| 是 | 是 | 否 | — | — | [步驟 3:將成員帳戶新增至組織](#setup-enterprise-add-to-organization) |
| 是 | 是 | 是 | 否 | — | [步驟 4:在整個組織啟用 IAM Identity Center](#setup-enterprise-set-up-sso) |
| 是 | 是 | 是 | 是 | 否 | [步驟 5. 在組織內設定群組和使用者](#setup-enterprise-set-up-groups-users) |
| 是 | 是 | 是 | 是 | 是 | [步驟 6:讓組織內的群組和使用者能夠使用 AWS Cloud9](#setup-enterprise-groups-users-access) |
## 步驟 1:建立組織的管理帳戶
**注意**
您的企業可能已為您設定管理帳戶。如果您的企業有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。如果您已經有管理帳戶,請跳到[步驟 2:為管理帳戶建立組織](#setup-enterprise-create-organization)。
若要使用 AWS IAM Identity Center (IAM Identity Center),您必須擁有 AWS 帳戶。您的 AWS 帳戶 做為 中組織的管理帳戶 AWS Organizations。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中 [AWS Organizations 詞彙與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)的*管理帳戶*相關討論。
若要觀看與以下程序相關的 4 分鐘示範影片,請參閱 YouTube 上的[建立 Amazon Web Services 帳戶](https://www.youtube.com/watch?v=WviHsoz8yHk)。
如何建立管理帳戶:
1. 前往 https://[https://aws.amazon.com/](https://aws.amazon.com/)。
1. 選擇 **Sign In to the Console (登入主控台)**。
1. 選擇 **Create a new** (建立新的)AWS 帳戶。
1. 依照螢幕上的指示完成整個流程,步驟包括向 AWS 提供您的電子郵件地址和信用卡資訊。您還必須使用手機輸入 AWS 為您提供的代碼。
建立帳戶完成後, AWS 會傳送確認電子郵件給您。未收到該項確認前切勿前往下一個步驟。
## 步驟 2:為管理帳戶建立組織
**注意**
您的企業可能已 AWS Organizations 設定 來使用 管理帳戶。如果您的企業有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。如果您已 AWS Organizations 設定 使用管理帳戶,請跳到[步驟 3:將成員帳戶新增至組織](#setup-enterprise-add-to-organization)。
若要使用 IAM Identity Center,您必須在 中使用 AWS Organizations 管理帳戶的組織。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中 [AWS Organizations 詞彙與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)的*組織*相關討論。
若要在 中 AWS Organizations 為 管理建立組織 AWS 帳戶,請遵循*AWS Organizations 《 使用者指南*》中的下列指示:
1. [建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_create.html)
1. [啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)
若要觀看與這些程序相關的 4 分鐘影片,請參閱 [AWS 知識中心影片:如何在 YouTube 上開始使用 AWS Organizations](https://www.youtube.com/watch?v=mScBPL8VV48)。 YouTube
## 步驟 3:將成員帳戶新增至組織
**注意**
您的企業可能已經使用所需的成員帳戶 AWS Organizations 設定 。如果您的企業有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。如果您已使用所需的成員帳戶 AWS Organizations 設定 ,請跳到[步驟 4:在整個組織中啟用 IAM Identity Center](#setup-enterprise-set-up-sso)。
在此步驟中,您會新增 AWS 帳戶 任何 做為組織的成員帳戶 AWS Organizations。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中 [AWS Organizations 詞彙與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)的*成員帳戶*相關討論。
**注意**
您不需要將任何成員帳戶新增至組織。您在組織中只需要單一管理帳戶就可以使用 IAM Identity Center。之後,需要的話,您可以將成員帳戶新增至組織。如果您現在不想新增任何成員帳戶,請跳到[步驟 4:在整個組織啟用 IAM Identity Center。](#setup-enterprise-set-up-sso)
若要在 中將成員帳戶新增至組織 AWS Organizations,請遵循*AWS Organizations 《 使用者指南*》中的下列其中一組或兩組指示。視需要重複這些指示,直到您擁有所有您想要做為組織成員的 AWS 帳戶 為止:
+ [AWS 帳戶 在組織中建立](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html)
+ [邀請 AWS 帳戶 加入您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)
## 步驟 4:在整個組織啟用 IAM Identity Center
**注意**
您的企業可能已 AWS Organizations 設定使用 IAM Identity Center。如果您的企業有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。如果您已 AWS Organizations 設定 使用 IAM Identity Center,請跳到[步驟 5。在組織內設定群組和使用者](#setup-enterprise-set-up-groups-users)。
在此步驟中,您會讓 中的組織 AWS Organizations 使用 IAM Identity Center。若要執行此作業,請遵循 *AWS IAM Identity Center 使用者指南*中的這些說明:
1. [IAM Identity Center 先決條件](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-prereqs-considerations.html)
1. [啟用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)
## 步驟 5. 在組織內設定群組和使用者
**注意**
您的企業可能已經使用 IAM Identity Center 目錄或 AWS Managed Microsoft AD 中管理的 AD Connector 目錄的群組和使用者 AWS Organizations 進行設定 AWS Directory Service。如果您的企業有 AWS 帳戶 管理員,請先與該人員確認,再開始下列程序。如果您已使用來自 IAM Identity Center 目錄或 的群組和使用者進行 AWS Organizations 設定 AWS Directory Service,請跳到[步驟 6。讓組織內的群組和使用者使用 AWS Cloud9](#setup-enterprise-groups-users-access)。
在此步驟中,您會在 IAM Identity Center 目錄中為組織建立群組和使用者。或者,您可以連線至 中 AWS Directory Service 為組織管理的 AWS Managed Microsoft AD 或 AD Connector 目錄。在後續步驟中,您將提供必要的存取許可給群組來使用 AWS Cloud9。
+ 如果您為組織使用 IAM Identity Center 目錄,請依照 *AWS IAM Identity Center 使用者指南*中的指示進行。視需要不斷重複以下步驟,直到有您想要的所有群組和使用者為止:
1. [新增群組](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)。建議您針對整個組織的任何 AWS Cloud9 管理員建立至少一個群組。然後,重複此步驟,為整個組織的 AWS Cloud9 所有使用者建立另一個群組。或者,您也可以重複此步驟,為想要與之共用現有 AWS Cloud9 開發環境的組織中所有使用者建立第三個群組。但是,不允許他們自行建立環境。為了簡單使用,我們建議將這些群組分別命名為 `AWSCloud9Administrators`、`AWSCloud9Users` 和 `AWSCloud9EnvironmentMembers`。如需詳細資訊,請參閱 [AWS Cloud9的AWS 受管 (預先定義) 政策](security-iam.md#auth-and-access-control-managed-policies)。
1. [新增使用者](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)。
1. [將使用者新增至群組](https://docs.aws.amazon.com/singlesignon/latest/userguide/adduserstogroups.html)。將任何 AWS Cloud9 管理員新增至`AWSCloud9Administrators`群組,重複此步驟將使用者新增至 AWS Cloud9 `AWSCloud9Users`群組。也可以選擇性地重複此步驟,將任何剩餘的使用者新增至 `AWSCloud9EnvironmentMembers` 群組。將使用者新增至群組是 AWS 安全最佳實務,可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
+ 如果您使用的是您在 中 AWS Directory Service 為組織管理的 AWS Managed Microsoft AD 或 AD Connector 目錄,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[連線至您的 Microsoft AD 目錄](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-directory-connected.html)。
## 步驟 6. 讓組織內的群組和使用者能夠使用 AWS Cloud9
根據預設, 中組織中的大多數使用者和群組 AWS Organizations 都無法存取任何 AWS 服務,包括 AWS Cloud9。在此步驟中,您可以使用 IAM Identity Center 來允許 中組織中的群組和使用者 AWS Organizations 在參與帳戶的任何組合 AWS Cloud9 內使用 。
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,從服務導覽窗格中選擇 **AWS 帳戶**。
1. 選擇 **Permission sets (許可集合)** 標籤。
1. 選擇 **Create permission set (建立許可集合)** 設定。
1. 選取 **Create a custom permission set (建立自訂許可集合)**。
1. 輸入此許可集合的 **Name (名稱)**。我們建議為整個組織的任何 AWS Cloud9 管理員建立至少一個許可集。然後,重複此程序的步驟 3 到 10,為整個組織的 AWS Cloud9 所有使用者建立另一個許可集。或者,您也可以在此程序中重複步驟 3 到 10,為想要與之共用現有 AWS Cloud9 開發環境的組織中的所有使用者建立第三個許可集。但是,不允許他們自行建立環境。為了簡單使用,我們建議將這些許可集合分別命名為 `AWSCloud9AdministratorsPerms`、`AWSCloud9UsersPerms` 和 `AWSCloud9EnvironmentMembersPerms`。如需詳細資訊,請參閱 [AWS Cloud9的AWS 受管 (預先定義) 政策](security-iam.md#auth-and-access-control-managed-policies)。
1. 輸入許可集合的選用 **Description (描述)**。
1. 選擇許可集合的 **Session duration (工作階段持續時間)**,或保留預設的工作階段持續時間 **1 hour (1 小時)**。
1. 選取**連接 AWS 受管政策**。
1. 在政策清單中,從正確的 **Policy name (政策名稱)** 項目旁選取以下其中一個方塊。(請勿直接選擇政策名稱。如果您在清單中看不到某個政策名稱,請在 **Search (搜尋)** 方塊中輸入政策名稱讓它顯示。)
+ 對於 `AWSCloud9AdministratorsPerms` 許可集合,選取 **AWSCloud9Administrator**。
+ 對於 `AWSCloud9UsersPerms` 許可集合,選取 **AWSCloud9User**。
+ (選用) 對於 `AWSCloud9EnvironmentMembersPerms` 許可集合,選取 **AWSCloud9EnvironmentMember**。
**注意**
若要了解除了 所需的政策之外,您還可以新增的政策 AWS Cloud9,請參閱《*IAM 使用者指南*》中的[受管政策和內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)以及[了解政策授予的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)。
1. 選擇**建立**。
1. 完成建立您想要的所有許可集後,請在**AWS 組織**索引標籤上,選擇您要為其指派 AWS Cloud9 存取許可 AWS 帳戶 的 。如果看不到 **AWS organization** (AWS 組織) 索引標籤,請在服務導覽窗格中,選擇 **AWS 帳戶**。這會顯示 **AWS organization** (AWS 組織) 索引標籤。
1. 選擇 **Assign users (指派使用者)**。
1. 在**群組**索引標籤上,選取您要為其指派 AWS Cloud9 存取許可之群組名稱旁的方塊。請勿選擇群組名稱本身。
+ 如果您為組織使用 IAM Identity Center 目錄,您可能已為 AWS Cloud9 管理員建立名為 **AWSCloud9Administrators** 的群組。
+ 如果您使用的是您在 中 AWS Directory Service 為組織管理的 AWS Managed Microsoft AD 或 AD Connector 目錄,請選擇目錄的 ID。接著,輸入群組的部分或全部名稱,然後選擇 **Search connected directory** (搜索連線的目錄)。最後,選取您要為其指派 AWS Cloud9 存取許可之群組名稱旁的方塊。
**注意**
我們建議將 AWS Cloud9 存取許可指派給群組,而不是指派給個別使用者。此 AWS 安全最佳實務可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
1. 選擇 **Next: Permission sets (下一步:許可集合)**。
1. 選取您要指派給此群組之許可集名稱旁的方塊 (例如,一組 AWS Cloud9 管理員的 **AWSCloud9AdministratorsPerms**)。請勿選擇許可集合名稱本身。
1. 選擇**完成**。
1. 選擇**繼續 AWS 帳戶**。
1. 針對您要 AWS 帳戶 在整個組織中指派給 的任何其他 AWS Cloud9 存取許可,重複此程序中的步驟 11 到 17。
## 步驟 7:開始使用 AWS Cloud9
完成本主題的先前步驟後,您和您的使用者即可登入 IAM Identity Center 並開始使用 AWS Cloud9。
1. 如果您已經登入 AWS 帳戶或 IAM Identity Center,請登出。若要這樣做,請參閱 AWS 支援網站上的[如何登出我的 AWS 帳戶](https://aws.amazon.com/premiumsupport/knowledge-center/sign-out-account/),或*AWS IAM Identity Center 《 使用者指南*》中的[如何登出使用者入口網站](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignout.html)。
1. 若要登入 IAM Identity Center,請遵循 *AWS IAM Identity Center 使用者指南*中的[如何接受邀請加入 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtoactivateaccount.html) 進行操作。這包括前往唯一的登入 URL,然後以唯一的登入憑證登入。您的 AWS 帳戶 管理員會透過電子郵件將此資訊提供給您,或提供給您。
**注意**
請務必將提供給您的唯一登入 URL 加上書籤。如此,您稍後就可以在輕鬆返回其中。此外,請務必將此 URL 的唯一登入憑證存放在安全位置。
這種 URL、使用者名稱和密碼的組合可能會根據 AWS 帳戶 管理員提供給您的不同 AWS Cloud9 存取許可層級而變更。例如,您可能使用一個 URL、使用者名稱和密碼,以取得某個帳戶的 AWS Cloud9 管理員存取權。您可以使用不同的 URL、使用者名稱和密碼,僅允許 AWS Cloud9 使用者存取不同的帳戶。
1. 在您登入 IAM Identity Center 之後,請選擇 **AWS 帳戶** 圖磚。
1. 從顯示的下拉式清單中,選擇使用者的顯示名稱。如果顯示多個名稱,請選擇您要開始使用的名稱 AWS Cloud9。如果您不確定選擇哪個名稱,請洽詢您的 AWS 帳戶 管理員。
1. 選擇使用者的顯示名稱旁的 **Management console (管理主控台)** 連結。如果出現多個 **Management console (管理主控台)** 連結,請選擇正確許可集合旁的連結。如果您不確定要選擇哪些連結,請洽詢您的 AWS 帳戶 管理員。
1. 從 中 AWS 管理主控台,執行下列其中一項操作:
+ 選擇 **Cloud9** (如果已顯示)。
+ 展開 **All services (所有服務)**,然後選擇 **Cloud9**。
+ 在 **Find services (尋找服務)** 方塊中,輸入 **Cloud9**,然後按 `Enter`。
+ 在 AWS 導覽列中,選擇**服務**,然後選擇 **Cloud9**。
AWS Cloud9 主控台隨即顯示,您可以開始使用 AWS Cloud9。
## 後續步驟
****
| **任務** | **參閱此主題** |
| --- | --- |
| 建立 AWS Cloud9 開發環境,然後使用 AWS Cloud9 IDE 在新環境中使用程式碼。 | [建立環境](create-environment.md) |
| 了解如何使用 AWS Cloud9 IDE。 | [入門 : 基本教學課程](tutorials-basic.md) 和 [使用 IDE](ide.md) |
| 邀請其他人與您即時透過文字聊天支援功能一起使用您的新環境。 | [使用共用環境](share-environment.md) |
# 的其他設定選項 AWS Cloud9
本主題假設您已完成[小組設定](setup.md)或[企業設定](setup-enterprise.md)中的設定步驟。
在[團隊設定](setup.md)或[企業設定](setup-enterprise.md)中,您已建立群組,並將 AWS Cloud9 存取許可直接新增至這些群組。這是為了確保這些群組中的使用者可以存取 AWS Cloud9。在本主題中,您會新增更多存取許可來限制這些群組中的使用者可以建立的環境類型。這有助於控制 AWS Cloud9 AWS 帳戶和組織中與 相關的成本。
若要新增這些存取許可,您需要建立自己的政策集合,藉此定義您要強制執行的 AWS 存取許可。我們將其中每個政策稱為*客戶受管政策*。然後,您會將這些客戶受管政策連接到使用者所屬的群組。在某些情況下,您還必須分離已連接到這些群組的現有 AWS 受管政策。若要進行這項設定,請依照本主題中的程序進行。
**注意**
下列程序僅涵蓋為 AWS Cloud9 使用者連接和分離政策。這些程序假設您已經有單獨的 AWS Cloud9 使用者群組和 AWS Cloud9 管理員群組。它們還假設您在 AWS Cloud9 管理員群組中只有數量有限的使用者。此 AWS 安全最佳實務可協助您更好地控制、追蹤和疑難排解 AWS 資源存取的問題。
## 步驟 1:建立客戶管理政策
您可以使用 [AWS 管理主控台](#setup-teams-create-policy-console) 或 [AWS 命令列界面 (AWS CLI)](#setup-teams-create-policy-cli) 來建立客戶受管政策。
**注意**
本步驟只會說明如何建立 IAM 群組的客戶受管政策。若要為 中的群組建立自訂許可集 AWS IAM Identity Center,請略過此步驟,並遵循*AWS IAM Identity Center 《 使用者指南*》中的[建立許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html#howtocreatepermissionset)中的指示。在這個主題中,請依照說明來建立自訂許可集合。如需了解相關自訂許可政策,請參閱本主題稍後的[使用 AWS Cloud9的小組適用的客戶受管政策範例](setup-teams-policy-examples.md)。
### 步驟 1.1:使用主控台建立客戶受管政策
1. 如果您尚未登入 AWS 管理主控台,請登入 。
我們建議您在 AWS 帳戶使用管理員使用者的憑證來登入。如果您無法執行此操作,請洽詢您的 AWS 帳戶 管理員。
1. 開啟 IAM 主控台。方法如下:從主控台的導覽列選擇 **Services** (服務),然後選擇 **IAM**。
1. 在服務的導覽窗格中,選擇 **Policies** (政策)。
1. 選擇**建立政策**。
1. 在 **JSON** 標籤中,貼上其中一個建議的[客戶受管政策範例](setup-teams-policy-examples.md)。
**注意**
您也可以建立自己的客戶受管政策。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html),以及 AWS 服務的[文件](https://aws.amazon.com/documentation/)。
1. 選擇**檢閱政策**。
1. 在 **Review policy** (檢閱政策) 頁面上,輸入政策的 **Name** (名稱) 和選用的 **Description** (描述),然後選擇 **Create policy** (建立政策)。
針對您要建立的每個額外客戶受管政策重複此步驟。然後,直接跳到[使用主控台將客戶受管政策新增至群組](#setup-teams-add-policy-console)。
### 步驟 1.2:使用 建立客戶受管政策 AWS CLI
1. 在您執行 的電腦上 AWS CLI,建立 檔案來描述政策 (例如 `policy.json`)。
如果您使用不同的檔案名稱建立檔案,請在此程序中予以取代。
1. 將我們建議的其中一個[客戶受管政策範例](setup-teams-policy-examples.md)貼到 `policy.json` 檔案中。
**注意**
您也可以建立自己的客戶受管政策。如需詳細資訊,請參閱中的 *IAM 使用者指南*中的[IAM JSON 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)以及 AWS 服務的[文件](https://aws.amazon.com/documentation/)。
1. 從終端機或命令提示,切換至包含 `policy.json` 檔案的目錄。
1. 執行 IAM `create-policy` 命令,並指定政策的名稱和 `policy.json` 檔案。
```
aws iam create-policy --policy-document file://policy.json --policy-name MyPolicy
```
在上述命令中,將 `MyPolicy` 取代為政策的名稱。
跳到[使用 將客戶受管政策新增至群組 AWS CLI](#setup-teams-add-policy-cli)。
## 步驟 2:將客戶受管政策新增至群組
您可以使用 [AWS 管理主控台](#setup-teams-add-policy-console) 或 [AWS 命令列界面 (AWS CLI)](#setup-teams-add-policy-cli),將客戶受管政策新增至群組。如需詳細資訊,請參閱[使用 之團隊的客戶受管政策範例 AWS Cloud9](setup-teams-policy-examples.md)。
**注意**
這個步驟只會說明如何在 IAM 群組新增客戶受管政策。若要將自訂許可集新增至 中的群組 AWS IAM Identity Center,請略過此步驟,並改為遵循*AWS IAM Identity Center 《 使用者指南*》中的[指派使用者存取權](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html#assignusers)中的指示。
### 步驟 2.1:使用主控台將客戶受管政策新增至群組
1. 使用上一個程序中開啟的 IAM 主控台,在服務的導覽窗格選擇 **Groups** (群組)。
1. 選擇群組的名稱。
1. 在 **Permissions** (許可) 標籤上,針對 **Managed Policies** (受管政策),選擇 **Attach Policy** (連接政策)。
1. 在政策名稱清單中,選擇您要連接到群組的每個客戶受管政策旁的方塊。如果您看不到清單中的特定政策名稱,請在 **Filter** (篩選條件) 方塊中輸入政策名稱來顯示它。
1. 選擇 **Attach Policy (連接政策)**。
### 步驟 2.2:使用 將客戶受管政策新增至群組 AWS CLI
**注意**
如果您使用的是[AWS 受管臨時憑證](security-iam.md#auth-and-access-control-temporary-managed-credentials),則無法使用 IDE AWS Cloud9 中的終端機工作階段來執行本節中的部分或全部命令。為了解決 AWS 安全最佳實務, AWS 受管臨時登入資料不允許執行某些命令。反之,您可以從個別安裝的 AWS Command Line Interface () 執行這些命令AWS CLI。
執行 IAM `attach-group-policy` 命令,並指定群組的名稱和政策的 Amazon Resource Name (ARN)。
```
aws iam attach-group-policy --group-name MyGroup --policy-arn arn:aws:iam::123456789012:policy/MyPolicy
```
在上述命令中,將 `MyGroup` 取代為群組的名稱。將 取代`123456789012`為 AWS 帳戶 ID。將 `MyPolicy` 取代為客戶受管政策的名稱。
## 後續步驟
****
| **任務** | **參閱此主題** |
| --- | --- |
| 建立 AWS Cloud9 開發環境,然後使用 AWS Cloud9 IDE 在新環境中使用程式碼。 | [建立環境](create-environment.md) |
| 了解如何使用 AWS Cloud9 IDE。 | [入門 : 基本教學課程](tutorials-basic.md) 和 [使用 IDE](ide.md) |
| 邀請其他人與您即時透過文字聊天支援功能一起使用您的新環境。 | [使用共享環境](share-environment.md) |
# 使用 的團隊的客戶受管政策範例 AWS Cloud9
以下幾個政策範例可供您用來限制群組中的使用者能夠在 AWS 帳戶中建立的環境。
+ [防止群組中的使用者建立環境](#setup-teams-policy-examples-prevent-environments)
+ [防止群組中的使用者建立 EC2 環境](#setup-teams-policy-examples-prevent-ec2-environments)
+ [允許群組中的使用者建立只含有特定 Amazon EC2 執行個體類型的 EC2 環境](#setup-teams-policy-examples-specific-instance-types)
+ [允許群組中的使用者為每個 AWS 區域建立單一 EC2 環境](#setup-teams-policy-examples-single-ec2-environment)
## 防止群組中的使用者建立環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立環境 AWS 帳戶 ,這會很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
上述客戶受管政策在已連接到 AWS Cloud9 使用者群組的`AWSCloud9User`受管政策`"Resource": "*"`中明確覆寫 `"Effect": "Allow"``"Action": "cloud9:CreateEnvironmentEC2"`和 `"cloud9:CreateEnvironmentSSH"` 上的 。
## 防止群組中的使用者建立 EC2 環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立 EC2 環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立 EC2 環境 AWS 帳戶 ,這會很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。此政策假設您並未同時連接防止該群組中使用者建立 SSH 環境的政策。否則,這些使用者無法建立環境。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
上述客戶受管政策會在已連接到 AWS Cloud9 使用者群組的`AWSCloud9User`受管政策`"Effect": "Allow"``"Action": "cloud9:CreateEnvironmentEC2"``"Resource": "*"`中明確覆寫 上的 。
## 允許群組中的使用者建立只含有特定 Amazon EC2 執行個體類型的 EC2 環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可讓使用者群組中的使用者建立 EC2 環境,其僅使用 `t2`中開頭為 的執行個體類型 AWS 帳戶。此政策假設您並未同時連接防止該群組中的使用者建立 EC2 環境的政策。否則,這些使用者無法建立 EC2 環境。
您可以將下列政策中的 `"t2.*"` 取代為不同的執行個體類別 (例如 `"m4.*"`)。或者,您可以限定其為多個執行個體類別或執行個體類型 (例如 `[ "t2.*", "m4.*" ]` 或 `[ "t2.micro", "m4.large" ]`)。
對於 AWS Cloud9 使用者群組,從 群組分離 `AWSCloud9User`受管政策。接著,在其位置新增下列客戶受管政策。如果您未分離 `AWSCloud9User` 受管政策,下列客戶受管政策會沒有作用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
上述客戶受管政策也可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境,請從上述客戶受管政策移除 `"cloud9:CreateEnvironmentSSH",`。
## 允許群組中的使用者在每個 中僅建立單一 EC2 環境 AWS 區域
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可讓這些使用者在每個 AWS Cloud9 可用的環境中建立最多一個 EC2 AWS 區域 環境。其作法是將環境的名稱限制為該 AWS 區域中的某個特定名稱。在此範例中,環境限制為 `my-demo-environment`。
**注意**
AWS Cloud9 不會啟用限制特定環境 AWS 區域 的建立。 AWS Cloud9 也不會啟用限制可建立環境的整體數量。唯一的例外是發佈的[服務限制](limits.md)。
對於 AWS Cloud9 使用者群組,從群組分離`AWSCloud9User`受管政策,然後在其位置新增下列客戶受管政策。如果您未分離 `AWSCloud9User` 受管政策,下列客戶受管政策沒有作用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
上述客戶受管政策可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境,請從上述客戶受管政策移除 `"cloud9:CreateEnvironmentSSH",`。
如需更多範例,請參閱[客戶管理政策範例](security-iam.md#auth-and-access-control-customer-policies-examples)。