AWS Cloud9 ist für Neukunden nicht mehr verfügbar. Bestehende Kunden von AWS Cloud9 können den Dienst weiterhin wie gewohnt nutzen. Weitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für vom Kunden verwaltete Richtlinien für Teams, die AWS Cloud9

Im Folgenden finden Sie einige Beispiele für Richtlinien, die Sie verwenden können, um die Umgebungen zu beschränken, die Benutzer in einer Gruppe in einem AWS-Konto erstellen können.

Benutzer einer Gruppe am Erstellen von Umgebungen hindern

Die folgende, vom Kunden verwaltete Richtlinie verhindert, dass diese Benutzer Umgebungen in einer AWS-Konto Benutzergruppe erstellen. AWS Cloud9 Dies ist nützlich, wenn Sie möchten, dass ein Administratorbenutzer in Ihrer Nähe AWS-Konto die Erstellung von Umgebungen verwaltet. Andernfalls tun dies Benutzer in einer AWS Cloud9 Benutzergruppe.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}

Die vorherige vom Kunden verwaltete Richtlinie hat "Resource": "*" in der verwalteten Richtlinie, die bereits mit der AWS Cloud9 Benutzergruppe AWSCloud9User verknüpft ist, ausdrücklich Vorrang vor „"Effect": "Allow"for“ "Action": "cloud9:CreateEnvironmentEC2" und „"cloud9:CreateEnvironmentSSH"on“.

Benutzer einer Gruppe am Erstellen von EC2-Umgebungen hindern

Die folgende vom Kunden verwaltete Richtlinie verhindert, wenn sie einer AWS Cloud9 Benutzergruppe zugeordnet ist, diese Benutzer daran, EC2-Umgebungen in einer zu erstellen. AWS-Konto Dies ist nützlich, wenn Sie möchten, dass ein Administratorbenutzer in Ihrer Nähe AWS-Konto die Erstellung von EC2-Umgebungen verwaltet. Andernfalls tun dies Benutzer in einer AWS Cloud9 Benutzergruppe. Dies setzt voraus, dass Sie nicht auch eine Richtlinie angefügt haben, die Benutzer in dieser Gruppe am Erstellen von SSH-Umgebungen hindert. Andernfalls können diese Benutzer keine Umgebungen erstellen.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

Die vorherige vom Kunden verwaltete Richtlinie setzt ausdrücklich den "Effect": "Allow" Wert "Action": "cloud9:CreateEnvironmentEC2" on "Resource": "*" in der AWSCloud9User verwalteten Richtlinie außer Kraft, die der AWS Cloud9 Benutzergruppe bereits zugeordnet ist.

Zulassen, dass Benutzer in einer Gruppe EC2-Umgebungen nur mit bestimmten Instance-Typen von Amazon-EC2 erstellen können

Die folgende vom Kunden verwaltete Richtlinie ermöglicht es AWS Cloud9 Benutzern in der Benutzergruppe, EC2-Umgebungen zu erstellen, in denen nur Instance-Typen verwendet werden, die mit t2 in an beginnen. AWS-Konto Diese Richtlinie setzt voraus, dass Sie nicht auch eine Richtlinie angefügt haben, die Benutzer in dieser Gruppe am Erstellen von EC2-Umgebungen hindert. Andernfalls können diese Benutzer keine EC2-Umgebungen erstellen.

Sie können "t2.*" in der folgenden Richtlinie mit einer anderen Instance-Klasse ersetzen (z. B. "m4.*"). Oder Sie können sie auf mehrere Instance-Klassen und Instance-Typen beschränken (z. B. [ "t2.*", "m4.*" ] oder [ "t2.micro", "m4.large" ]).

Bei einer AWS Cloud9 Benutzergruppe trennen Sie die AWSCloud9User verwaltete Richtlinie von der Gruppe. Fügen Sie dann die folgende vom Kunden verwaltete Richtlinie an ihrer Stelle hinzu. Wenn Sie die von AWSCloud9User verwaltete Richtlinie nicht trennen, hat die folgende vom Kunden verwaltete Richtlinie keine Wirkung.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

Die vorhergehende vom Kunden verwaltete Richtlinie erlaubt den Benutzern auch das Erstellen von SSH-Umgebungen. Um diese Benutzer komplett am Erstellen von SSH-Umgebungen zu hindern, entfernen Sie "cloud9:CreateEnvironmentSSH", aus der vorhergehenden vom Kunden verwalteten Richtlinie.

Erlauben Sie Benutzern in einer Gruppe, jeweils nur eine einzige EC2-Umgebung zu erstellen AWS-Region

Wenn die folgende, vom Kunden verwaltete Richtlinie einer AWS Cloud9 Benutzergruppe zugeordnet ist, kann jeder dieser Benutzer maximal eine EC2-Umgebung in jeder Umgebung erstellen AWS-Region , die in verfügbar AWS Cloud9 ist. Dies geschieht, indem der Name der Umgebung auf einen bestimmten Namen in dieser AWS-Region beschränkt wird. In diesem Beispiel ist die Umgebung auf my-demo-environment beschränkt.

Trennen Sie für eine AWS Cloud9 Benutzergruppe die AWSCloud9User verwaltete Richtlinie von der Gruppe und fügen Sie an ihrer Stelle die folgende vom Kunden verwaltete Richtlinie hinzu. Wenn Sie die von AWSCloud9User verwaltete Richtlinie nicht trennen, hat die folgende vom Kunden verwaltete Richtlinie keine Wirkung.

JSON

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

Die vorhergehende vom Kunden verwaltete Richtlinie erlaubt den Benutzern das Erstellen von SSH-Umgebungen. Um diese Benutzer komplett am Erstellen von SSH-Umgebungen zu hindern, entfernen Sie "cloud9:CreateEnvironmentSSH", aus der vorhergehenden vom Kunden verwalteten Richtlinie.

Weitere Beispiele finden Sie unter Beispiele für vom Kunden verwaltete Richtlinien.