Esempi di policy gestite dai clienti per i team che utilizzano AWS Cloud9 - AWS Cloud9
Impedire agli utenti di un gruppo di creare ambientiImpedire agli utenti di un gruppo di creare ambienti EC2Permettere agli utenti di un gruppo di creare ambienti EC2 solo con tipi di istanza Amazon EC2 specificiConsenti agli utenti di un gruppo di creare un solo ambiente EC2 per ogni ambiente Regione AWS

AWS Cloud9 non è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio come di consueto. Ulteriori informazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy gestite dai clienti per i team che utilizzano AWS Cloud9

Di seguito sono elencati alcuni esempi di policy che puoi utilizzare per limitare gli ambienti che gli utenti di un gruppo possono creare in un Account AWS.

Impedire agli utenti di un gruppo di creare ambienti

La seguente policy gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, impedisce a tali utenti di creare ambienti in un Account AWS. Ciò è utile se desideri che un utente amministratore Account AWS gestisca la creazione di ambienti. Altrimenti, lo fanno gli AWS Cloud9 utenti di un gruppo di utenti.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}

La precedente policy gestita dal cliente sostituisce esplicitamente "Effect": "Allow" la "Action": "cloud9:CreateEnvironmentEC2" policy AWSCloud9User gestita che è già associata al gruppo di utenti. "cloud9:CreateEnvironmentSSH" "Resource": "*" AWS Cloud9

Impedire agli utenti di un gruppo di creare ambienti EC2

La seguente politica gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, impedisce a tali utenti di creare ambienti EC2 in un. Account AWS Ciò è utile se desideri che un utente amministratore gestisca la creazione Account AWS di ambienti EC2. Altrimenti, lo fanno gli AWS Cloud9 utenti di un gruppo di utenti. In questo caso, si presuppone che tu non abbia collegato alcuna policy che impedisca agli utenti del gruppo di creare ambienti SSH. In caso contrario, gli utenti non sono in grado di creare alcun ambiente.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

La precedente politica gestita dal cliente sostituisce esplicitamente "Effect": "Allow" l'opzione attiva "Action": "cloud9:CreateEnvironmentEC2" "Resource": "*" nella politica AWSCloud9User gestita già associata al gruppo di utenti. AWS Cloud9

Permettere agli utenti di un gruppo di creare ambienti EC2 solo con tipi di istanza Amazon EC2 specifici

La seguente policy gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, consente agli utenti del gruppo di utenti di creare ambienti EC2 che utilizzano solo tipi di istanze che iniziano con un. t2 Account AWS Questa policy presuppone che tu non abbia collegato alcuna policy che impedisca agli utenti del gruppo di creare ambienti EC2. In caso contrario, gli utenti non sono in grado di creare alcun ambiente EC2.

Puoi sostituire "t2.*" nella seguente policy con una classe di istanza diversa (ad esempio, "m4.*"). In alternativa, puoi limitarla a più classi di istanza o tipi di istanza (ad esempio, [ "t2.*", "m4.*" ] o [ "t2.micro", "m4.large" ]).

Per un gruppo di AWS Cloud9 utenti, scollega la policy AWSCloud9User gestita dal gruppo. Quindi, al suo posto, aggiungi la seguente policy gestita dal cliente. Se non scolleghi la policy gestita AWSCloud9User, la seguente policy gestita dal cliente non ha effetto.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

La policy gestita dal cliente precedente permette inoltre agli utenti di creare ambienti SSH. Per impedire a tali utenti di creare anche ambienti SSH, rimuovi "cloud9:CreateEnvironmentSSH", dalla policy gestita dal cliente precedente.

Consenti agli utenti di un gruppo di creare un solo ambiente EC2 per ogni ambiente Regione AWS

La seguente policy gestita dai clienti, se associata a un gruppo di AWS Cloud9 utenti, consente a ciascuno di questi utenti di creare al massimo un ambiente EC2 in ciascuno Regione AWS dei quali AWS Cloud9 è disponibile in. Ciò è possibile limitando il nome dell'ambiente a un nome specifico nella Regione AWS. In questo esempio, l'ambiente è limitato a my-demo-environment.

Nota

AWS Cloud9 non consente la creazione di ambienti limitati Regioni AWS a elementi specifici. AWS Cloud9 inoltre non consente di limitare il numero complessivo di ambienti che possono essere creati. L'unica eccezione sono i limiti del servizio pubblicati.

Per un gruppo di AWS Cloud9 utenti, scollega la politica AWSCloud9User gestita dal gruppo, quindi aggiungi la seguente politica gestita dai clienti al suo posto. Se non scolleghi la policy gestita da AWSCloud9User, la seguente policy gestita dal cliente non ha effetto.

JSON
{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

La policy gestita dal cliente precedente permette agli utenti di creare ambienti SSH. Per impedire a tali utenti di creare anche ambienti SSH, rimuovi "cloud9:CreateEnvironmentSSH", dalla policy gestita dal cliente precedente.

Per ulteriori esempi, consulta Esempi di policy gestite dal cliente.