AWS Cloud9 不再提供給新客戶。 AWS Cloud9 的現有客戶可以繼續正常使用該服務。[進一步了解](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的團隊的客戶受管政策範例 AWS Cloud9
<a name="setup-teams-policy-examples"></a>

以下幾個政策範例可供您用來限制群組中的使用者能夠在 AWS 帳戶中建立的環境。
+  [防止群組中的使用者建立環境](#setup-teams-policy-examples-prevent-environments) 
+  [防止群組中的使用者建立 EC2 環境](#setup-teams-policy-examples-prevent-ec2-environments) 
+  [允許群組中的使用者建立只含有特定 Amazon EC2 執行個體類型的 EC2 環境](#setup-teams-policy-examples-specific-instance-types) 
+  [允許群組中的使用者為每個 AWS 區域建立單一 EC2 環境](#setup-teams-policy-examples-single-ec2-environment) 

## 防止群組中的使用者建立環境
<a name="setup-teams-policy-examples-prevent-environments"></a>

下列客戶受管政策連接至 AWS Cloud9 使用者群組時，可防止這些使用者在 中建立環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立環境 AWS 帳戶 ，這會很有用。否則，使用者群組中的 AWS Cloud9 使用者會執行此操作。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}
```

------

上述客戶受管政策在已連接到 AWS Cloud9 使用者群組的`AWSCloud9User`受管政策`"Resource": "*"`中明確覆寫 `"Effect": "Allow"``"Action": "cloud9:CreateEnvironmentEC2"`和 `"cloud9:CreateEnvironmentSSH"` 上的 。

## 防止群組中的使用者建立 EC2 環境
<a name="setup-teams-policy-examples-prevent-ec2-environments"></a>

下列客戶受管政策連接至 AWS Cloud9 使用者群組時，可防止這些使用者在 中建立 EC2 環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立 EC2 環境 AWS 帳戶 ，這會很有用。否則，使用者群組中的 AWS Cloud9 使用者會執行此操作。此政策假設您並未同時連接防止該群組中使用者建立 SSH 環境的政策。否則，這些使用者無法建立環境。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}
```

------

上述客戶受管政策會在已連接到 AWS Cloud9 使用者群組的`AWSCloud9User`受管政策`"Effect": "Allow"``"Action": "cloud9:CreateEnvironmentEC2"``"Resource": "*"`中明確覆寫 上的 。

## 允許群組中的使用者建立只含有特定 Amazon EC2 執行個體類型的 EC2 環境
<a name="setup-teams-policy-examples-specific-instance-types"></a>

下列客戶受管政策連接至 AWS Cloud9 使用者群組時，可讓使用者群組中的使用者建立 EC2 環境，其僅使用 `t2`中開頭為 的執行個體類型 AWS 帳戶。此政策假設您並未同時連接防止該群組中的使用者建立 EC2 環境的政策。否則，這些使用者無法建立 EC2 環境。

您可以將下列政策中的 `"t2.*"` 取代為不同的執行個體類別 (例如 `"m4.*"`)。或者，您可以限定其為多個執行個體類別或執行個體類型 (例如 `[ "t2.*", "m4.*" ]` 或 `[ "t2.micro", "m4.large" ]`)。

對於 AWS Cloud9 使用者群組，從 群組分離 `AWSCloud9User`受管政策。接著，在其位置新增下列客戶受管政策。如果您未分離 `AWSCloud9User` 受管政策，下列客戶受管政策會沒有作用。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}
```

------

上述客戶受管政策也可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境，請從上述客戶受管政策移除 `"cloud9:CreateEnvironmentSSH",`。

## 允許群組中的使用者在每個 中僅建立單一 EC2 環境 AWS 區域
<a name="setup-teams-policy-examples-single-ec2-environment"></a>

下列客戶受管政策連接至 AWS Cloud9 使用者群組時，可讓這些使用者在每個 AWS Cloud9 可用的環境中建立最多一個 EC2 AWS 區域 環境。其作法是將環境的名稱限制為該 AWS 區域中的某個特定名稱。在此範例中，環境限制為 `my-demo-environment`。

**注意**  
AWS Cloud9 不會啟用限制特定環境 AWS 區域 的建立。 AWS Cloud9 也不會啟用限制可建立環境的整體數量。唯一的例外是發佈的[服務限制](limits.md)。

對於 AWS Cloud9 使用者群組，從群組分離`AWSCloud9User`受管政策，然後在其位置新增下列客戶受管政策。如果您未分離 `AWSCloud9User` 受管政策，下列客戶受管政策沒有作用。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}
```

------

上述客戶受管政策可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境，請從上述客戶受管政策移除 `"cloud9:CreateEnvironmentSSH",`。

如需更多範例，請參閱[客戶管理政策範例](security-iam.md#auth-and-access-control-customer-policies-examples)。