AWS Cloud9 ya no está disponible para los nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información
Ejemplos de políticas administradas por el cliente para equipos que utilizan AWS Cloud9
A continuación, se muestran algunos ejemplos de políticas que puede utilizar para restringir los entornos que los usuarios de un grupo pueden crear en una Cuenta de AWS.
Impedir que los usuarios de un grupo creen entornos
Cuando la siguiente política administrada por el cliente se asocia a un grupo de usuarios de AWS Cloud9, se impide que esos usuarios creen entornos en una Cuenta de AWS. Esto resulta útil si desea que un usuario administrador de su Cuenta de AWS administre la creación de entornos. De lo contrario, lo harán los usuarios de un grupo de usuarios de AWS Cloud9.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
La política administrada por el cliente anterior anula "Effect":
"Allow" explícitamente para "Action": "cloud9:CreateEnvironmentEC2" y "cloud9:CreateEnvironmentSSH" en "Resource": "*" en la política administrada AWSCloud9User que ya está asociada al grupo de usuarios de AWS Cloud9.
Impedir que los usuarios de un grupo creen entornos de EC2
Cuando la siguiente política administrada por el cliente se asocia a un grupo de usuarios de AWS Cloud9, se impide que esos usuarios creen entornos de EC2 en una Cuenta de AWS. Esto resulta útil si desea que un usuario administrador de su Cuenta de AWS administre la creación de entornos de EC2. De lo contrario, lo harán los usuarios de un grupo de usuarios de AWS Cloud9. Aquí se da por hecho que tampoco ha asociado una política que impida que los usuarios de ese grupo creen entornos de SSH. De lo contrario, esos usuarios no pueden crear entornos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
La política administrada por el cliente anterior anula "Effect":
"Allow" explícitamente para "Action": "cloud9:CreateEnvironmentEC2" en "Resource": "*" en la política administrada AWSCloud9User que ya está asociada al grupo de usuarios de AWS Cloud9.
Permitir que los usuarios de un grupo creen entornos de EC2 solo con tipos de instancias de Amazon EC2 específicas
Cuando la siguiente política administrada por el cliente se asocia a un grupo de usuarios de AWS Cloud9, permite a esos usuarios crear entornos de EC2 que solo utilizan tipos de instancias que comienzan por t2 en una Cuenta de AWS. En esta política, se da por hecho que tampoco ha asociado una política que impida que los usuarios de ese grupo creen entornos de EC2. De lo contrario, esos usuarios no pueden crear entornos de EC2.
Puede sustituir "t2.*" en la siguiente política por una clase de instancia distinta (por ejemplo, "m4.*"). También puede restringirla a varias clases o tipos de instancias (por ejemplo, [ "t2.*", "m4.*" ] o [
"t2.micro", "m4.large" ]).
Para un grupo de usuarios de AWS Cloud9, desasocie la política administrada AWSCloud9User del grupo. A continuación, añada la siguiente política administrada por el cliente en su lugar. Si no desasocia la política administrada AWSCloud9User, la siguiente política administrada por el cliente no se aplicará.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La anterior política administrada por el cliente también permite a esos usuarios crear entornos de SSH. Para evitar que esos usuarios creen entornos de SSH, elimine "cloud9:CreateEnvironmentSSH", de la política administrada por el cliente anterior.
Permitir que los usuarios de un grupo creen un único entorno de EC2 por Región de AWS
Cuando la siguiente política administrada por el cliente se asocia a un grupo de usuarios de AWS Cloud9, permite que cada uno de esos usuarios cree un máximo de un entorno de EC2 por Región de AWS en la que AWS Cloud9 está disponible. Para ello, se restringe el nombre del entorno a un nombre específico de esa Región de AWS. En este ejemplo, el entorno está restringido a my-demo-environment.
nota
AWS Cloud9 no permite restringir la creación de entornos a Regiones de AWS específicas. AWS Cloud9 tampoco permite restringir el número total de entornos que se pueden crear. La única excepción son los límites de servicio publicados.
Para un grupo de usuarios de AWS Cloud9, desconecte la política administrada AWSCloud9User del grupo y luego agregue en su lugar la siguiente política administrada por el cliente. Si no desasocia la política administrada AWSCloud9User, la siguiente política administrada por el cliente no se aplicará.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La anterior política administrada por el cliente permite a esos usuarios crear entornos de SSH. Para evitar que esos usuarios creen entornos de SSH, elimine "cloud9:CreateEnvironmentSSH", de la política administrada por el cliente anterior.
Para obtener más ejemplos, consulte Ejemplos de políticas administradas por el cliente.
