AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas administradas por el cliente para equipos que utilizan AWS Cloud9
A continuación, se muestran algunos ejemplos de políticas que puede utilizar para restringir los entornos que los usuarios de un grupo pueden crear en una Cuenta de AWS.
Impedir que los usuarios de un grupo creen entornos
La siguiente política administrada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, impide que esos usuarios creen entornos en un Cuenta de AWS. Esto resulta útil si desea que un usuario administrador gestione Cuenta de AWS la creación de entornos. De lo contrario, lo harán AWS Cloud9 los usuarios de un grupo de usuarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
La política anterior gestionada "Effect":
"Allow" por "Action": "cloud9:CreateEnvironmentEC2" el cliente anula de forma explícita la política AWSCloud9User gestionada que ya está asociada al grupo de AWS Cloud9 usuarios. "cloud9:CreateEnvironmentSSH" "Resource": "*"
Impida que los usuarios de un grupo creen entornos EC2
La siguiente política gestionada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, impide que esos usuarios creen EC2 entornos en un Cuenta de AWS. Esto resulta útil si desea que un usuario administrador gestione Cuenta de AWS la creación de EC2 entornos. De lo contrario, lo harán AWS Cloud9 los usuarios de un grupo de usuarios. Esto supone que no ha adjuntado también una política que impida a los usuarios de ese grupo crear SSH entornos. De lo contrario, esos usuarios no pueden crear entornos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
La anterior política gestionada "Effect":
"Allow" por "Action": "cloud9:CreateEnvironmentEC2" el cliente sustituye de forma explícita a una de las políticas AWSCloud9User gestionadas que ya está asociada al grupo de AWS Cloud9 usuarios. "Resource": "*"
Permitir a los usuarios de un grupo crear EC2 entornos solo con tipos de EC2 instancias de Amazon específicos
La siguiente política gestionada por el cliente, cuando se adjunta a un AWS Cloud9 grupo de usuarios, permite a los usuarios del grupo de usuarios crear EC2 entornos que solo utilicen tipos de instancias que comiencen con t2 una Cuenta de AWS. Esta política supone que no has adjuntado tampoco una política que impida a los usuarios de ese grupo crear EC2 entornos. De lo contrario, esos usuarios no podrán crear EC2 entornos.
Puede sustituir "t2.*" en la siguiente política por una clase de instancia distinta (por ejemplo, "m4.*"). También puede restringirla a varias clases o tipos de instancias (por ejemplo, [ "t2.*", "m4.*" ] o [
"t2.micro", "m4.large" ]).
En el caso de un grupo de AWS Cloud9 usuarios, separe la política AWSCloud9User gestionada del grupo. A continuación, añada la siguiente política administrada por el cliente en su lugar. Si no desasocia la política administrada AWSCloud9User, la siguiente política administrada por el cliente no se aplicará.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La política anterior gestionada por el cliente también permite a esos usuarios crear SSH entornos. Para evitar que esos usuarios creen SSH entornos por completo, elimínelos "cloud9:CreateEnvironmentSSH", de la política anterior administrada por el cliente.
Permita que los usuarios de un grupo creen solo un EC2 entorno en cada uno Región de AWS
La siguiente política administrada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, permite a cada uno de esos usuarios crear un máximo de un EC2 entorno en cada uno de los Región de AWS que AWS Cloud9 esté disponible. Para ello, se restringe el nombre del entorno a un nombre específico de esa Región de AWS. En este ejemplo, el entorno está restringido a my-demo-environment.
nota
AWS Cloud9 no permite restringir la creación Regiones de AWS de entornos a entornos específicos. AWS Cloud9 tampoco permite restringir la cantidad total de entornos que se pueden crear. La única excepción son los límites de servicio publicados.
En el caso de un grupo de AWS Cloud9 usuarios, separe la política AWSCloud9User gestionada del grupo y, a continuación, añada la siguiente política gestionada por el cliente en su lugar. Si no desasocia la política administrada AWSCloud9User, la siguiente política administrada por el cliente no se aplicará.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La política anterior gestionada por el cliente permite a esos usuarios crear SSH entornos. Para evitar que esos usuarios creen SSH entornos por completo, elimínelos "cloud9:CreateEnvironmentSSH", de la política anterior administrada por el cliente.
Para obtener más ejemplos, consulte Ejemplos de políticas administradas por el cliente.
