AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. [Más información](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de políticas gestionadas por el cliente para los equipos que utilizan AWS Cloud9
A continuación, se muestran algunos ejemplos de políticas que puede utilizar para restringir los entornos que los usuarios de un grupo pueden crear en una Cuenta de AWS.
+ [Impedir que los usuarios de un grupo creen entornos](#setup-teams-policy-examples-prevent-environments)
+ [Impedir que los usuarios de un grupo creen entornos de EC2](#setup-teams-policy-examples-prevent-ec2-environments)
+ [Permitir que los usuarios de un grupo creen entornos de EC2 solo con tipos de instancias de Amazon EC2 específicas](#setup-teams-policy-examples-specific-instance-types)
+ [Permita que los usuarios de un grupo creen solo un entorno EC2 por región AWS](#setup-teams-policy-examples-single-ec2-environment)
## Impedir que los usuarios de un grupo creen entornos
La siguiente política gestionada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, impide que esos usuarios creen entornos en un Cuenta de AWS. Esto resulta útil si desea que un usuario administrador gestione Cuenta de AWS la creación de entornos. De lo contrario, lo harán AWS Cloud9 los usuarios de un grupo de usuarios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
La política anterior gestionada `"Effect": "Allow"` por `"Action": "cloud9:CreateEnvironmentEC2"` el cliente anula de forma explícita la política `AWSCloud9User` gestionada que ya está asociada al grupo de AWS Cloud9 usuarios. `"cloud9:CreateEnvironmentSSH"` `"Resource": "*"`
## Impedir que los usuarios de un grupo creen entornos de EC2
La siguiente política gestionada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, impide que esos usuarios creen entornos EC2 en un. Cuenta de AWS Esto resulta útil si desea que un usuario administrador gestione la creación Cuenta de AWS de entornos EC2. De lo contrario, lo hacen AWS Cloud9 los usuarios de un grupo de usuarios. Aquí se da por hecho que tampoco ha asociado una política que impida que los usuarios de ese grupo creen entornos de SSH. De lo contrario, esos usuarios no pueden crear entornos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
La política anterior gestionada `"Effect": "Allow"` por `"Action": "cloud9:CreateEnvironmentEC2"` el cliente sustituye de forma explícita a una de las políticas `AWSCloud9User` gestionadas que ya está asociada al grupo de AWS Cloud9 usuarios. `"Resource": "*"`
## Permitir que los usuarios de un grupo creen entornos de EC2 solo con tipos de instancias de Amazon EC2 específicas
La siguiente política gestionada por el cliente, cuando se adjunta a un AWS Cloud9 grupo de usuarios, permite a los usuarios del grupo de usuarios crear entornos EC2 que solo utilicen tipos de instancias que comiencen por. `t2` Cuenta de AWS En esta política, se da por hecho que tampoco ha asociado una política que impida que los usuarios de ese grupo creen entornos de EC2. De lo contrario, esos usuarios no pueden crear entornos de EC2.
Puede sustituir `"t2.*"` en la siguiente política por una clase de instancia distinta (por ejemplo, `"m4.*"`). También puede restringirla a varias clases o tipos de instancias (por ejemplo, `[ "t2.*", "m4.*" ]` o `[ "t2.micro", "m4.large" ]`).
En el caso de un grupo de AWS Cloud9 usuarios, separe la política `AWSCloud9User` administrada del grupo. A continuación, añada la siguiente política administrada por el cliente en su lugar. Si no desasocia la política administrada `AWSCloud9User`, la siguiente política administrada por el cliente no se aplicará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La anterior política administrada por el cliente también permite a esos usuarios crear entornos de SSH. Para evitar que esos usuarios creen entornos de SSH, elimine `"cloud9:CreateEnvironmentSSH",` de la política administrada por el cliente anterior.
## Permita que los usuarios de un grupo creen solo un entorno EC2 en cada uno Región de AWS
La siguiente política administrada por el cliente, cuando se adjunta a un grupo de AWS Cloud9 usuarios, permite a cada uno de esos usuarios crear un máximo de un entorno EC2 en cada uno de los Región de AWS que AWS Cloud9 estén disponibles. Para ello, se restringe el nombre del entorno a un nombre específico de esa Región de AWS. En este ejemplo, el entorno está restringido a `my-demo-environment`.
**nota**
AWS Cloud9 no permite restringir la creación de entornos a entornos específicos Regiones de AWS . AWS Cloud9 tampoco permite restringir la cantidad total de entornos que se pueden crear. La única excepción son los [límites de servicio](limits.md) publicados.
En el caso de un grupo de AWS Cloud9 usuarios, separe la política `AWSCloud9User` gestionada del grupo y, a continuación, añada la siguiente política gestionada por el cliente en su lugar. Si no desasocia la política administrada `AWSCloud9User`, la siguiente política administrada por el cliente no se aplicará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
La anterior política administrada por el cliente permite a esos usuarios crear entornos de SSH. Para evitar que esos usuarios creen entornos de SSH, elimine `"cloud9:CreateEnvironmentSSH",` de la política administrada por el cliente anterior.
Para obtener más ejemplos, consulte [Ejemplos de políticas administradas por el cliente](security-iam.md#auth-and-access-control-customer-policies-examples).