AWS Cloud9 n'est plus disponible pour les nouveaux clients. Les clients existants de AWS Cloud9 peuvent continuer à utiliser le service normalement. En savoir plus
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de stratégies gérées par le client pour les équipes utilisant AWS Cloud9
Voici quelques exemples de politiques que vous pouvez utiliser pour restreindre les environnements que les utilisateurs d'un groupe peuvent créer dans un Compte AWS.
Interdiction aux utilisateurs d'un groupe de créer des environnements
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, empêche ces utilisateurs de créer des environnements dans un Compte AWS. Cela est utile si vous souhaitez qu'un utilisateur administrateur gère Compte AWS la création d'environnements. Dans le cas contraire, c'est ce que font AWS Cloud9 les utilisateurs d'un groupe d'utilisateurs.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
La politique gérée par le client précédente "Effect":
"Allow" remplace "Action": "cloud9:CreateEnvironmentEC2" explicitement "cloud9:CreateEnvironmentSSH" "Resource": "*" la politique AWSCloud9User gérée déjà attachée au groupe d' AWS Cloud9 utilisateurs.
Empêcher les utilisateurs d'un groupe de créer EC2 des environnements
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, empêche ces utilisateurs de créer EC2 des environnements dans un Compte AWS. Cela est utile si vous souhaitez qu'un utilisateur administrateur gère Compte AWS la création d'EC2environnements. Dans le cas contraire, c'est ce que font AWS Cloud9 les utilisateurs d'un groupe d'utilisateurs. Cela suppose que vous n'avez pas également joint de politique empêchant les utilisateurs de ce groupe de créer SSH des environnements. Dans le cas contraire, ces utilisateurs ne peuvent pas créer d'environnements.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
La politique gérée par le client précédente "Effect":
"Allow" remplace explicitement "Action": "cloud9:CreateEnvironmentEC2" "Resource": "*" la politique AWSCloud9User gérée déjà attachée au groupe d' AWS Cloud9 utilisateurs.
Autoriser les utilisateurs d'un groupe à créer EC2 des environnements uniquement avec des types d'EC2instances Amazon spécifiques
La politique gérée par le client suivante, lorsqu'elle est attachée à un groupe d' AWS Cloud9 utilisateurs, permet aux utilisateurs du groupe d'utilisateurs de créer EC2 des environnements qui n'utilisent que des types d'instances commençant t2 par un Compte AWS. Cette politique part du principe que vous n'avez pas également joint de politique empêchant les utilisateurs de ce groupe de créer EC2 des environnements. Dans le cas contraire, ces utilisateurs ne peuvent pas créer d'EC2environnements.
Vous pouvez remplacer "t2.*" dans la stratégie suivante par une autre classe d'instance (par exemple, "m4.*"). Ou vous pouvez la restreindre à plusieurs types d'instances ou classes d'instance (par exemple, [ "t2.*", "m4.*" ] ou [
"t2.micro", "m4.large" ]).
Pour un groupe d' AWS Cloud9 utilisateurs, détachez la politique AWSCloud9User gérée du groupe. Ajoutez ensuite la politique gérée par le client à la place. Si vous ne détachez pas la politique gérée par AWSCloud9User, la politique gérée par le client suivante ne s'applique pas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La politique précédente gérée par le client permet également à ces utilisateurs de créer SSH des environnements. Pour empêcher ces utilisateurs de créer complètement SSH des environnements, supprimez "cloud9:CreateEnvironmentSSH", de la politique précédente gérée par le client.
Permettre aux utilisateurs d'un groupe de créer un seul EC2 environnement dans chaque groupe Région AWS
La politique gérée par le client suivante, lorsqu'elle est attachée à un AWS Cloud9 groupe d'utilisateurs, permet à chacun de ces utilisateurs de créer au maximum un EC2 environnement dans chaque Région AWS environnement AWS Cloud9 disponible dans. C'est possible en limitant le nom de l'environnement à un nom spécifique dans cette Région AWS. Dans cet exemple, l'environnement est limité à my-demo-environment.
Note
AWS Cloud9 ne permet pas de restreindre la création d'environnements Régions AWS à des conditions spécifiques. AWS Cloud9 ne permet pas non plus de restreindre le nombre total d'environnements pouvant être créés. La seule exception concerne les limites de service publiées.
Pour un groupe d' AWS Cloud9 utilisateurs, détachez la politique AWSCloud9User gérée du groupe, puis ajoutez la politique gérée par le client suivante à sa place. Si vous ne détachez pas la politique gérée par AWSCloud9User, la politique gérée par le client suivante ne s'applique pas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
La politique précédente gérée par le client permet à ces utilisateurs de créer SSH des environnements. Pour empêcher ces utilisateurs de créer complètement SSH des environnements, supprimez "cloud9:CreateEnvironmentSSH", de la politique précédente gérée par le client.
Pour obtenir plus d’exemples, consultez Exemples de politiques gérées par le client.
