AWS Cloud9を使用したチームのカスタマー管理ポリシーの例 - AWS Cloud9
グループ内のユーザーが環境を作成できないようにするグループ内のユーザーが EC2 環境を作成できないようにするグループ内のユーザーに特定の Amazon EC2 インスタンスタイプでのみ EC2 環境を作成することを許可するグループ内のユーザーがそれぞれに 1 つの EC2 環境のみを作成することを許可する AWS リージョン

AWS Cloud9 は、新規顧客には利用できなくなりました。 AWS Cloud9 の既存のお客様は、通常どおりサービスを引き続き使用できます。詳細はこちら

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Cloud9を使用したチームのカスタマー管理ポリシーの例

以下に、グループのユーザーが AWS アカウント内に作成できる環境を制限するために使用できるポリシーの例をいくつか示します。

グループ内のユーザーが環境を作成できないようにする

次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、それらのユーザーは で環境を作成できなくなります AWS アカウント。これは、 の管理者ユーザーに環境の作成を管理 AWS アカウント させたい場合に便利です。それ以外の場合、 ユーザーグループの AWS Cloud9 ユーザーはこれを行います。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}

前述のカスタマー管理ポリシー"Effect": "Allow"は、 AWS Cloud9 ユーザーグループに既にアタッチされている AWSCloud9User管理ポリシー"Resource": "*""Action": "cloud9:CreateEnvironmentEC2"および "cloud9:CreateEnvironmentSSH"の を明示的に上書きします。

グループ内のユーザーが EC2 環境を作成できないようにする

次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、それらのユーザーは で EC2 環境を作成できなくなります AWS アカウント。これは、 の管理者ユーザーに EC2 環境の作成を管理 AWS アカウント させる場合に便利です。それ以外の場合、 ユーザーグループの AWS Cloud9 ユーザーはこれを行います。これは、そのグループのユーザーが SSH 環境を作成できないようにするポリシーがアタッチ済みでないことを前提としています。アタッチ済みの場合、それらのユーザーは環境を作成できません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

前述のカスタマー管理ポリシー"Effect": "Allow"は、 AWS Cloud9 ユーザーグループに既にアタッチされているAWSCloud9User管理ポリシー"Resource": "*""Action": "cloud9:CreateEnvironmentEC2"の を明示的に上書きします。

グループ内のユーザーに特定の Amazon EC2 インスタンスタイプでのみ EC2 環境を作成することを許可する

次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、ユーザーグループのユーザーは、 t2の で始まるインスタンスタイプのみを使用する EC2 環境を作成できます AWS アカウント。このポリシーは、そのグループのユーザーが EC2 環境を作成できないようにするポリシーをアタッチ済みでないことも前提としています。アタッチ済みの場合、それらのユーザーは EC2 環境を作成できません。

次のポリシーの "t2.*" は、別のインスタンスクラス (例: "m4.*") に置き換えることができます。または、複数のインスタンスクラスやインスタンスタイプ (例: [ "t2.*", "m4.*" ] または [ "t2.micro", "m4.large" ]) に制限できます。

AWS Cloud9 ユーザーグループの場合は、グループからAWSCloud9User管理ポリシーをデタッチします。次に、その場所に、次のカスタマー管理ポリシーを追加します。AWSCloud9User マネージドポリシーをデタッチしないと、次のカスタマー管理ポリシーは効果がありません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

前述のカスタマー管理ポリシーによって、そのユーザーの環境の作成も許可されます。これらのユーザーが SSH 環境を作成できないようにするには、前述のカスタマー管理ポリシーから "cloud9:CreateEnvironmentSSH", を削除します。

グループ内のユーザーがそれぞれに 1 つの EC2 環境のみを作成することを許可する AWS リージョン

次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、各ユーザーは AWS リージョン AWS Cloud9 で使用できる各 に最大 1 つの EC2 環境を作成できます。これは、環境の名前をその AWS リージョン内で 1 つの特定の名前に制限することで行われます。この例では、環境は my-demo-environment に制限されています。

注記

AWS Cloud9 では、環境を特定の に制限 AWS リージョン して作成することはできません。 AWS Cloud9 また、 では、作成できる環境の総数の制限も有効になりません。唯一の例外は、公開されているサービスの制限です。

AWS Cloud9 ユーザーグループの場合、 グループからAWSCloud9User管理ポリシーをデタッチし、代わりに次のカスタマー管理ポリシーを追加します。AWSCloud9User マネージドポリシーをデタッチしないと、次のカスタマー管理ポリシーは効果がありません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

前述のカスタマー管理ポリシーによって、そのユーザーの SSH 環境の作成が許可されます。これらのユーザーが SSH 環境を作成できないようにするには、前述のカスタマー管理ポリシーから "cloud9:CreateEnvironmentSSH", を削除します。

その他の例については、「お客様のマネージドポリシーの例」を参照してください。