AWS Cloud9 は新規顧客には利用できなくなりました。 AWS Cloud9 の既存のお客様は、通常どおりサービスを引き続き使用できます。[詳細はこちら](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# を使用するチームのカスタマー管理ポリシーの例 AWS Cloud9
以下に、グループのユーザーが AWS アカウント内に作成できる環境を制限するために使用できるポリシーの例をいくつか示します。
+ [グループ内のユーザーが環境を作成できないようにする](#setup-teams-policy-examples-prevent-environments)
+ [グループ内のユーザーが EC2 環境を作成できないようにする](#setup-teams-policy-examples-prevent-ec2-environments)
+ [グループ内のユーザーに特定の Amazon EC2 インスタンスタイプでのみ EC2 環境を作成することを許可する](#setup-teams-policy-examples-specific-instance-types)
+ [グループ内のユーザーがリージョンごとに 1 つの EC2 環境のみを作成できるようにする AWS](#setup-teams-policy-examples-single-ec2-environment)
## グループ内のユーザーが環境を作成できないようにする
次のカスタマー管理ポリシーは、 AWS Cloud9 ユーザーグループにアタッチすると、それらのユーザーが で環境を作成できないようにします AWS アカウント。これは、 の管理者ユーザーが環境の作成 AWS アカウント を管理する場合に便利です。それ以外の場合、ユーザーグループの AWS Cloud9 ユーザーはこれを行います。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
```
------
前述のカスタマー管理ポリシー`"Effect": "Allow"`は、 AWS Cloud9 ユーザーグループに既にアタッチされている`AWSCloud9User`管理ポリシー`"Resource": "*"`の `"Action": "cloud9:CreateEnvironmentEC2"`と `"cloud9:CreateEnvironmentSSH"` の を明示的に上書きします。
## グループ内のユーザーが EC2 環境を作成できないようにする
次のカスタマー管理ポリシーは、 AWS Cloud9 ユーザーグループにアタッチされると、それらのユーザーが に EC2 環境を作成できないようにします AWS アカウント。これは、 の管理者ユーザーが EC2 環境の作成 AWS アカウント を管理できるようにする場合に便利です。それ以外の場合、ユーザーグループの AWS Cloud9 ユーザーはこれを行います。これは、そのグループのユーザーが SSH 環境を作成できないようにするポリシーがアタッチ済みでないことを前提としています。アタッチ済みの場合、それらのユーザーは環境を作成できません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
```
------
前述のカスタマー管理ポリシーは、 AWS Cloud9 ユーザーグループに既にアタッチされている`AWSCloud9User`管理ポリシー`"Resource": "*"`の `"Action": "cloud9:CreateEnvironmentEC2"` `"Effect": "Allow"`の を明示的に上書きします。
## グループ内のユーザーに特定の Amazon EC2 インスタンスタイプでのみ EC2 環境を作成することを許可する
次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、ユーザーグループのユーザーは、 `t2`で から始まるインスタンスタイプのみを使用する EC2 環境を作成できます AWS アカウント。このポリシーは、そのグループのユーザーが EC2 環境を作成できないようにするポリシーをアタッチ済みでないことも前提としています。アタッチ済みの場合、それらのユーザーは EC2 環境を作成できません。
次のポリシーの `"t2.*"` は、別のインスタンスクラス (例: `"m4.*"`) に置き換えることができます。または、複数のインスタンスクラスやインスタンスタイプ (例: `[ "t2.*", "m4.*" ]` または `[ "t2.micro", "m4.large" ]`) に制限できます。
AWS Cloud9 ユーザーグループの場合は、`AWSCloud9User`管理ポリシーをグループからデタッチします。次に、その場所に、次のカスタマー管理ポリシーを追加します。`AWSCloud9User` マネージドポリシーをデタッチしないと、次のカスタマー管理ポリシーは効果がありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
前述のカスタマー管理ポリシーによって、そのユーザーの環境の作成も許可されます。これらのユーザーが SSH 環境を作成できないようにするには、前述のカスタマー管理ポリシーから `"cloud9:CreateEnvironmentSSH",` を削除します。
## グループ内のユーザーがそれぞれに 1 つの EC2 環境のみを作成することを許可する AWS リージョン
次のカスタマー管理ポリシーを AWS Cloud9 ユーザーグループにアタッチすると、各ユーザーは AWS リージョン AWS Cloud9 で使用できる各 に最大 1 つの EC2 環境を作成できます。これは、環境の名前をその AWS リージョン内で 1 つの特定の名前に制限することで行われます。この例では、環境は `my-demo-environment` に制限されています。
**注記**
AWS Cloud9 では、環境の作成を特定の に制限することはできません AWS リージョン 。 AWS Cloud9 また、 では、作成できる環境の総数の制限も有効になりません。唯一の例外は、公開されている[サービスの制限](limits.md)です。
AWS Cloud9 ユーザーグループの場合、グループから`AWSCloud9User`管理ポリシーをデタッチし、代わりに次のカスタマー管理ポリシーを追加します。`AWSCloud9User` マネージドポリシーをデタッチしないと、次のカスタマー管理ポリシーは効果がありません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
```
------
前述のカスタマー管理ポリシーによって、そのユーザーの SSH 環境の作成が許可されます。これらのユーザーが SSH 環境を作成できないようにするには、前述のカスタマー管理ポリシーから `"cloud9:CreateEnvironmentSSH",` を削除します。
その他の例については、「[お客様のマネージドポリシーの例](security-iam.md#auth-and-access-control-customer-policies-examples)」を参照してください。