AWS Cloud9를 사용한 팀용 고객 관리형 정책 예 - AWS Cloud9
그룹의 사용자가 환경을 생성하지 못하게 차단그룹의 사용자가 EC2 환경을 생성하지 못하도록 방지그룹의 사용자가 특정 Amazon EC2 인스턴스 유형이 있는 EC2 환경만 생성하도록 허용그룹의 사용자가 각 에서 단일 EC2 환경만 생성하도록 허용 AWS 리전

AWS Cloud9 는 더 이상 신규 고객이 사용할 수 없습니다. AWS Cloud9 의 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세히 알아보기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Cloud9를 사용한 팀용 고객 관리형 정책 예

다음은 그룹의 사용자가 AWS 계정에 생성할 수 있는 환경을 제한할 때 사용할 수 있는 정책의 일부 예입니다.

그룹의 사용자가 환경을 생성하지 못하게 차단

다음 고객 관리형 정책은 AWS Cloud9 사용자 그룹에 연결될 때 해당 사용자가 에서 환경을 생성하지 못하도록 합니다 AWS 계정. 이는 의 관리자 사용자가 환경 생성을 관리 AWS 계정 하도록 하려는 경우에 유용합니다. 그렇지 않으면 사용자 그룹의 AWS Cloud9 사용자가 이 작업을 수행합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloud9:CreateEnvironmentEC2",
        "cloud9:CreateEnvironmentSSH"
      ],
      "Resource": "*"
    }
  ]
}

앞의 고객 관리형 정책은 AWS Cloud9 사용자 그룹에 이미 연결된 AWSCloud9User 관리형 정책의 "Action": "cloud9:CreateEnvironmentEC2""cloud9:CreateEnvironmentSSH" "Resource": "*""Effect": "Allow" 대해 명시적으로 재정의됩니다.

그룹의 사용자가 EC2 환경을 생성하지 못하도록 방지

다음 고객 관리형 정책은 AWS Cloud9 사용자 그룹에 연결될 때 해당 사용자가 에서 EC2 환경을 생성하지 못하도록 합니다 AWS 계정. 이는 의 관리자 사용자가 EC2 환경 생성을 관리 AWS 계정 하도록 하려는 경우에 유용합니다. 그렇지 않으면 사용자 그룹의 AWS Cloud9 사용자가 이 작업을 수행합니다. 이렇게 하면 해당 그룹의 사용자가 SSH 환경을 생성하지 못하도록 하는 정책도 연결하지 않은 것으로 가정합니다. 그렇지 않으면 해당 사용자가 환경을 만들 수 없습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*"
    }
  ]
}

앞의 고객 관리형 정책은 AWS Cloud9 사용자 그룹에 이미 연결된 AWSCloud9User 관리형 정책"Resource": "*"에서 "Action": "cloud9:CreateEnvironmentEC2" 의 에 "Effect": "Allow" 대해 명시적으로 재정의됩니다.

그룹의 사용자가 특정 Amazon EC2 인스턴스 유형이 있는 EC2 환경만 생성하도록 허용

다음 고객 관리형 정책은 AWS Cloud9 사용자 그룹에 연결될 때 사용자 그룹의 사용자가 t2에서 로 시작하는 인스턴스 유형만 사용하는 EC2 환경을 생성할 수 있도록 허용합니다 AWS 계정. 이 정책은 해당 그룹의 사용자가 EC2 환경을 생성하지 못하도록 하는 정책도 연결하지 않았다고 가정합니다. 그렇지 않으면 해당 사용자가 EC2 환경을 생성할 수 없습니다.

다음 정책의 "t2.*"를 다른 인스턴스 클래스(예: "m4.*")로 바꿀 수 있습니다. 또는 여러 인스턴스 클래스 또는 인스턴스 유형(예: [ "t2.*", "m4.*" ] 또는 [ "t2.micro", "m4.large" ])으로 제한할 수 있습니다.

AWS Cloud9 사용자 그룹의 경우 그룹에서 AWSCloud9User 관리형 정책을 분리합니다. 그런 다음, 그 자리에 다음 고객 관리형 정책을 추가합니다. AWSCloud9User 관리형 정책을 분리하지 않으면 다음 고객 관리형 정책이 작동하지 않습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "cloud9:CreateEnvironmentEC2",
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloud9:InstanceType": "t2.*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

앞의 고객 관리형 정책을 통해 해당 사용자는 SSH 환경을 생성할 수도 있습니다. 이러한 사용자가 SSH 환경을 완전히 생성하지 못하도록 하려면 이전 고객 관리형 정책"cloud9:CreateEnvironmentSSH",에서 를 제거합니다.

그룹의 사용자가 각 에서 단일 EC2 환경만 생성하도록 허용 AWS 리전

다음 고객 관리형 정책은 AWS Cloud9 사용자 그룹에 연결될 때 각 사용자가 에서 AWS Cloud9 사용할 수 AWS 리전 있는 각 에 최대 하나의 EC2 환경을 생성할 수 있도록 허용합니다. 이를 위해 환경 이름을 해당 AWS 리전의 특정 이름으로 제한합니다. 이 예에서는 환경이 my-demo-environment로 제한됩니다.

참고

AWS Cloud9 는 환경을 특정 환경으로 제한하는 것을 활성화하지 않습니다. AWS Cloud9 또한 AWS 리전 는 생성할 수 있는 전체 환경 수를 제한하지 않습니다. 유일한 예외는 게시된 서비스 한도입니다.

AWS Cloud9 사용자 그룹의 경우 그룹에서 AWSCloud9User 관리형 정책을 분리한 다음 다음 고객 관리형 정책을 해당 위치에 추가합니다. AWSCloud9User 관리형 정책을 분리하지 않으면 다음 고객 관리형 정책이 작동하지 않습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentSSH",
        "cloud9:ValidateEnvironmentName",
        "cloud9:GetUserPublicKey",
        "cloud9:UpdateUserSettings",
        "cloud9:GetUserSettings",
        "iam:GetUser",
        "iam:ListUsers",
        "ec2:DescribeVpcs",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:CreateEnvironmentEC2"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "cloud9:EnvironmentName": "my-demo-environment"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloud9:DescribeEnvironmentMemberships"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Null": {
          "cloud9:UserArn": "true",
          "cloud9:EnvironmentId": "true"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": "cloud9.amazonaws.com"
        }
      }
    }
  ]
}

앞의 고객 관리형 정책을 통해 해당 사용자는 SSH 환경을 생성할 수 있습니다. 이러한 사용자가 SSH 환경을 완전히 생성하지 못하도록 하려면 이전 고객 관리형 정책"cloud9:CreateEnvironmentSSH",에서 를 제거합니다.

더 많은 예제는 고객 관리형 정책 예를 참조합니다.