AWS Cloud9 不再提供給新客戶。的現有客戶 AWS Cloud9 可以繼續正常使用服務。進一步了解
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Cloud9的小組適用的客戶受管政策範例
以下幾個政策範例可供您用來限制群組中的使用者能夠在 AWS 帳戶中建立的環境。
防止群組中的使用者建立環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立環境 AWS 帳戶。如果您想要 中的管理員使用者管理建立環境 AWS 帳戶 ,這會很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
在已連接至 AWS Cloud9 使用者群組"Effect": "Allow"的AWSCloud9User受管政策"Resource": "*"中,上述客戶受管政策明確覆寫 "Action": "cloud9:CreateEnvironmentEC2"和 "cloud9:CreateEnvironmentSSH" 上的 。
防止群組中的使用者建立EC2環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立EC2環境 AWS 帳戶。如果您想要 中的管理員使用者管理建立EC2環境 AWS 帳戶 ,這會很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。這假設您並未連接政策,以防止該群組中的使用者建立SSH環境。否則,這些使用者無法建立環境。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
在已連接至 AWS Cloud9 使用者群組的AWSCloud9User受管政策"Effect": "Allow""Action": "cloud9:CreateEnvironmentEC2""Resource": "*"中,上述客戶受管政策明確覆寫 上的 。
僅允許群組中的使用者建立具有特定 Amazon EC2執行個體類型EC2的環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可讓使用者群組中的使用者建立僅使用 t2 中開頭的執行個體類型EC2的環境 AWS 帳戶。此政策假設您並未連接政策,以防止該群組中的使用者建立EC2環境。否則,這些使用者無法建立EC2環境。
您可以將下列政策中的 "t2.*" 取代為不同的執行個體類別 (例如 "m4.*")。或者,您可以限定其為多個執行個體類別或執行個體類型 (例如 [ "t2.*", "m4.*" ] 或 [
"t2.micro", "m4.large" ])。
對於 AWS Cloud9 使用者群組,將AWSCloud9User受管政策與群組分離。接著,在其位置新增下列客戶受管政策。如果您未分離 AWSCloud9User 受管政策,下列客戶受管政策會沒有作用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
上述客戶受管政策也允許這些使用者建立SSH環境。若要防止這些使用者建立環境,"cloud9:CreateEnvironmentSSH",請從先前的客戶受管政策中移除 SSH 。
允許群組中的使用者在每個 中僅建立單一EC2環境 AWS 區域
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可讓每個使用者在 AWS 區域 AWS Cloud9 可用的每個 中建立最多一個EC2環境。其作法是將環境的名稱限制為該 AWS 區域中的某個特定名稱。在此範例中,環境限制為 my-demo-environment。
注意
AWS Cloud9 不會啟用限制特定環境 AWS 區域 的建立。 AWS Cloud9 也不會啟用限制可建立環境的整體數量。唯一的例外是發佈的服務限制。
對於 AWS Cloud9 使用者群組,從群組分離AWSCloud9User受管政策,然後在其中新增下列客戶受管政策。如果您未分離 AWSCloud9User 受管政策,下列客戶受管政策沒有作用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
上述客戶受管政策允許這些使用者建立SSH環境。若要防止這些使用者建立環境,"cloud9:CreateEnvironmentSSH",請從先前的客戶受管政策中移除 SSH 。
如需更多範例,請參閱客戶受管政策範例。
