AWS Cloud9 不再提供給新客戶。的現有客戶 AWS Cloud9 可以繼續正常使用服務。進一步了解
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Cloud9的小組適用的客戶受管政策範例
以下幾個政策範例可供您用來限制群組中的使用者能夠在 AWS 帳戶中建立的環境。
防止群組中的使用者建立環境
下列客戶受管政策連接到 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立環境 AWS 帳戶。如果您想要 中的管理員使用者管理建立環境 AWS 帳戶 ,這很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloud9:CreateEnvironmentEC2", "cloud9:CreateEnvironmentSSH" ], "Resource": "*" } ] }
上述客戶受管政策在已連接到 AWS Cloud9 使用者群組的受AWSCloud9User管政策"Resource": "*"中明確覆寫 "Effect": "Allow""Action": "cloud9:CreateEnvironmentEC2"和 "cloud9:CreateEnvironmentSSH" 上的 。
防止群組中的使用者建立 EC2 環境
下列客戶受管政策連接到 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立 EC2 環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立 EC2 環境 AWS 帳戶 ,這很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。此政策假設您並未同時連接防止該群組中使用者建立 SSH 環境的政策。否則,這些使用者無法建立環境。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*" } ] }
上述客戶受管政策在已連接到 AWS Cloud9 使用者群組的AWSCloud9User受管政策"Effect": "Allow""Action": "cloud9:CreateEnvironmentEC2""Resource": "*"中明確覆寫 上的 。
允許群組中的使用者建立只含有特定 Amazon EC2 執行個體類型的 EC2 環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可讓使用者群組中的使用者建立 EC2 環境,而這些環境僅使用 t2中的 開頭的執行個體類型 AWS 帳戶。此政策假設您並未同時連接防止該群組中的使用者建立 EC2 環境的政策。否則,這些使用者無法建立 EC2 環境。
您可以將下列政策中的 "t2.*" 取代為不同的執行個體類別 (例如 "m4.*")。或者,您可以限定其為多個執行個體類別或執行個體類型 (例如 [ "t2.*", "m4.*" ] 或 [
"t2.micro", "m4.large" ])。
對於 AWS Cloud9 使用者群組,從群組分離AWSCloud9User受管政策。接著,在其位置新增下列客戶受管政策。如果您未分離 AWSCloud9User 受管政策,下列客戶受管政策會沒有作用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloud9:CreateEnvironmentEC2", "Resource": "*", "Condition": { "StringLike": { "cloud9:InstanceType": "t2.*" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
上述客戶受管政策也可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境,請從上述客戶受管政策移除 "cloud9:CreateEnvironmentSSH",。
允許群組中的使用者在每個環境中僅建立單一 EC2 環境 AWS 區域
下列客戶受管政策連接到 AWS Cloud9 使用者群組時,可讓每個使用者在 AWS Cloud9 可用的每個 中建立最多一個 EC2 AWS 區域 環境。其作法是將環境的名稱限制為該 AWS 區域中的某個特定名稱。在此範例中,環境限制為 my-demo-environment。
注意
AWS Cloud9 不會啟用限制特定環境 AWS 區域 無法建立。 AWS Cloud9 也不會啟用限制可建立環境的整體數量。唯一的例外是發佈的服務限制。
對於 AWS Cloud9 使用者群組,從群組分離受AWSCloud9User管政策,然後新增下列客戶受管政策。如果您未分離 AWSCloud9User 受管政策,下列客戶受管政策沒有作用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentSSH", "cloud9:ValidateEnvironmentName", "cloud9:GetUserPublicKey", "cloud9:UpdateUserSettings", "cloud9:GetUserSettings", "iam:GetUser", "iam:ListUsers", "ec2:DescribeVpcs", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloud9:CreateEnvironmentEC2" ], "Resource": "*", "Condition": { "StringEquals": { "cloud9:EnvironmentName": "my-demo-environment" } } }, { "Effect": "Allow", "Action": [ "cloud9:DescribeEnvironmentMemberships" ], "Resource": [ "*" ], "Condition": { "Null": { "cloud9:UserArn": "true", "cloud9:EnvironmentId": "true" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } } ] }
上述客戶受管政策可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境,請從上述客戶受管政策移除 "cloud9:CreateEnvironmentSSH",。
如需更多範例,請參閱客戶受管政策範例。
