AWS Cloud9 不再提供給新客戶。 AWS Cloud9 的現有客戶可以繼續正常使用該服務。進一步了解
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Cloud9的小組適用的客戶受管政策範例
以下幾個政策範例可供您用來限制群組中的使用者能夠在 AWS 帳戶中建立的環境。
防止群組中的使用者建立環境
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立環境 AWS 帳戶 ,這會很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloud9:CreateEnvironmentEC2",
"cloud9:CreateEnvironmentSSH"
],
"Resource": "*"
}
]
}
上述客戶受管政策在已連接到 AWS Cloud9 使用者群組的AWSCloud9User受管政策"Resource": "*"中明確覆寫 "Effect": "Allow""Action": "cloud9:CreateEnvironmentEC2"和 "cloud9:CreateEnvironmentSSH" 上的 。
防止群組中的使用者建立 EC2 環境
下列客戶受管政策連接到 AWS Cloud9 使用者群組時,可防止這些使用者在 中建立 EC2 環境 AWS 帳戶。如果您希望 中的管理員使用者管理建立 EC2 環境 AWS 帳戶 ,這會很有用。否則,使用者群組中的 AWS Cloud9 使用者會執行此操作。此政策假設您並未同時連接防止該群組中使用者建立 SSH 環境的政策。否則,這些使用者無法建立環境。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*"
}
]
}
上述客戶受管政策會在已連接到 AWS Cloud9 使用者群組的AWSCloud9User受管政策"Effect": "Allow""Action": "cloud9:CreateEnvironmentEC2""Resource": "*"中明確覆寫 上的 。
允許群組中的使用者建立只含有特定 Amazon EC2 執行個體類型的 EC2 環境
下列客戶受管政策連接到 AWS Cloud9 使用者群組時,可讓使用者群組中的使用者建立 EC2 環境,這些環境僅使用 t2中開頭為 的執行個體類型 AWS 帳戶。此政策假設您並未同時連接防止該群組中的使用者建立 EC2 環境的政策。否則,這些使用者無法建立 EC2 環境。
您可以將下列政策中的 "t2.*" 取代為不同的執行個體類別 (例如 "m4.*")。或者,您可以限定其為多個執行個體類別或執行個體類型 (例如 [ "t2.*", "m4.*" ] 或 [
"t2.micro", "m4.large" ])。
對於 AWS Cloud9 使用者群組,從 群組分離 AWSCloud9User受管政策。接著,在其位置新增下列客戶受管政策。如果您未分離 AWSCloud9User 受管政策,下列客戶受管政策會沒有作用。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloud9:CreateEnvironmentEC2",
"Resource": "*",
"Condition": {
"StringLike": {
"cloud9:InstanceType": "t2.*"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
上述客戶受管政策也可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境,請從上述客戶受管政策移除 "cloud9:CreateEnvironmentSSH",。
允許群組中的使用者在每個環境中僅建立單一 EC2 環境 AWS 區域
下列客戶受管政策連接至 AWS Cloud9 使用者群組時,可讓這些使用者在每個 AWS Cloud9 可用的環境中建立最多一個 EC2 AWS 區域 環境。其作法是將環境的名稱限制為該 AWS 區域中的某個特定名稱。在此範例中,環境限制為 my-demo-environment。
AWS Cloud9 不會啟用限制特定環境 AWS 區域 的建立。 AWS Cloud9 也不會啟用限制可建立環境的整體數量。唯一的例外是發佈的服務限制。
對於 AWS Cloud9 使用者群組,從群組分離AWSCloud9User受管政策,然後在其位置新增下列客戶受管政策。如果您未分離 AWSCloud9User 受管政策,下列客戶受管政策沒有作用。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentSSH",
"cloud9:GetUserPublicKey",
"cloud9:UpdateUserSettings",
"cloud9:GetUserSettings",
"iam:GetUser",
"iam:ListUsers",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloud9:CreateEnvironmentEC2"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloud9:EnvironmentName": "my-demo-environment"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloud9:DescribeEnvironmentMemberships"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"cloud9:UserArn": "true",
"cloud9:EnvironmentId": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cloud9.amazonaws.com"
}
}
}
]
}
上述客戶受管政策可讓這些使用者建立 SSH 環境。若要完全防止這些使用者建立 SSH 環境,請從上述客戶受管政策移除 "cloud9:CreateEnvironmentSSH",。
如需更多範例,請參閱客戶管理政策範例。
