Verwenden von AWS CloudShell für die Arbeit mit AWS Control Tower - AWS Control Tower
Abrufen von IAM-Berechtigungen für AWS CloudShellInteraktion mit AWS Control Tower mithilfe von AWS CloudShell

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von AWS CloudShell für die Arbeit mit AWS Control Tower

AWS CloudShell ist ein - AWS Service, der die Arbeit in der AWS -CLI erleichtert – es ist eine browserbasierte, vorauthentifizierte Shell, die Sie direkt über die starten können AWS Management Console. Es ist nicht erforderlich, Befehlszeilen-Tools herunterzuladen oder zu installieren. Sie können AWS CLI Befehle für AWS Control Tower und andere - AWS Services von Ihrer bevorzugten Shell (Bash PowerShell oder Z-Shell) aus ausführen.

Wenn Sie über die starten AWS CloudShellAWS Management Console, sind die AWS Anmeldeinformationen, mit denen Sie sich bei der Konsole angemeldet haben, in einer neuen Shell-Sitzung verfügbar. Sie können die Eingabe Ihrer Konfigurationsanmeldeinformationen überspringen, wenn Sie mit AWS Control Tower und anderen - AWS Services interagieren, und Sie verwenden AWS CLI Version 2, die in der Rechenumgebung der Shell vorinstalliert ist. Sie sind mit vorauthentifiziert AWS CloudShell.

Abrufen von IAM-Berechtigungen für AWS CloudShell

AWS Identity and Access Management stellt Zugriffsverwaltungsressourcen bereit, mit denen Administratoren IAM-Benutzern und IAM-Identity-Center-Benutzern Berechtigungen für den Zugriff auf erteilen können AWS CloudShell.

Die schnellste Möglichkeit für einen Administrator, Benutzern Zugriff zu gewähren, ist eine von AWS verwaltete Richtlinie. Bei einer vonAWS verwalteten Richtlinie handelt es sich um eine eigenständige Richtlinie, die von AWSerstellt und verwaltet wird. Die folgende AWS verwaltete Richtlinie für CloudShell kann an IAM-Identitäten angehängt werden:

  • AWSCloudShellFullAccess: Gewährt die Berechtigung zur Verwendung AWS CloudShell von mit vollem Zugriff auf alle Funktionen.

Wenn Sie den Umfang der Aktionen einschränken möchten, die ein IAM-Benutzer oder IAM-Identity-Center-Benutzer mit ausführen kann AWS CloudShell, können Sie eine benutzerdefinierte Richtlinie erstellen, die die AWSCloudShellFullAccess verwaltete Richtlinie als Vorlage verwendet. Weitere Informationen zur Einschränkung der Aktionen, die Benutzern in zur Verfügung stehen CloudShell, finden Sie unter Verwalten von AWS CloudShell Zugriff und Nutzung mit IAM-Richtlinien im AWS CloudShell -Benutzerhandbuch.

Anmerkung

Ihre IAM-Identität erfordert auch eine Richtlinie, die die Berechtigung zum Aufrufen von erteilt AWS Control Tower. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für die Verwendung der AWS Control Tower Konsole.

Interaktion mit AWS Control Tower mithilfe von AWS CloudShell

Nachdem Sie AWS CloudShell über die gestartet haben AWS Management Console, können Sie sofort mit der Interaktion mit AWS Control Tower über die Befehlszeilenschnittstelle beginnen. - AWS CLI Befehle funktionieren standardmäßig in CloudShell.

Anmerkung

Wenn Sie AWS CLI in verwenden AWS CloudShell, müssen Sie keine zusätzlichen Ressourcen herunterladen oder installieren. Sie sind bereits in der Shell authentifiziert, sodass Sie vor Aufrufen keine Anmeldeinformationen konfigurieren müssen.

Starten AWS CloudShell

  • In der können Sie starten AWS Management Console, CloudShell indem Sie die folgenden Optionen auswählen, die auf der Navigationsleiste verfügbar sind:

    • Wählen Sie das CloudShell Symbol aus.

    • Geben Sie „cloudshell“ in das Suchfeld ein und wählen Sie dann die CloudShell Option aus.

    Nachdem Sie nun gestartet haben CloudShell, können Sie alle AWS CLI Befehle eingeben, die Sie für die Arbeit mit benötigen AWS Control Tower. Sie können beispielsweise Ihren AWS Config Status überprüfen.

Verwenden von AWS CloudShell zur Unterstützung bei der Einrichtung von AWS Control Tower

Bevor Sie diese Verfahren ausführen, müssen Sie bei der AWS Management Console in der Heimatregion für Ihre Landing Zone angemeldet sein, und Sie müssen als IAM-Identity-Center-Benutzer oder IAM-Benutzer mit Administratorberechtigungen für das Verwaltungskonto angemeldet sein, das Ihre Landing Zone enthält.

  1. So können Sie AWS Config CLI-Befehle in verwenden AWS CloudShell , um den Status Ihres Konfigurations-Recorders und Übermittlungskanals zu bestimmen, bevor Sie mit der Konfiguration Ihrer AWS Control Tower Landing Zone beginnen.

    Überprüfen Ihres AWS Config Status

    Befehle anzeigen:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Wenn Sie über einen vorhandenen AWS Config Recorder oder Übermittlungskanal verfügen, den Sie löschen müssen, bevor Sie Ihre AWS Control Tower Landing Zone einrichten, können Sie hier einige Befehle eingeben:

    Verwalten bereits vorhandener AWS Config Ressourcen

    Befehle löschen:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Wichtig

      Löschen Sie nicht die AWS Control Tower Ressourcen für AWS Config . Der Verlust dieser Ressourcen kann dazu führen AWS Control Tower , dass in einen inkonsistenten Zustand wechselt.

    Weitere Informationen finden Sie in der AWS Config-Dokumentation.

  3. Dieses Beispiel zeigt AWS CLI-Befehle, die Sie eingeben würden AWS CloudShell , um den vertrauenswürdigen Zugriff für zu aktivieren oder zu deaktivieren AWS Organizations. Damit AWS Control Tower Sie den vertrauenswürdigen Zugriff für nicht aktivieren oder deaktivieren müssen AWS Organizations, ist dies nur ein Beispiel. Möglicherweise müssen Sie jedoch den vertrauenswürdigen Zugriff für andere - AWS Services aktivieren oder deaktivieren, wenn Sie Aktionen in automatisieren oder anpassen AWS Control Tower.

    Aktivieren oder Deaktivieren des vertrauenswürdigen Servicezugriffs

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Erstellen eines Amazon S3-Buckets mit AWS CloudShell

Im folgenden Beispiel können Sie verwenden, AWS CloudShell um einen Amazon S3-Bucket zu erstellen, und dann die -PutObjectMethode verwenden, um eine Codedatei als Objekt in diesem Bucket hinzuzufügen.

  1. Um einen Bucket in einer angegebenen AWS Region zu erstellen, geben Sie den folgenden Befehl in die CloudShell Befehlszeile ein:

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Wenn der Aufruf erfolgreich ist, zeigt die Befehlszeile eine Antwort des Services an, die der folgenden Ausgabe ähnelt:

    {
    "Location": "/insert-unique-bucket-name-here"
}
    Anmerkung

    Wenn Sie die Regeln für die Benennung von Buckets nicht einhalten (z. B. nur in Kleinbuchstaben), wird der folgende Fehler angezeigt: Beim Aufrufen der CreateBucket Operation ist ein Fehler (InvalidBucketName) aufgetreten: Der angegebene Bucket ist ungültig.

  2. Um eine Datei hochzuladen und sie als Objekt zum soeben erstellten Bucket hinzuzufügen, rufen Sie die -PutObjectMethode auf: 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Wenn das Objekt erfolgreich in den Amazon S3-Bucket hochgeladen wurde, zeigt die Befehlszeile eine Antwort vom Service ähnlich der folgenden Ausgabe an:

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    ist ETag der Hash des Objekts, das gespeichert wurde. Es kann verwendet werden, um die Integrität des in Amazon S3 hochgeladenen Objekts zu überprüfen.