Obtención de permisos de IAM para AWS CloudShell Interacción con IAM mediante AWS CloudShell

Utilización de AWS CloudShell para trabajar con AWS Identity and Access Management

AWS CloudShell es un shell previamente autenticado y basado en el navegador, que se puede lanzar directamente desde la página web de la AWS Management Console. Puede ejecutar comandos de AWS CLI contra servicios de AWS (incluido AWS Identity and Access Management) mediante el uso de su intérprete de comandos preferido (Bash, PowerShell o intérprete de comandos Z). Y puede hacerlo sin necesidad de descargar o instalar herramientas de línea de comandos.

Inicia AWS CloudShell desde la AWS Management Console y las credenciales de AWS que usó para iniciar sesión en la consola están automáticamente disponibles en una nueva sesión de intérprete de comandos. Esta autenticación previa de usuarios de AWS CloudShell le permite omitir la configuración de las credenciales cuando interactúa con servicios de AWS, como IAM, mediante la versión 2 de AWS CLI (preinstalada en el entorno de computación del intérprete de comandos).

Obtención de permisos de IAM para AWS CloudShell

Con los recursos de administración de acceso que proporciona AWS Identity and Access Management, los administradores pueden conceder permisos a los usuarios de IAM para que puedan acceder a AWS CloudShell y utilizar las características del entorno.

La forma más rápida de que un administrador conceda acceso a los usuarios es mediante una política administrada de AWS. Una política administrada de AWS es una política independiente creada y administrada por AWS. La siguiente política administrada de AWS para CloudShell se puede adjuntar a las identidades de IAM:

AWSCloudShellFullAccess: concede permiso para usar AWS CloudShell con acceso completo a todas las características.

Si desea limitar el alcance de las acciones que un usuario de IAM puede realizar con AWS CloudShell, puede crear una política personalizada que utilice la política administrada de AWSCloudShellFullAccess como plantilla. Para obtener más información sobre cómo limitar las acciones disponibles para los usuarios en CloudShell, consulte Administrar el AWS CloudShell acceso y el uso con políticas de IAM en la Guía del usuario de AWS CloudShell.

Interacción con IAM mediante AWS CloudShell

Tras lanzar AWS CloudShell desde la AWS Management Console, podrá empezar a interactuar inmediatamente con IAM mediante la interfaz de línea de comandos.

nota

Al usar AWS CLI en AWS CloudShell, no necesita descargar o instalar recursos adicionales. Además, dado que ya está autenticado en el intérprete de comandos, no tiene que configurar las credenciales antes de realizar llamadas.

Creación de un grupo de IAM y adición de un usuario de IAM al grupo mediante AWS CloudShell

En el siguiente ejemplo, se utiliza CloudShell para crear un grupo de IAM, agregar un usuario de IAM al grupo y, a continuación, verificar que el comando se ejecutó correctamente.

Desde la AWS Management Console, puede seleccionar las siguientes opciones disponibles en la barra de navegación para iniciar CloudShell:
- Elija el icono de CloudShell.
- Escriba “cloudshell” en el cuadro de búsqueda y, a continuación, elija la opción CloudShell.

Para crear un grupo de IAM, introduzca el siguiente comando en la línea de comandos de CloudShell. En este ejemplo, denominamos al grupo east_coast:


aws iam create-group --group-name east_coast

Si la llamada se realiza correctamente, la línea de comandos muestra una respuesta del servicio similar a la siguiente salida:



        {
           "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

Para agregar un usuario al grupo que creó, utilice el siguiente comando, especificando el nombre del grupo y del usuario. En este ejemplo, denominamos al grupo east_coast y al usuario johndoe:
```
aws iam add-user-to-group --group-name east_coast --user-name johndoe
```

Para verificar que el usuario está en el grupo, utilice el siguiente comando, especificando el nombre del grupo. En este ejemplo, continuamos usando el grupo east_coast:


aws iam get-group --group-name east_coast

Si la llamada se realiza correctamente, la línea de comandos muestra una respuesta del servicio similar a la siguiente salida:



       {
         "Users": [
           {
               "Path": "/",
               "UserName": "johndoe",
               "UserId": "AIDAYBDBW4JBXGEXAMPLE",
               "Arn": "arn:aws:iam::552108220995:user/johndoe",
               "CreateDate": "2023-09-11T20:43:14+00:00",
               "PasswordLastUsed": "2023-09-11T20:59:14+00:00"
           }
         ],
         "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Recursos de AWS CloudFormation

Uso de los AWS SDK