AWS CloudShell Utilización para trabajar con AWS Control Tower - AWS Control Tower
Obtener permisos de IAM para AWS CloudShellInteractuar con AWS Control Tower el uso AWS CloudShell

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudShell Utilización para trabajar con AWS Control Tower

AWS CloudShell es un AWS servicio que facilita el trabajo en la AWS CLI: es un shell preautenticado y basado en un navegador que se puede iniciar directamente desde. AWS Management ConsoleNo es necesario descargar ni instalar herramientas de línea de comandos. Puedes ejecutar AWS CLI comandos AWS Control Tower y otros AWS servicios desde el shell que prefieras (Bash PowerShell o Z shell).

Cuando lo AWS CloudShell ejecutas desde AWS Management Console, las AWS credenciales que utilizaste para iniciar sesión en la consola están disponibles en una nueva sesión de shell. Puedes omitir la introducción de tus credenciales de configuración cuando interactúes con AWS Control Tower otros AWS servicios y utilizarás la AWS CLI versión 2, que viene preinstalada en el entorno informático del shell. AWS CloudShell

Obtener permisos de IAM para AWS CloudShell

AWS Identity and Access Management proporciona recursos de administración de acceso que permiten a los administradores conceder permisos de acceso a los usuarios de IAM y a los usuarios del Centro de Identidad de IAM. AWS CloudShell

La forma más rápida de que un administrador conceda acceso a los usuarios es mediante una AWS política gestionada. Una política administrada deAWS es una política independiente creada y administrada por AWS. La siguiente política AWS gestionada para se CloudShell puede adjuntar a las identidades de IAM:

  • AWSCloudShellFullAccess: Concede permiso de uso AWS CloudShell con acceso completo a todas las funciones.

Si desea limitar el alcance de las acciones con las que puede realizar un usuario de IAM o un usuario del Centro de Identidad de IAM AWS CloudShell, puede crear una política personalizada que utilice la política AWSCloudShellFullAccess gestionada como plantilla. Para obtener más información sobre cómo limitar las acciones que están disponibles para los usuarios CloudShell, consulte Administrar el AWS CloudShell acceso y el uso con políticas de IAM en laAWS CloudShell Guía del usuario.

nota

Su identidad de IAM también requiere una política que otorgue permiso para realizar llamadas a. AWS Control TowerPara obtener más información, consulte Permisos necesarios para usar la AWS Control Tower consola.

Interactuar con AWS Control Tower el uso AWS CloudShell

Después AWS CloudShell de iniciarlo desde AWS Management Console, puede empezar a interactuar inmediatamente con él AWS Control Tower desde la interfaz de línea de comandos. AWS CLI los comandos funcionan de forma estándar en CloudShell.

nota

AWS CLI Al usarlo AWS CloudShell, no es necesario descargar ni instalar ningún recurso adicional. Ya te has autenticado en el shell, por lo que no necesitas configurar las credenciales antes de realizar llamadas.

Lanzamiento AWS CloudShell

  • Desde el AWS Management Console, puede iniciar CloudShell seleccionando las siguientes opciones disponibles en la barra de navegación:

    • Selecciona el CloudShell icono.

    • Comience a escribir «cloudshell» en el cuadro de búsqueda y, a continuación, elija la CloudShell opción.

    Ahora que ha empezado CloudShell, puede introducir cualquier AWS CLI comando con AWS Control Towerel que necesite trabajar. Por ejemplo, puedes comprobar tu AWS Config estado.

Se utiliza AWS CloudShell para ayudar a configurar AWS Control Tower

Antes de realizar estos procedimientos, a menos que se indique lo contrario, debe iniciar sesión AWS Management Console en la región de origen de su zona de aterrizaje y debe iniciar sesión como usuario del IAM Identity Center o usuario de IAM con permisos administrativos para la cuenta de administración que contiene su zona de aterrizaje.

  1. A continuación, te explicamos cómo puedes usar los comandos AWS Config CLI AWS CloudShell para determinar el estado de tu grabadora de configuración y canal de entrega antes de empezar a configurar tu AWS Control Tower landing zone.

    Compruebe su AWS Config estado

    Comandos de visualización:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Si ya tienes una AWS Config grabadora o un canal de entrega que debes eliminar antes de configurar tu AWS Control Tower landing zone, puedes introducir estos comandos:

    Administra tus recursos preexistentes AWS Config

    Comandos de eliminación:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      importante

      No elimine los AWS Control Tower recursos de AWS Config. La pérdida de estos recursos puede AWS Control Tower provocar que entren en un estado incoherente.

    Para obtener más información, consulte la documentación de AWS Config.

  3. En este ejemplo, se muestran los comandos de AWS CLI que debe introducir AWS CloudShell para habilitar o deshabilitar el acceso de confianza AWS Organizations. Como AWS Control Tower no es necesario activar o desactivar el acceso de confianza AWS Organizations, este es solo un ejemplo. Sin embargo, es posible que tengas que habilitar o deshabilitar el acceso de confianza para otros AWS servicios si vas a automatizar o personalizar las acciones en ellos. AWS Control Tower

    Activa o desactiva el acceso a servicios de confianza

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Cree un bucket de Amazon S3 con AWS CloudShell

En el siguiente ejemplo, puede utilizar AWS CloudShell para crear un bucket de Amazon S3 y, a continuación, utilizar el PutObjectmétodo para añadir un archivo de código como objeto en ese bucket.

  1. Para crear un bucket en una AWS región específica, introduzca el siguiente comando en la línea de CloudShell comandos:

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Si la llamada se realiza correctamente, la línea de comandos muestra una respuesta del servicio similar a la siguiente salida:

    {
    "Location": "/insert-unique-bucket-name-here"
}
    nota

    Si no sigue las reglas para asignar nombres a los depósitos (por ejemplo, utilizando solo letras minúsculas), aparecerá el siguiente error: Se produjo un error (InvalidBucketName) al llamar a la CreateBucket operación: El depósito especificado no es válido.

  2. Para cargar un archivo y añadirlo como un objeto al depósito que se acaba de crear, llama al método: PutObject 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Si el objeto se carga correctamente en el bucket de Amazon S3, la línea de comandos muestra una respuesta del servicio similar a la siguiente salida:

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    ETagEs el hash del objeto que se ha almacenado. Se puede utilizar para comprobar la integridad del objeto cargado en Amazon S3.