Obtenir les autorisations IAM pour AWS CloudShell Interaction avec IAM

AWS CloudShell À utiliser pour travailler avec AWS Identity and Access Management

AWS CloudShell est un shell pré-authentifié basé sur un navigateur que vous pouvez lancer directement depuis le. AWS Management Console Vous pouvez exécuter des AWS CLI commandes sur AWS des services (y compris AWS Identity and Access Management) à l'aide de votre shell préféré (Bash PowerShell ou Z shell). Et vous pouvez le faire sans télécharger ou installer des outils de ligne de commande.

Vous lancez AWS CloudShell à partir de AWS Management Console, et les AWS informations d'identification que vous avez utilisées pour vous connecter à la console sont automatiquement disponibles dans une nouvelle session shell. Cette pré-authentification des AWS CloudShell utilisateurs vous permet d'ignorer la configuration des informations d'identification lorsque vous interagissez avec AWS des services tels que IAM à l'aide de AWS CLI la version 2 (préinstallée sur l'environnement informatique du shell).

Obtenir les autorisations IAM pour AWS CloudShell

À l'aide des ressources de gestion des accès fournies par AWS Identity and Access Management, les administrateurs peuvent accorder des autorisations aux utilisateurs IAM afin qu'ils puissent accéder aux fonctionnalités de l'environnement AWS CloudShell et les utiliser.

Le moyen le plus rapide pour un administrateur d'accorder l'accès aux utilisateurs est d'utiliser une politique AWS gérée. Une politique gérée par AWS est une politique autonome qui est créée et gérée par AWS. La politique AWS gérée suivante pour CloudShell peut être attachée aux identités IAM :

AWSCloudShellFullAccess: accorde l'autorisation d'utilisation AWS CloudShell avec un accès complet à toutes les fonctionnalités.

Si vous souhaitez limiter l'étendue des actions qu'un utilisateur IAM peut effectuer AWS CloudShell, vous pouvez créer une politique personnalisée qui utilise la stratégie AWSCloudShellFullAccess gérée comme modèle. Pour plus d'informations sur la limitation des actions disponibles pour les utilisateurs dans CloudShell, consultez la section Gestion de l' AWS CloudShell accès et de l'utilisation avec les politiques IAM dans le Guide de l'AWS CloudShell utilisateur.

Interaction avec IAM

Après le lancement AWS CloudShell depuis le AWS Management Console, vous pouvez immédiatement commencer à interagir avec IAM à l'aide de l'interface de ligne de commande.

Note

Lorsque vous AWS CLI l'utilisez AWS CloudShell, vous n'avez pas besoin de télécharger ou d'installer de ressources supplémentaires. De plus, comme vous êtes déjà authentifié dans le shell, vous n'avez pas besoin de configurer les informations d'identification avant d'effectuer des appels.

Créez un groupe IAM et ajoutez-y un utilisateur IAM à l'aide de AWS CloudShell

L'exemple suivant permet CloudShell de créer un groupe IAM, d'ajouter un utilisateur IAM au groupe, puis de vérifier que la commande a réussi.

À partir de AWS Management Console, vous pouvez lancer CloudShell en choisissant les options suivantes disponibles dans la barre de navigation :
- Choisissez l' CloudShell icône.
- Commencez à taper « cloudshell » dans le champ de recherche, puis choisissez l' CloudShelloption.

Pour créer un groupe IAM, entrez la commande suivante dans la ligne de CloudShell commande. Dans cet exemple, nous avons nommé le groupe east_coast :


aws iam create-group --group-name east_coast

Si l'appel aboutit, la ligne de commande affiche une réponse du service similaire au résultat suivant :



        {
           "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

Pour ajouter un utilisateur au groupe que vous avez créé, utilisez la commande suivante, en spécifiant le nom du groupe et le nom d'utilisateur. Dans cet exemple, nous avons nommé le groupe east_coast et l'utilisateur john :
```
aws iam add-user-to-group --group-name east_coast --user-name john
```

Pour vérifier que l'utilisateur fait partie du groupe, utilisez la commande suivante en spécifiant le nom du groupe. Dans cet exemple, nous continuons à utiliser le groupe east_coast :


aws iam get-group --group-name east_coast

Si l'appel aboutit, la ligne de commande affiche une réponse du service similaire au résultat suivant :



       {
         "Users": [
           {
               "Path": "/",
               "UserName": "john",
               "UserId": "AIDAYBDBW4JBXGEXAMPLE",
               "Arn": "arn:aws:iam::552108220995:user/john",
               "CreateDate": "2023-09-11T20:43:14+00:00",
               "PasswordLastUsed": "2023-09-11T20:59:14+00:00"
           }
         ],
         "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création de ressources IAM avec AWS CloudFormation

Travailler avec AWS SDKs