A l'aide deAWS CloudShellpour travailler avecAWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

A l'aide deAWS CloudShellpour travailler avecAWS Control Tower

AWS CloudShellest unAWSservice qui facilite le travail dansAWSCLI — il s'agit d'un shell préauthentifié, basé sur un navigateur, que vous pouvez lancer directement à partir de laAWS Management Console. Il n'est pas nécessaire de télécharger ou d'installer des outils de ligne de commande. Vous pouvez exécuterAWS CLICommandes de l' pourAWS Control Toweret autresAWSservices depuis votre shell préféré (Bash, PowerShell ou coque Z).

Lorsque vouslancerAWS CloudShellà partir desAWS Management Console, leAWSles informations d'identification que vous avez utilisées pour vous connecter à la console sont disponibles dans une nouvelle session de shell. Vous pouvez ignorer la saisie de vos identifiants de configuration lorsque vous interagissez avecAWS Control Toweret autresAWSservices, et vous utiliserezAWS CLIversion 2, qui est préinstallée sur l'environnement de calcul du shell. Vous êtes pré-authentifié avecAWS CloudShell.

Obtention d'autorisations IAM pourAWS CloudShell

AWS Identity and Access Managementfournit des ressources de gestion des accès qui permettent aux administrateurs d'accorder des autorisations aux utilisateurs IAM pour accéder àAWS CloudShell.

Le moyen le plus rapide pour un administrateur d'accorder l'accès aux utilisateurs est d'utiliser unAWSpolitique gérée par. UnAWSpolitique géréeest une stratégie autonome qui est créée et gérée parAWS. Procédez comme suit :AWSpolitique gérée par pour CloudShell peuvent être associés à des identités IAM :

  • AWSCloudShellFullAccess: Accorde l'autorisation d'utiliserAWS CloudShellavec un accès complet à toutes les fonctions.

Si vous souhaitez limiter la portée des actions qu'un utilisateur IAM peut effectuer avecAWS CloudShell, vous pouvez créer une stratégie personnalisée qui utilise l'AWSCloudShellFullAccessstratégie gérée en tant que modèle. Pour plus d'informations sur la limitation des actions disponibles pour les utilisateurs dans CloudShell, voirGestion d'AWS CloudShellaccès et utilisation avec les politiques IAMdans leAWS CloudShellGuide de l'utilisateur.

Note

Votre identité IAM nécessite également une politique qui accorde l'autorisation de passer des appels versAWS Control Tower. Pour de plus amples informations, veuillez consulterAutorisations requises pour utiliser leAWS Control Towerconsole.

Interaction avecAWS Control Toweren utilisantAWS CloudShell

After launchAWS CloudShellà partir desAWS Management Console, vous pouvez immédiatement commencer à interagir avecAWS Control Towerà partir de l'interface de ligne de commande.AWS CLIles commandes fonctionnent de manière standard dans CloudShell.

Note

Lorsque vous utilisezAWS CLIdansAWS CloudShell, vous n'avez pas besoin de télécharger ni d'installer de ressources supplémentaires. Vous êtes déjà authentifié dans le shell, ce qui signifie que vous n'avez pas besoin de configurer les informations d'identification avant d'appeler.

Lancement d'AWS CloudShell

  • À partir de laAWS Management Console, vous pouvez lancer CloudShell en choisissant les options suivantes disponibles dans la barre de navigation :

    • Cliquez sur l'onglet CloudShell .

    • Commencez à saisir « cloudshell » dans la zone de recherche, puis choisissez l' CloudShelloption.

    Maintenant que tu as commencé CloudShell, vous pouvez saisir n'importe quelAWS CLIles commandes dont vous avez besoin pour travaillerAWS Control Tower. Par exemple, vous pouvez vérifier votreAWS ConfigÉtat.

A l'aide deAWS CloudShellpour vous aider à configurerAWS Control Tower

Avant d'effectuer ces procédures, sauf indication contraire, vous devez être connecté à laAWS Management Consolede la région d'origine pour votre landing zone, et vous devez être connecté en tant qu'utilisateur IAM avec des autorisations d'administration pour le compte de gestion qui contient votre landing zone.

  1. Voici comment vous pouvez utiliserAWS ConfigCommandes CLI dansAWS CloudShellpour déterminer l'état de votre enregistreur de configuration et de votre canal de livraison avant de commencer à configurer votreAWS Control Towerlanding zone.

    Vérifier votreAWS Configstatut

    Commandes d'affichage :

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Si vous avez un existantAWS Configenregistreur ou canal de diffusion que vous devez supprimer avant de configurerAWS Control Towerlanding zone, voici quelques commandes que vous pouvez saisir :

    Gérez vos préexistantsAWS Configressources

    Commandes de suppression :

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Important

      Ne supprimez pas leAWS Control Towerressources pour AWS Config. La perte de ces ressources peut entraînerAWS Control Towerpour entrer dans un état incohérent.

    Pour plus d'informations, consultez la documentation AWS Config

  3. Cet exemple illustre .AWSLes commandes CLI que vous devez saisir à partirAWS CloudShellpour activer ou désactiver l'accès approuvé par pourAWS Organizations. PourAWS Control Towervous n'avez pas besoin d'activer ou de désactiver l'accès approuvé pourAWS Organizations, ce n'est qu'un exemple. Toutefois, vous devrez sans doute activer ou désactiver l'accès approuvé pour les autresAWSservices si vous automatisez ou personnalisez des actions dansAWS Control Tower.

    Activer ou désactiver l'accès à un service approuvé

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Créez un compartiment Amazon S3 avecAWS CloudShell

Dans l'exemple suivant, vous pouvez utiliserAWS CloudShellpour créer un compartiment Amazon S3, puis utiliser laPutObjectpour ajouter un fichier de code en tant qu'objet dans ce compartiment.

  1. Pour créer un compartiment dans un compartiment spécifiéAWS, entrez la commande suivante dans la zone CloudShell ligne de commande :

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Si l'appel aboutit, la ligne de commande affiche une réponse du service similaire à la sortie suivante :

    { "Location": "/insert-unique-bucket-name-here" }
    Note

    Si vous ne respectez pas lesrègles relatives à l'attribution de noms aux compartiments(en utilisant uniquement des lettres minuscules, par exemple), le message d'erreur suivant s'affiche : Une erreur s'est produite (InvalidBucketName) lorsque vous appelez le CreateBucket . Le compartiment spécifié n'est pas valide.

  2. Pour télécharger un fichier et l'ajouter en tant qu'objet dans le compartiment qui vient d'être créé, appelez lePutObjectMéthode  :

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Si l'objet est correctement chargé dans le compartiment Amazon S3, la ligne de commande affiche une réponse du service similaire à la sortie suivante :

    { "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    LeETagest le hachage de l'objet qui a été stocké. Il peut être utilisé pourvérifier l'intégrité de l'objet chargé sur Amazon S3.