Utiliser AWS CloudShell pour travailler avec AWS Control Tower - AWS Control Tower
Obtention des autorisations IAM pour AWS CloudShellInteragir avec AWS Control Tower l'utilisation AWS CloudShell

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser AWS CloudShell pour travailler avec AWS Control Tower

AWS CloudShell est un AWS service qui facilite le travail dans la AWS CLI. Il s'agit d'un shell pré-authentifié basé sur un navigateur que vous pouvez lancer directement depuis le. AWS Management ConsoleIl n'est pas nécessaire de télécharger ou d'installer des outils de ligne de commande. Vous pouvez exécuter AWS CLI des commandes AWS Control Tower et d'autres AWS services à partir de votre shell préféré (shell Bash PowerShell ou Z).

Lorsque vous lancez AWS CloudShell depuis le AWS Management Console, les AWS informations d'identification que vous avez utilisées pour vous connecter à la console sont disponibles dans une nouvelle session shell. Vous pouvez ignorer la saisie de vos informations d'identification de configuration lorsque vous interagissez avec AWS Control Tower d'autres AWS services, et vous utiliserez la AWS CLI version 2, qui est préinstallée sur l'environnement informatique du shell. Vous êtes pré-authentifié avec. AWS CloudShell

Obtention des autorisations IAM pour AWS CloudShell

AWS Identity and Access Management fournit des ressources de gestion des accès qui permettent aux administrateurs d'accorder des autorisations d'accès aux utilisateurs IAM et aux utilisateurs d'IAM Identity Center. AWS CloudShell

Le moyen le plus rapide pour un administrateur d'accorder l'accès aux utilisateurs est d'utiliser une politique AWS gérée. Une politique gérée parAWS est une politique autonome qui est créée et gérée par AWS. La politique AWS gérée suivante pour CloudShell peut être attachée aux identités IAM :

  • AWSCloudShellFullAccess: accorde l'autorisation d'utilisation AWS CloudShell avec un accès complet à toutes les fonctionnalités.

Si vous souhaitez limiter l'étendue des actions qu'un utilisateur IAM ou IAM Identity Center peut effectuer AWS CloudShell, vous pouvez créer une politique personnalisée qui utilise la stratégie AWSCloudShellFullAccess gérée comme modèle. Pour plus d'informations sur la limitation des actions disponibles pour les utilisateurs dans CloudShell, consultez la section Gestion de l' AWS CloudShell accès et de l'utilisation avec les politiques IAM dans le Guide de l'AWS CloudShell utilisateur.

Note

Votre identité IAM nécessite également une politique qui accorde l'autorisation de passer des appels à AWS Control Tower. Pour plus d'informations, consultez la section Autorisations requises pour utiliser la AWS Control Tower console.

Interagir avec AWS Control Tower l'utilisation AWS CloudShell

Après le lancement AWS CloudShell depuis le AWS Management Console, vous pouvez immédiatement commencer à interagir avec AWS Control Tower depuis l'interface de ligne de commande. AWS CLI les commandes fonctionnent de manière standard dans CloudShell.

Note

Lorsque vous AWS CLI l'utilisez AWS CloudShell, vous n'avez pas besoin de télécharger ou d'installer de ressources supplémentaires. Vous êtes déjà authentifié dans le shell, vous n'avez donc pas besoin de configurer les informations d'identification avant de passer des appels.

Lancement AWS CloudShell

  • À partir de AWS Management Console, vous pouvez lancer CloudShell en choisissant les options suivantes disponibles dans la barre de navigation :

    • Choisissez l' CloudShell icône.

    • Commencez à taper « cloudshell » dans le champ de recherche, puis choisissez l' CloudShelloption.

    Maintenant que vous avez commencé CloudShell, vous pouvez saisir toutes AWS CLI les commandes dont vous avez besoin pour travailler AWS Control Tower. Par exemple, vous pouvez vérifier votre AWS Config statut.

Utilisation AWS CloudShell pour faciliter la configuration AWS Control Tower

Avant d'exécuter ces procédures, sauf indication contraire, vous devez être connecté à la AWS Management Console région d'origine de votre zone d'atterrissage, et vous devez être connecté en tant qu'utilisateur IAM Identity Center ou utilisateur IAM avec des autorisations administratives pour le compte de gestion contenant votre zone d'atterrissage.

  1. Voici comment vous pouvez utiliser les commandes AWS Config CLI AWS CloudShell pour déterminer l'état de votre enregistreur de configuration et de votre canal de diffusion avant de commencer à configurer votre zone AWS Control Tower d'atterrissage.

    Vérifiez votre AWS Config statut

    Commandes d'affichage :

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Si vous avez un AWS Config enregistreur ou un canal de diffusion existant que vous devez supprimer avant de configurer votre zone de AWS Control Tower landing zone, voici quelques commandes que vous pouvez saisir :

    Gérez vos ressources préexistantes AWS Config

    Commandes de suppression :

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Important

      Ne supprimez pas les AWS Control Tower ressources pour AWS Config. La perte de ces ressources peut AWS Control Tower entraîner l'entrée dans un état incohérent.

    Pour plus d'informations, consultez la documentation AWS Config

  3. Cet exemple montre les commandes AWS CLI AWS CloudShell à partir desquelles vous devez entrer pour activer ou désactiver l'accès sécurisé AWS Organizations. Car il AWS Control Tower n'est pas nécessaire d'activer ou de désactiver l'accès sécurisé pour AWS Organizations, ce n'est qu'un exemple. Toutefois, vous devrez peut-être activer ou désactiver l'accès sécurisé pour d'autres AWS services si vous automatisez ou personnalisez des actions dans. AWS Control Tower

    Activer ou désactiver l'accès aux services sécurisés

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Créez un compartiment Amazon S3 avec AWS CloudShell

Dans l'exemple suivant, vous pouvez AWS CloudShell créer un compartiment Amazon S3, puis utiliser la PutObjectméthode pour ajouter un fichier de code en tant qu'objet dans ce compartiment.

  1. Pour créer un bucket dans une AWS région spécifiée, entrez la commande suivante dans la ligne de CloudShell commande :

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Si l'appel aboutit, la ligne de commande affiche une réponse du service similaire au résultat suivant :

    {
    "Location": "/insert-unique-bucket-name-here"
}
    Note

    Si vous ne respectez pas les règles de dénomination des compartiments (en utilisant uniquement des lettres minuscules, par exemple), le message d'erreur suivant s'affiche : Une erreur s'est produite (InvalidBucketName) lors de l'appel de l' CreateBucket opération : Le compartiment spécifié n'est pas valide.

  2. Pour télécharger un fichier et l'ajouter en tant qu'objet au bucket qui vient d'être créé, appelez la PutObject méthode suivante : 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Si l'objet est correctement chargé dans le compartiment Amazon S3, la ligne de commande affiche une réponse du service similaire à la sortie suivante :

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    ETagIl s'agit du hachage de l'objet qui a été stocké. Il peut être utilisé pour vérifier l'intégrité de l'objet chargé sur Amazon S3.