Menggunakan AWS CloudShell untuk bekerja dengan AWS Control Tower - AWS Control Tower
Memperoleh izin IAM untuk AWS CloudShellBerinteraksi dengan menggunakan AWS Control TowerAWS CloudShell

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS CloudShell untuk bekerja dengan AWS Control Tower

AWS CloudShell adalah AWS layanan yang memfasilitasi bekerja di AWS CLI — ini adalah shell berbasis browser dan pra-otentikasi yang dapat Anda luncurkan langsung dari. AWS Management ConsoleTidak perlu mengunduh atau menginstal alat baris perintah. Anda dapat menjalankan AWS CLI perintah untuk AWS Control Tower dan AWS layanan lainnya dari shell pilihan Anda (Bash, PowerShell atau Z shell).

Saat Anda meluncurkan AWS CloudShell dari AWS Management Console, AWS kredensil yang Anda gunakan untuk masuk ke konsol tersedia di sesi shell baru. Anda dapat melewatkan memasukkan kredensi konfigurasi saat berinteraksi dengan AWS Control Tower dan AWS layanan lainnya, dan Anda akan menggunakan AWS CLI versi 2, yang sudah diinstal sebelumnya di lingkungan komputasi shell. Anda sudah diautentikasi sebelumnya. AWS CloudShell

Memperoleh izin IAM untuk AWS CloudShell

AWS Identity and Access Management menyediakan sumber daya manajemen akses yang memungkinkan administrator memberikan izin kepada pengguna IAM dan pengguna Pusat Identitas IAM untuk diakses. AWS CloudShell

Cara tercepat bagi administrator untuk memberikan akses ke pengguna adalah melalui kebijakan AWS terkelola. KebijakanAWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan AWS terkelola berikut ini CloudShell dapat dilampirkan ke identitas IAM:

  • AWSCloudShellFullAccess: Memberikan izin untuk menggunakan AWS CloudShell dengan akses penuh ke semua fitur.

Jika Anda ingin membatasi cakupan tindakan yang dapat dilakukan oleh pengguna IAM atau IAM Identity Center AWS CloudShell, Anda dapat membuat kebijakan kustom yang menggunakan kebijakan AWSCloudShellFullAccess terkelola sebagai templat. Untuk informasi selengkapnya tentang membatasi tindakan yang tersedia bagi pengguna CloudShell, lihat Mengelola AWS CloudShell akses dan penggunaan dengan kebijakan IAM di PanduanAWS CloudShell Pengguna.

catatan

Identitas IAM Anda juga memerlukan kebijakan yang memberikan izin untuk melakukan panggilan. AWS Control TowerUntuk informasi selengkapnya, lihat Izin yang diperlukan untuk menggunakan AWS Control Tower konsol.

Berinteraksi dengan menggunakan AWS Control TowerAWS CloudShell

Setelah Anda meluncurkan AWS CloudShell dari AWS Management Console, Anda dapat segera mulai berinteraksi dengan AWS Control Tower dari antarmuka baris perintah. AWS CLI perintah bekerja dengan cara standar di CloudShell.

catatan

Saat menggunakan AWS CLI in AWS CloudShell, Anda tidak perlu mengunduh atau menginstal sumber daya tambahan apa pun. Anda sudah diautentikasi di dalam shell, jadi Anda tidak perlu mengonfigurasi kredensi sebelum melakukan panggilan.

Peluncuran AWS CloudShell

  • Dari AWS Management Console, Anda dapat meluncurkan CloudShell dengan memilih opsi berikut yang tersedia di bilah navigasi:

    • Pilih CloudShell ikon.

    • Mulai mengetik “cloudshell” di kotak Pencarian dan kemudian pilih opsi. CloudShell

    Sekarang setelah Anda mulai CloudShell, Anda dapat memasukkan AWS CLI perintah apa pun yang Anda perlukan untuk bekerja dengannya AWS Control Tower. Misalnya, Anda dapat memeriksa AWS Config status Anda.

Menggunakan AWS CloudShell untuk membantu mengatur AWS Control Tower

Sebelum melakukan prosedur ini, kecuali dinyatakan lain, Anda harus masuk ke Wilayah asal untuk landing zone Anda, dan Anda harus masuk sebagai pengguna IAM Identity Center atau pengguna IAM dengan izin administratif untuk akun manajemen yang berisi landing zone Anda. AWS Management Console

  1. Inilah cara Anda dapat menggunakan perintah AWS Config CLI AWS CloudShell untuk menentukan status perekam konfigurasi dan saluran pengiriman Anda sebelum Anda mulai mengonfigurasi AWS Control Tower landing zone Anda.

    Periksa AWS Config status Anda

    Lihat perintah:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Jika Anda memiliki AWS Config perekam atau saluran pengiriman yang perlu Anda hapus sebelum mengatur AWS Control Tower landing zone, berikut adalah beberapa perintah yang dapat Anda masukkan:

    Kelola sumber daya Anda yang sudah ada sebelumnya AWS Config

    Hapus perintah:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      penting

      Jangan hapus AWS Control Tower sumber daya untuk AWS Config. Hilangnya sumber daya ini dapat AWS Control Tower menyebabkan memasuki keadaan yang tidak konsisten.

    Untuk informasi selengkapnya, lihat dokumentasi AWS Config

  3. Contoh ini menunjukkan perintah AWS CLI yang akan Anda masukkan AWS CloudShell untuk mengaktifkan atau menonaktifkan akses tepercaya. AWS OrganizationsUntuk AWS Control Tower Anda tidak perlu mengaktifkan atau menonaktifkan akses tepercaya untuk AWS Organizations, itu hanya sebuah contoh. Namun, Anda mungkin perlu mengaktifkan atau menonaktifkan akses tepercaya untuk AWS layanan lain jika Anda mengotomatisasi atau menyesuaikan tindakan. AWS Control Tower

    Mengaktifkan atau menonaktifkan akses layanan tepercaya

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Buat bucket Amazon S3 dengan AWS CloudShell

Dalam contoh berikut, Anda dapat menggunakan AWS CloudShell untuk membuat bucket Amazon S3 dan kemudian menggunakan PutObjectmetode untuk menambahkan file kode sebagai objek di bucket tersebut.

  1. Untuk membuat bucket di AWS Region tertentu, masukkan perintah berikut di baris CloudShell perintah:

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Jika panggilan berhasil, baris perintah menampilkan respons dari layanan yang mirip dengan output berikut:

    {
    "Location": "/insert-unique-bucket-name-here"
}
    catatan

    Jika Anda tidak mematuhi aturan penamaan ember (hanya menggunakan huruf kecil, misalnya), kesalahan berikut akan ditampilkan: Terjadi kesalahan (InvalidBucketName) saat memanggil CreateBucket operasi: Bucket yang ditentukan tidak valid.

  2. Untuk mengunggah file dan menambahkannya sebagai objek ke bucket yang baru saja dibuat, panggil PutObject metode: 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Jika objek berhasil diunggah ke bucket Amazon S3, baris perintah menampilkan respons dari layanan yang mirip dengan output berikut:

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    ETagIni adalah hash dari objek yang telah disimpan. Ini dapat digunakan untuk memeriksa integritas objek yang diunggah ke Amazon S3.