Utilizzo AWS CloudShell per l'utilizzo con AWS Identity and Access Management - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo AWS CloudShell per l'utilizzo con AWS Identity and Access Management

AWS CloudShell è una shell preautenticata basata su browser che puoi avviare direttamente da. AWS Management ConsoleÈ possibile eseguire AWS CLI comandi sui AWS servizi (incluso AWS Identity and Access Management) utilizzando la shell preferita (Bash PowerShell o Z shell). E puoi farlo senza dover scaricare o installare strumenti da riga di comando.

Si avvia AWS CloudShell da AWS Management Console, e AWS le credenziali utilizzate per accedere alla console sono automaticamente disponibili in una nuova sessione di shell. Questa preautenticazione degli AWS CloudShell utenti consente di ignorare la configurazione delle credenziali quando si interagisce con AWS servizi come IAM utilizzando la AWS CLI versione 2 (preinstallata nell'ambiente di calcolo della shell).

Ottenere le autorizzazioni IAM per AWS CloudShell

Utilizzando le risorse di gestione degli accessi fornite da AWS Identity and Access Management, gli amministratori possono concedere le autorizzazioni agli utenti IAM in modo che possano accedere AWS CloudShell e utilizzare le funzionalità dell'ambiente.

Il modo più rapido per un amministratore di concedere l'accesso agli utenti è tramite una AWS policy gestita. Una policy gestita da AWS è una policy autonoma che viene creata e amministrata da AWS. La seguente policy AWS gestita per CloudShell può essere allegata alle identità IAM:

  • AWSCloudShellFullAccess: concede l'autorizzazione all'uso AWS CloudShell con accesso completo a tutte le funzionalità.

Se desideri limitare l'ambito di azioni che un utente IAM può eseguire AWS CloudShell, puoi creare una policy personalizzata che utilizzi la policy AWSCloudShellFullAccess gestita come modello. Per ulteriori informazioni sulla limitazione delle azioni disponibili per gli utenti in CloudShell, consulta Gestire AWS CloudShell l'accesso e l'utilizzo con le politiche IAM nella Guida per l'AWS CloudShell utente.

Interagire con IAM utilizzando AWS CloudShell

Dopo l'avvio AWS CloudShell da AWS Management Console, puoi iniziare immediatamente a interagire con IAM utilizzando l'interfaccia a riga di comando.

Nota

Quando si utilizza AWS CLI in AWS CloudShell, non è necessario scaricare o installare risorse aggiuntive. Inoltre, poiché hai già eseguito l'autenticazione alla shell, non è necessario configurare le credenziali prima di effettuare chiamate.

Crea un gruppo IAM e aggiungi un utente IAM al gruppo utilizzando AWS CloudShell

L'esempio seguente utilizza la creazione CloudShell di un gruppo IAM, l'aggiunta di un utente IAM al gruppo e la verifica dell'esito positivo del comando.

  1. Da AWS Management Console, puoi avviarlo CloudShell scegliendo le seguenti opzioni disponibili nella barra di navigazione:

    • Scegli l' CloudShell icona.

    • Inizia a digitare «cloudshell» nella casella di ricerca, quindi scegli l'opzione. CloudShell

  2. Per creare un gruppo IAM, inserisci il seguente comando nella riga di comando. CloudShell In questo esempio abbiamo denominato il gruppo east_coast:

    aws iam create-group --group-name east_coast

    Se la chiamata ha esito positivo, la riga di comando visualizza una risposta del servizio simile al seguente output:

    { "Group": { "Path": "/", "GroupName": "east_coast", "GroupId": "AGPAYBDBW4JBY3EXAMPLE", "Arn": "arn:aws:iam::111122223333:group/east_coast", "CreateDate": "2023-09-11T21:02:21+00:00" } }
  3. Per aggiungere un utente al gruppo creato, utilizza il seguente comando, specificando il nome e il nome utente del gruppo. In questo esempio abbiamo denominato il gruppo east_coast e l'utente johndoe:

    aws iam add-user-to-group --group-name east_coast --user-name johndoe
  4. Per verificare che l'utente sia nel gruppo, utilizza il seguente comando, specificando il nome del gruppo. In questo esempio continuiamo a utilizzare il gruppo east_coast:

    aws iam get-group --group-name east_coast

    Se la chiamata ha esito positivo, la riga di comando visualizza una risposta del servizio simile al seguente output:

    { "Users": [ { "Path": "/", "UserName": "johndoe", "UserId": "AIDAYBDBW4JBXGEXAMPLE", "Arn": "arn:aws:iam::552108220995:user/johndoe", "CreateDate": "2023-09-11T20:43:14+00:00", "PasswordLastUsed": "2023-09-11T20:59:14+00:00" } ], "Group": { "Path": "/", "GroupName": "east_coast", "GroupId": "AGPAYBDBW4JBY3EXAMPLE", "Arn": "arn:aws:iam::111122223333:group/east_coast", "CreateDate": "2023-09-11T21:02:21+00:00" } }