Utilizzo AWS CloudShell per lavorare con AWS Control Tower - AWS Control Tower
Ottenere le autorizzazioni IAM per AWS CloudShellInterazione con l'utilizzo AWS Control TowerAWS CloudShell

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo AWS CloudShell per lavorare con AWS Control Tower

AWS CloudShell è un AWS servizio che facilita il lavoro nella AWS CLI: è una shell preautenticata basata su browser che puoi avviare direttamente da. AWS Management ConsoleNon è necessario scaricare o installare strumenti da riga di comando. Puoi eseguire AWS CLI comandi AWS Control Tower e altri AWS servizi dalla tua shell preferita (Bash PowerShell o Z shell).

All'avvio AWS CloudShell da AWS Management Console, le AWS credenziali utilizzate per accedere alla console sono disponibili in una nuova sessione di shell. Puoi saltare l'immissione delle credenziali di configurazione quando interagisci con AWS Control Tower altri AWS servizi e utilizzerai la AWS CLI versione 2, preinstallata nell'ambiente di calcolo della shell. Sei preautenticato con. AWS CloudShell

Ottenere le autorizzazioni IAM per AWS CloudShell

AWS Identity and Access Management fornisce risorse per la gestione degli accessi che consentono agli amministratori di concedere le autorizzazioni di accesso agli utenti IAM e agli utenti di IAM Identity Center. AWS CloudShell

Il modo più rapido per un amministratore di concedere l'accesso agli utenti è tramite una AWS policy gestita. Una policy gestita daAWS è una policy autonoma che viene creata e amministrata da AWS. La seguente policy AWS gestita per CloudShell può essere allegata alle identità IAM:

  • AWSCloudShellFullAccess: concede l'autorizzazione all'uso AWS CloudShell con accesso completo a tutte le funzionalità.

Se desideri limitare l'ambito di azioni che un utente IAM o un utente IAM Identity Center può eseguire AWS CloudShell, puoi creare una policy personalizzata che utilizzi la policy AWSCloudShellFullAccess gestita come modello. Per ulteriori informazioni sulla limitazione delle azioni disponibili per gli utenti in CloudShell, consulta Gestire AWS CloudShell l'accesso e l'utilizzo con le politiche IAM nella Guida per l'AWS CloudShell utente.

Nota

La tua identità IAM richiede anche una policy che conceda l'autorizzazione a effettuare chiamate a. AWS Control TowerPer ulteriori informazioni, consulta Autorizzazioni necessarie per utilizzare la AWS Control Tower console.

Interazione con l'utilizzo AWS Control TowerAWS CloudShell

Dopo l'avvio AWS CloudShell da AWS Management Console, puoi iniziare immediatamente a interagire AWS Control Tower dall'interfaccia a riga di comando. AWS CLI i comandi funzionano nel modo standard in CloudShell.

Nota

Quando si utilizza AWS CLI in AWS CloudShell, non è necessario scaricare o installare risorse aggiuntive. Sei già autenticato all'interno della shell, quindi non è necessario configurare le credenziali prima di effettuare chiamate.

Avvia AWS CloudShell

  • Da AWS Management Console, puoi avviarlo CloudShell scegliendo le seguenti opzioni disponibili nella barra di navigazione:

    • Scegli l' CloudShell icona.

    • Inizia a digitare «cloudshell» nella casella di ricerca, quindi scegli l'opzione. CloudShell

    Ora che hai iniziato CloudShell, puoi inserire tutti AWS CLI i comandi necessari per lavorare. AWS Control TowerAd esempio, puoi controllare il tuo AWS Config stato.

Utilizzo AWS CloudShell per facilitare la configurazione AWS Control Tower

Prima di eseguire queste procedure, salvo diversa indicazione, devi aver effettuato l' AWS Management Console accesso nella regione di origine della tua landing zone e devi aver effettuato l'accesso come utente IAM Identity Center o utente IAM con autorizzazioni amministrative per l'account di gestione che contiene la tua landing zone.

  1. Ecco come utilizzare i comandi AWS Config CLI AWS CloudShell per determinare lo stato del registratore di configurazione e del canale di distribuzione prima di iniziare a configurare la landing zone AWS Control Tower .

    Controlla il tuo stato AWS Config

    Comandi di visualizzazione:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Se disponi di un AWS Config registratore o di un canale di distribuzione esistente che devi eliminare prima di configurare la AWS Control Tower landing zone, ecco alcuni comandi che puoi inserire:

    Gestisci le tue risorse preesistenti AWS Config

    Elimina comandi:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Importante

      Non eliminare le AWS Control Tower risorse per AWS Config. La perdita di queste risorse può causare AWS Control Tower l'ingresso in uno stato incoerente.

    Per ulteriori informazioni, consultare la documentazione di AWS Config.

  3. Questo esempio mostra i comandi AWS CLI da cui inserire AWS CloudShell per abilitare o disabilitare l'accesso affidabile. AWS OrganizationsPoiché AWS Control Tower non è necessario abilitare o disabilitare l'accesso affidabile per AWS Organizations, questo è solo un esempio. Tuttavia, potrebbe essere necessario abilitare o disabilitare l'accesso affidabile per altri AWS servizi se si stanno automatizzando o personalizzando le azioni in. AWS Control Tower

    Abilitare o disabilitare l'accesso affidabile ai servizi

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Crea un bucket Amazon S3 con AWS CloudShell

Nell'esempio seguente, puoi utilizzare AWS CloudShell per creare un bucket Amazon S3 e quindi utilizzare il PutObjectmetodo per aggiungere un file di codice come oggetto in quel bucket.

  1. Per creare un bucket in una AWS regione specificata, inserisci il seguente comando nella riga di comando: CloudShell 

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Se la chiamata ha esito positivo, la riga di comando visualizza una risposta del servizio simile al seguente output:

    {
    "Location": "/insert-unique-bucket-name-here"
}
    Nota

    Se non rispettate le regole per la denominazione dei bucket (utilizzando solo lettere minuscole, ad esempio), viene visualizzato il seguente errore: Si è verificato un errore (InvalidBucketName) durante la chiamata dell' CreateBucket operazione: Il bucket specificato non è valido.

  2. Per caricare un file e aggiungerlo come oggetto al bucket appena creato, chiamate il metodo: PutObject 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Se l'oggetto viene caricato correttamente nel bucket Amazon S3, la riga di comando visualizza una risposta dal servizio simile al seguente output:

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    ETagÈ l'hash dell'oggetto che è stato archiviato. Può essere usato per verificare l'integrità dell'oggetto caricato su Amazon S3.