管理AWS CloudShellIAM ポリシーでのアクセスと使用 - AWS CloudShell

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理AWS CloudShellIAM ポリシーでのアクセスと使用

によって提供されるアクセス管理リソースを使用してAWS Identity and Access Management(IAM)、管理者は IAM ユーザーにアクセス権限を付与して、アクセスできるようにすることができます。AWS CloudShell環境の機能を使用します。管理者は、ユーザーがシェル環境で実行できるアクションをきめ細かく指定するポリシーを作成することもできます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS管理ポリシー。AnAWS 管理ポリシーは、が作成および管理するスタンドアロンポリシーですAWS。以下のようになりますAWS用の管理ポリシーAWS CloudShellIAM アイデンティティにアタッチできます。

  • AWS CloudShellFullAccess: を使用するアクセス許可を付与しますAWS CloudShellすべての機能へのフルアクセスが可能です。

-AWS CloudShellFullAccessポリシーでは、ワイルドカード (*) 文字を使用して IAM ID (ユーザー、ロール、またはグループ) にAWS CloudShellと機能。AWSCloudShellFullAccess ポリシーを、許可されたユーザーアクションに関してより限定的なカスタムポリシーのテンプレートとして使用することもできます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }] }
注記

での IAM アイデンティティAWS以下に示す管理ポリシーも起動できますAWS CloudShell。しかし、これらのポリシーは非常に広範なアクセス権限を提供するため、最小権限の原則は、IAM ユーザーのジョブロールに必須である場合にのみ付与する必要があります。

  • 管理者: ユーザーにフルアクセスを提供し、のあらゆるサービスおよびリソースにアクセス許可を委任できますAWS。

  • 開発者パワーユーザー: ユーザーがアプリケーション開発タスクを実行し、をサポートするリソースとサービスを作成および設定することができますAWSアプリケーション開発を認識します。

管理ポリシーのアタッチ方法の詳細については、「」を参照してください。IAM ID 権限の追加 (コンソール)IAM ユーザーガイド

で許可されるアクションを管理するAWS CloudShellカスタムポリシーの使用

IAM ユーザーが実行できるアクションの範囲を管理するにはAWS CloudShellでは、AWSCloudShellFullAccess 管理ポリシーをテンプレートとして使用するカスタムポリシーを作成できます。または、インラインポリシーこれは、関連する IAM アイデンティティ (ユーザー、グループ、またはロール) に埋め込まれています。

たとえば、ユーザーにアクセスを許可することができますAWS CloudShellただし、シェル環境内でファイルをアップロードまたはダウンロードできないようにします。へのユーザーのアクセスを明示的に拒否できますAWS CloudShell。

重要

を起動するにはAWS CloudShellからのAWS Management Consoleでは、IAM ユーザーは次のアクションに対するアクセス権限が必要です。

  • CreateEnvironment

  • CreateSession

  • GetEnvironmentStatus

  • StartEnvironment

これらのアクションのいずれかがアタッチされたポリシーによって明示的に許可されていない場合、CloudShell の起動時に IAM アクセス権限エラーが返されます。

AWS CloudShell アクセス権限
名前 付与されたパーミッションの説明 CloudShell の起動に必要?

cloudshell:CreateEnvironment

CloudShell 環境を作成する

あり

cloudshell:CreateSession

から CloudShell 環境Connect。AWS Management Console

あり

cloudshell:GetEnvironmentStatus

CloudShell 環境のステータスを読み取る

あり

cloudshell:DeleteEnvironment

CloudShell 環境を削除する

いいえ

cloudshell:GetFileDownloadUrls

CloudShell からローカルマシンにファイルをダウンロードする

いいえ

cloudshell:GetFileUploadUrls

ローカルマシンから CloudShell にファイルをアップロードする

いいえ

cloudshell:PutCredentials

へのログインに使用したクレデンシャルを転送します。AWS Management ConsoleCloudShell へ

いいえ

cloudshell:StartEnvironment

停止した CloudShell 環境を起動する

あり

cloudshell:StopEnvironment

実行中の CloudShell 環境を停止する

いいえ

CloudShell の IAM ポリシー例

次の例は、アクセス可能なユーザーを制限するためのポリシーの作成方法を示しています。AWS CloudShellシェル環境で実行可能なアクション。

このポリシーは、への完全なアクセス拒否を強制します。AWS CloudShellとその機能:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyCloudShell", "Effect": "Deny", "Action": [ "cloudshell:*" ], "Resource": "*" }] }

このポリシーでは、へのアクセスをユーザーに許可します。AWS CloudShellただし、シェル環境でのファイルのアップロードとダウンロードをブロックします。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyUploadDownload", "Effect": "Deny", "Action": [ "cloudshell:GetFileDownloadUrls", "cloudshell:GetFileUploadUrls" ], "Resource": "*" }] }

次のポリシーでは、へのアクセスをユーザーに許可しますAWS CloudShellただし、ログインに使用した資格情報は禁止されますAWS Management ConsoleCloudShell 環境に転送されるからです。このポリシーを使用するユーザーは、でクレデンシャルを手動で構成する必要があります。AWS CloudShell。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyCredentialForwarding", "Effect": "Deny", "Action": [ "cloudshell:PutCredentials" ], "Resource": "*" }] }

へのアクセス許可AWSのサービス

AWS CloudShellは、へのサインインに使用した IAM 認証情報を使用しますAWS Management Console。この事前認証機能AWS CloudShell非常に便利に使えるAWS CLI。ただし、IAM ユーザーには引き続き明示的なアクセス権限が必要です。AWSコマンドラインから呼び出されるサービス。

たとえば、IAM ユーザーが Amazon S3 バケットを作成し、ファイルをオブジェクトとしてアップロードする必要がある場合、それらのアクションを明示的に許可するポリシーを作成できます。IAM コンソールは直観的な機能を提供しますビジュアルエディタこれは、JSON 形式のポリシードキュメントを作成するプロセスについて説明します。ポリシーを作成したら、それを関連する IAM ID (ユーザー、グループ、またはロール) にアタッチできます。

管理ポリシーのアタッチ方法の詳細については、「」を参照してください。IAM ID 権限の追加 (コンソール)IAM ユーザーガイド