管理AWS CloudShellIAM ポリシーでのアクセスと使用 - AWS CloudShell

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理AWS CloudShellIAM ポリシーでのアクセスと使用

によって提供されるアクセス管理リソースを使用してAWS Identity and Access Management(IAM) では、管理者が IAM ユーザーにアクセス許可を付与して、へのアクセスを許可できます。AWS CloudShell環境の機能を使用します。管理者は、ユーザーがシェル環境で実行できるアクションをきめ細かく指定するポリシーを作成することもできます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS管理ポリシー。AnAWS 管理ポリシーは、が作成および管理するスタンドアロンポリシーです。AWS。以下のようになりますAWS用の管理ポリシーAWS CloudShellIAM アイデンティティにアタッチできます。

  • AWSCloudShellFullAccess: を使用するアクセス許可を付与しますAWS CloudShellすべての機能に完全にアクセスできます。

-AWSCloudShellFullAccessポリシーでは、ワイルドカード(*)文字を使用して、IAM ID(ユーザー、ロール、またはグループ)にAWS CloudShellと機能 また、 を使用することもできます AWSCloudShellFullAccess ポリシーは、許可されたユーザーアクションに関してより制限が厳しいカスタムポリシーのテンプレートです。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }] }
注記

での IAM アイデンティティAWS以下に示す管理ポリシーも起動できますAWS CloudShell。しかし、これらのポリシーは非常に広範なアクセス権限を提供するため、最小権限の原則は、IAM ユーザーのジョブロールに必須である場合にのみ付与する必要があります。

  • 管理者: ユーザーにフルアクセスを許可し、のあらゆるサービスおよびリソースにアクセス許可を委任できます。AWS。

  • 開発者パワーユーザー: アプリケーション開発タスクを実行し、をサポートするリソースとサービスを作成および設定できます。AWS-アプリケーション開発を意識する。

管理ポリシーのアタッチの詳細については、「」IAM ID アクセス許可の追加 (コンソール)IAM ユーザーガイド

で許可されるアクションを管理するAWS CloudShellカスタムポリシーを使用する

IAM ユーザーが実行できるアクションの範囲を管理するにはAWS CloudShellでは、を使用するカスタムポリシーを作成できます。 AWSCloudShellFullAccess テンプレートとしての管理ポリシー。または、インラインポリシーこれは、関連する IAM アイデンティティ (ユーザー、グループ、またはロール) に埋め込まれています。

たとえば、へのアクセスをユーザーに許可することができます。AWS CloudShellただし、シェル環境内でファイルをアップロードまたはダウンロードできないようにします。へのユーザーのアクセスを明示的に拒否できます。AWS CloudShell。

重要

を起動するにはAWS CloudShellからのAWS Management Consoleでは、IAM ユーザーは次のアクションに対するアクセス権限が必要です。

  • CreateEnvironment

  • CreateSession

  • GetEnvironmentStatus

  • StartEnvironment

これらのアクションのいずれかがアタッチされたポリシーによって明示的に許可されていない場合、CloudShell の起動時に IAM アクセス権限エラーが返されます。

AWS CloudShell のアクセス許可
[Name] (名前) 付与されたパーミッションの説明 CloudShell を起動するために必要

cloudshell:CreateEnvironment

の作成 CloudShell 環境

はい

cloudshell:CreateSession

Connect する CloudShell 環境からAWS Management Console

はい

cloudshell:GetEnvironmentStatus

のステータスを読む CloudShell 環境

はい

cloudshell:DeleteEnvironment

の削除 CloudShell 環境

いいえ

cloudshell:GetFileDownloadUrls

からファイルをダウンロードします。 CloudShell ローカルマシンへ

いいえ

cloudshell:GetFileUploadUrls

ローカルマシンから CloudShell にファイルをアップロードする

いいえ

cloudshell:PutCredentials

へのログインに使用する認証情報を転送します。AWS Management ConsoleCloudShell へ

いいえ

cloudshell:StartEnvironment

の起動 CloudShell 停止している環境

はい

cloudshell:StopEnvironment

の停止 CloudShell 稼働している環境

いいえ

CloudShell の IAM ポリシー例

次の例は、アクセスできるユーザーを制限するためのポリシーを作成する方法を示しています。AWS CloudShellと、シェル環境で実行できるアクション。

このポリシーは、への完全なアクセス拒否を強制します。AWS CloudShellとその機能

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyCloudShell", "Effect": "Deny", "Action": [ "cloudshell:*" ], "Resource": "*" }] }

このポリシーでは、へのアクセスをユーザーに許可します。AWS CloudShellただし、シェル環境でのファイルのアップロードとダウンロードをブロックします。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyUploadDownload", "Effect": "Deny", "Action": [ "cloudshell:GetFileDownloadUrls", "cloudshell:GetFileUploadUrls" ], "Resource": "*" }] }

次のポリシーでは、へのアクセスをユーザーに許可します。AWS CloudShellただし、ログインに使用した資格情報は禁止されます。AWS Management Consoleに転送されるから CloudShell 環境。このポリシーを使用するユーザーは、でクレデンシャルを手動で構成する必要があります。AWS CloudShell。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyCredentialForwarding", "Effect": "Deny", "Action": [ "cloudshell:PutCredentials" ], "Resource": "*" }] }

へのアクセス許可AWSサービス

AWS CloudShellは、へのサインインに使用した IAM 認証情報を使用します。AWS Management Console。の、この事前認証機能AWS CloudShell非常に便利に使えるAWS CLI。ただし、IAM ユーザーには引き続き明示的なアクセス許可が必要です。AWSコマンドラインから呼び出されるサービス。

たとえば、IAM ユーザーが Amazon S3 バケットを作成し、ファイルをオブジェクトとしてアップロードする必要がある場合、それらのアクションを明示的に許可するポリシーを作成できます。IAM コンソールは直感的に操作できます。ビジュアルエディタこれは、JSON 形式のポリシードキュメントを作成するプロセスについて説明します。ポリシーを作成した後、それを関連する IAM アイデンティティ (ユーザー、グループ、またはロール) にアタッチできます。

管理ポリシーのアタッチの詳細については、「」IAM ID アクセス許可の追加 (コンソール)IAM ユーザーガイド