IMPポリシー内でのアクセスおよび使用の管理AWS CloudShell - AWS CloudShell

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IMPポリシー内でのアクセスおよび使用の管理AWS CloudShell

AWS Identity and Access Management(IAM) が提供できるアクセス管理リソースを使用して、管理者は IAM ユーザーににアクセス許可を付与できます。そうすれば、AWS CloudShellこれらのユーザーは環境の機能にアクセスして使用できます。管理者は、ユーザーがシェル環境で実行できるアクションをきめ細かく指定するポリシーを作成することもできます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS マネージドポリシーを介した方法です。AWS マネージドポリシーは、AWS で作成および管理されるスタンドアロンポリシーです。AWS CloudShell 用に次の AWS マネージドポリシーを IAM アイデンティティにアタッチできます。

  • AWSCloudShellFullAccess: すべての機能へのフルアクセス権のある AWS CloudShell を使用するためのアクセス許可を付与します。

AWSCloudShellFullAccessこのポリシーでは、ワイルドカード (*) 文字を使用して、IAM アイデンティティ (ユーザー、ロール、もしくはグループ) にCloudShellおよび機能へのアクセス許可を付与します。AWSCloudShellFullAccessこのポリシーを、許可されたユーザーアクションに関してより限定的なカスタムポリシーのテンプレートとして使用することもできます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }] }
注記

AWS以下の管理ポリシーを持つ IAM ID も起動できますCloudShell。ただし、これらのポリシーでは広範な権限が提供されます。そのため、IAM ユーザーのジョブロールに必須である場合にのみこれらのポリシーを付与することをお勧めします。

  • 管理者:IAM ユーザーは、フルアクセスをユーザーに提供し、の各サービスおよびリソースへのアクセス許可を委任できますAWS。

  • デベロッパーパワーユーザー:IAM ユーザーが、アプリケーション開発タスクを実行し、AWS対応アプリケーションの開発をサポートするリソースとサービスを作成および設定できます。

マネージドポリシーをアタッチする方法の詳細については、IAM ユーザーガイドの「IAM アイデンティー許可の追加 (コンソール)」を参照してください。

AWS CloudShell でカスタムポリシーを使用して、許可されるアクションを管理する

IAM ユーザーがを使用して実行できるアクションを管理するにはCloudShell、AWSCloudShellFullAccessその管理ポリシーをテンプレートとして使用するカスタムポリシーを作成します。または、関連する IAM アイデンティティ (ユーザー、グループ、もしくはロール) に埋め込まれているインラインポリシーを編集してください

例えば、ユーザーが CloudShell にアクセスできるけれども、シェル環境内でファイルをアップロードまたはダウンロードできないようにします。CloudShell へのアクセスを明示的に拒否できます。

重要

IAM ユーザーが AWS Management Console から AWS CloudShell を開始するには、次のアクションについてアクセス許可が必要です。

  • CreateEnvironment

  • CreateSession

  • GetEnvironmentStatus

  • StartEnvironment

これらのアクションのいずれかがアタッチされたポリシーによって明示的に許可されていない場合、起動しようとすると IAM アクセス許可エラーが返されますCloudShell。

AWS CloudShell のアクセス許可
名前 付与されたアクセス許可の説明 CloudShell起動する必要がありますか?

cloudshell:CreateEnvironment

CloudShell環境を作成し、CloudShellセッションの開始時にレイアウトを取得し、バックエンドのウェブアプリから現在のレイアウトを保存します

はい

cloudshell:CreateSession

CloudShellから環境Connect するAWS Management Console

はい

cloudshell:GetEnvironmentStatus

CloudShell環境のステータスを読み取ってください

はい

cloudshell:DeleteEnvironment

CloudShell環境を削除する

いいえ

cloudshell:GetFileDownloadUrls

CloudShellローカルマシンにファイルをダウンロードしてください

いいえ

cloudshell:GetFileUploadUrls

ローカルマシンからファイルをアップロードしてくださいCloudShell

いいえ

cloudshell:PutCredentials

AWS Management Consoleログインに使用した認証情報をに転送してくださいCloudShell

いいえ

cloudshell:StartEnvironment

CloudShell停止した環境を起動する

はい

cloudshell:StopEnvironment

CloudShell実行中の環境を停止してください

いいえ

の IAM ポリシーの例CloudShell

次の例は、アクセス可能なユーザーを制限するためのポリシーの書き込み方法を示していますCloudShell。これらの例は、シェル環境で実行可能なアクションを示しています。

次のポリシーは、CloudShellとその機能へのアクセスの完全に拒否します。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyCloudShell", "Effect": "Deny", "Action": [ "cloudshell:*" ], "Resource": "*" }] }

次のポリシーでは、IAMCloudShell ユーザーにはアクセスを許可しますが、シェル環境でのファイルのアップロードとダウンロードをブロックします。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyUploadDownload", "Effect": "Deny", "Action": [ "cloudshell:GetFileDownloadUrls", "cloudshell:GetFileUploadUrls" ], "Resource": "*" }] }

次のポリシーでは、IAMCloudShell ユーザーにアクセスを許可します。ただし、このポリシーでは、ログインに使用した認証情報がCloudShell環境に転送されるのを防止します。AWS Management Consoleこのポリシーを持つIAM ユーザーは、内で認証情報を手動で設定する必要がありますCloudShell。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyCredentialForwarding", "Effect": "Deny", "Action": [ "cloudshell:PutCredentials" ], "Resource": "*" }] }

アクセス権限AWS のサービス

CloudShellは、へのサインインに使用された IAM 認証情報を使用しますAWS Management Console。

注記

へのサインインに使用された IAM 認証情報を使用するにはAWS Management Console、cloudshell:PutCredentials許可が必要です。

のこの事前認証機能はCloudShell、を使用するうえで便利ですAWS CLI。ただし、IAM ユーザーには、コマンドラインから呼び出されるAWS のサービスのに対して、明示的なアクセス許可が必要です。

例えば、IAM ユーザーが Amazon S3 バケットを作成し、ファイルをオブジェクトとしてアップロードする必要があるとします。これらのアクションを明示的に許可するポリシーを作成できます。IAM コンソールには、JSON 形式のポリシードキュメントを作成する手順をご案内するインタラクティブなビジュアルエディタが用意されています。ポリシーを作成した後、関連する IAM アイデンティティ (ユーザー、グループ、もしくはロール) にアタッチできます。

マネージドポリシーをアタッチする方法の詳細については、IAM ユーザーガイドの「IAM アイデンティー許可の追加 (コンソール)」を参照してください。