IMPポリシー内でのアクセスおよび使用の管理AWS CloudShell - AWS CloudShell

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IMPポリシー内でのアクセスおよび使用の管理AWS CloudShell

によって提供できるアクセス管理リソースでAWS Identity and Access Management(IAM) では、管理者は IAM ユーザーにアクセス許可を付与できます。そうすれば、これらのユーザーはアクセスできますAWS CloudShellそして環境の機能を使用してください。管理者は、ユーザーがシェル環境で実行できるアクションをきめ細かく指定するポリシーを作成することもできます。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS マネージドポリシーを介した方法です。AWS マネージドポリシーは、AWS で作成および管理されるスタンドアロンポリシーです。AWS CloudShell 用に次の AWS マネージドポリシーを IAM アイデンティティにアタッチできます。

  • AWSCloudShellFullAccess: を使用するアクセス許可を付与しますAWS CloudShellすべての機能に完全にアクセスできます。

-AWSCloudShellFullAccessポリシーでは、ワイルドカード (*) 文字を使用して、IAM アイデンティティ (ユーザー、ロール、もしくはグループ) にAWS CloudShellおよび機能。また、 を使用することもできます AWSCloudShellFullAccess ポリシーは、許可されたユーザーアクションに関してより限定的なカスタムポリシーのテンプレートとして使用されます。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }] }
注記

以下の IAM アイデンティティAWS管理ポリシーも起動可能AWS CloudShell。ただし、これらのポリシーには広範な権限があります。そのため、IAM ユーザーのジョブロールに必須である場合にのみこれらのポリシーを付与することをお勧めします。

  • 管理者: IAM ユーザーにフルアクセスを提供し、のあらゆるサービスおよびリソースにアクセス許可を委任できますAWS。

  • 開発者パワーユーザー: IAM ユーザーが、アプリケーション開発タスクを実行し、をサポートするリソースとサービスを作成および設定できますAWSアプリケーション開発を意識する。

管理ポリシーのアタッチの詳細については、「」を参照してください。IAM ID アクセス許可の追加 (コンソール)IAM ユーザーガイド

AWS CloudShell でカスタムポリシーを使用して、許可されるアクションを管理する

IAM ユーザーが実行できるアクションを管理するにはAWS CloudShell、を使用するカスタムポリシーの作成 AWSCloudShellFullAccess テンプレートとしての管理ポリシー。または、インラインポリシーこれは、関連する IAM アイデンティティ (ユーザー、グループ、またはロール) に埋め込まれています。

例えば、ユーザーが AWS CloudShell にアクセスできるけれども、シェル環境内でファイルをアップロードまたはダウンロードできないようにします。AWS CloudShell へのアクセスを明示的に拒否できます。

重要

IAM ユーザーが AWS Management Console から AWS CloudShell を開始するには、次のアクションについてアクセス許可が必要です。

  • CreateEnvironment

  • CreateSession

  • GetEnvironmentStatus

  • StartEnvironment

これらのアクションのいずれかがアタッチされたポリシーによって明示的に許可されていない場合、の起動時に IAM アクセス許可エラーが返されます CloudShell。

AWS CloudShell のアクセス許可
名前 付与されたアクセス許可の説明 起動に必要 CloudShell?

cloudshell:CreateEnvironment

の作成 CloudShell 環境

はい

cloudshell:CreateSession

にConnect CloudShell からの環境AWS Management Console

はい

cloudshell:GetEnvironmentStatus

のステータスを読み取ってください CloudShell 環境

はい

cloudshell:DeleteEnvironment

の削除 CloudShell 環境

いいえ

cloudshell:GetFileDownloadUrls

からファイルをダウンロードしてください CloudShell ローカルマシンに

いいえ

cloudshell:GetFileUploadUrls

ローカルマシンからにファイルをアップロードしてください CloudShell

いいえ

cloudshell:PutCredentials

ログインに使用された認証情報をに転送してくださいAWS Management Consoleに CloudShell

いいえ

cloudshell:StartEnvironment

の起動 CloudShell 停止した環境

はい

cloudshell:StopEnvironment

の停止 CloudShell 実行環境

いいえ

の IAM ポリシーの例 CloudShell

次の例は、アクセス可能なユーザーを制限するためのポリシーの書き込み方法を示しています。AWS CloudShell。また、この例には、シェル環境で実行できるアクションも示されています。

次のポリシーでは、へのアクセスの完全に拒否しますAWS CloudShellとその特徴。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyCloudShell", "Effect": "Deny", "Action": [ "cloudshell:*" ], "Resource": "*" }] }

次のポリシーでは、IAM ユーザーのアクセスを許可しますAWS CloudShellただし、シェル環境でのファイルのアップロードとダウンロードをブロックします。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyUploadDownload", "Effect": "Deny", "Action": [ "cloudshell:GetFileDownloadUrls", "cloudshell:GetFileUploadUrls" ], "Resource": "*" }] }

次のポリシーでは、IAM ユーザーのアクセスを許可しますAWS CloudShell。ただし、このポリシーでは、ログインに使用した認証情報は使用できませんAWS Management Consoleへの転送から CloudShell 環境。このポリシーを持つ IAM ユーザーは、内で認証情報を手動で設定する必要がありますAWS CloudShell。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyCredentialForwarding", "Effect": "Deny", "Action": [ "cloudshell:PutCredentials" ], "Resource": "*" }] }

へのアクセス許可AWS のサービス

AWS CloudShellは、へのサインインに使用された IAM 認証情報を使用しますAWS Management Console。

注記

AWS マネジメントコンソールへのサインインに使用された IAM 認証情報を使用するには、IAM プリンシパルにcloudshell:PutCredentialsアクセス許可。

この事前認証機能はAWS CloudShell使い勝手が良くなりますAWS CLI。ただし、IAM ユーザーには、やはり明示的な許可が必要ですAWS のサービスコマンドラインから呼び出されます。

例えば、IAM ユーザーが Amazon S3 バケットを作成し、ファイルをオブジェクトとしてアップロードする必要があるとします。これらのアクションを明示的に許可するポリシーを作成できます。IAM コンソールにはインタラクティブなビジュアルエディタこれは、JSON 形式のポリシードキュメントを作成する手順をご案内します。ポリシーを作成した後、関連する IAM アイデンティティ (ユーザー、グループ、もしくはロール) にアタッチできます。

管理ポリシーのアタッチの詳細については、「」を参照してください。IAM ID アクセス許可の追加 (コンソール)IAM ユーザーガイド