翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS CloudShell を使用して を操作する AWS Control Tower
AWS CloudShell は、 AWS CLI での作業を容易にする AWS のサービスです。ブラウザベースの事前認証済みシェルであり、 から直接起動できます AWS Management Console。コマンドラインツールをダウンロードまたはインストールする必要はありません。任意のシェル (Bash、 PowerShell または Z シェル) から、 AWS Control Tower およびその他の AWS サービスの AWS CLI コマンドを実行できます。
から を起動 AWS CloudShellAWS Management Consoleすると、コンソールへのサインインに使用した AWS 認証情報は、新しいシェルセッションで使用できます。 AWS Control Tower およびその他の AWS サービスとやり取りするときは、設定済みの認証情報の入力をスキップできます。シェルのコンピューティング環境にプリインストールされている AWS CLI バージョン 2 を使用します。 は事前認証済みです AWS CloudShell。
の IAM アクセス許可の取得 AWS CloudShell
AWS Identity and Access Management は、管理者が IAM ユーザーおよび IAM Identity Center ユーザーに へのアクセス許可を付与できるようにするアクセス管理リソースを提供します AWS CloudShell。
管理者がユーザーにアクセス権を付与する最も簡単な方法は、 AWS 管理ポリシーを使用することです。AWS マネージドポリシーは、 AWSが作成および管理するスタンドアロンポリシーです。の次の AWS マネージドポリシーを IAM ID にアタッチ CloudShell できます。
-
AWSCloudShellFullAccess: すべての機能へのフルアクセス AWS CloudShell で を使用するアクセス許可を付与します。
IAM ユーザーまたは IAM Identity Center ユーザーが で実行できるアクションの範囲を制限する場合は AWS CloudShell、 AWSCloudShellFullAccess管理ポリシーをテンプレートとして使用するカスタムポリシーを作成できます。でユーザーが使用できるアクションの制限の詳細については CloudShell、「 AWS CloudShell ユーザーガイド」の「IAM ポリシーによる AWS CloudShell アクセスと使用状況の管理」を参照してください。
注記
IAM アイデンティティには、 AWS Control Towerへの呼び出しを行うアクセス許可を付与するポリシーも必要です。詳細については、「 AWS Control Tower コンソールを使用するために必要なアクセス許可」を参照してください。
AWS Control Tower を使用した の操作 AWS CloudShell
AWS CloudShell から を起動すると AWS Management Console、コマンドラインインターフェイス AWS Control Tower からすぐに の操作を開始できます。 AWS CLI コマンドは、 の標準的な方法で動作します CloudShell。
注記
AWS CLI で を使用する場合 AWS CloudShell、追加のリソースをダウンロードまたはインストールする必要はありません。ユーザーはシェル内で既に認証されているので、呼び出しを行う前に認証情報を設定する必要はありません。
起動 AWS CloudShell
-
から AWS Management Console、ナビゲーションバーで使用可能な次のオプション CloudShell を選択して を起動できます。
-
CloudShell アイコンを選択します。
-
検索ボックスに「cloudshell CloudShell」と入力し、オプションを選択します。
を起動したので CloudShell、 を使用するために必要な AWS CLI コマンドを入力できます AWS Control Tower。例えば、 AWS Config ステータスを確認できます。
-
AWS CloudShell を使用して をセットアップする AWS Control Tower
これらの手順を実行する前に、特に明記されていない限り、ランディングゾーンのホームリージョン AWS Management Console の にサインインし、ランディングゾーンを含む管理アカウントの管理者権限を持つ IAM Identity Center ユーザーまたは IAM ユーザーとしてサインインする必要があります。
-
ラン AWS Control Tower ディングゾーンの設定を開始する前に、 で AWS Config CLI コマンドを使用して設定レコーダーと配信チャネルのステータス AWS CloudShell を確認する方法は次のとおりです。
AWS Config ステータスを確認する
表示コマンド:
-
aws configservice describe-delivery-channels -
aws configservice describe-delivery-channel-status -
aws configservice describe-configuration-recorders -
The normal response is something like "name": "default"
-
-
AWS Control Tower ランディングゾーンをセットアップする前に削除する必要がある既存の AWS Config レコーダーまたは配信チャネルがある場合は、入力できるコマンドを以下に示します。
既存の AWS Config リソースを管理する
削除コマンド:
-
aws configservice stop-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-delivery-channel --delivery-channel-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT重要
AWS Config の AWS Control Tower リソースを削除しないでください。これらのリソースが失われると AWS Control Tower 、 が不整合状態になる可能性があります。
詳細については、AWS Config のドキュメントを参照してください。
-
-
この例は、 の信頼されたアクセスを有効または無効に AWS CloudShell するために から入力する AWS CLI コマンドを示しています AWS Organizations。の信頼されたアクセスを有効または無効にする必要がないため AWS Organizations、一例にすぎ AWS Control Tower ません。ただし、 でアクションを自動化またはカスタマイズする場合は、他の AWS サービスの信頼されたアクセスを有効または無効にする必要がある場合があります AWS Control Tower。
信頼されたサービスのアクセスの有効化または無効化
-
aws organizations enable-aws-service-access -
aws organizations disable-aws-service-access
-
で Amazon S3 バケットを作成する AWS CloudShell
次の例では、 AWS CloudShell を使用して Amazon S3 バケットを作成し、 PutObjectメソッドを使用してコードファイルをそのバケット内のオブジェクトとして追加できます。
-
指定した AWS リージョンにバケットを作成するには、コマンド CloudShell ラインで次のコマンドを入力します。
aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1コールが成功すると、コマンドラインに次の出力に似たサービスからのレスポンスが表示されます。
{ "Location": "/insert-unique-bucket-name-here" }注記
バケットの命名規則に従わない場合 (例えば、小文字のみを使用)、次のエラーが表示されます:
CreateBucket オペレーションを呼び出すときにエラー (InvalidBucketName) が発生しました: 指定されたバケットが無効です。 -
ファイルをアップロードし、作成したばかりのバケットにオブジェクトとして追加するには、PutObject メソッドを呼び出します。
aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.pyオブジェクトが Simple Storage Service (Amazon S3) バケットに正常にアップロードされると、コマンドラインに次の出力に似たサービスからのレスポンスが表示されます。
{ "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}ETagは、格納されているオブジェクトのハッシュです。これを使用して、Simple Storage Service (Amazon S3) にアップロードされたオブジェクトの整合性を確認できます。
