AWS CloudShell を使用した AWS Control Tower の操作 - AWS Control Tower
AWS CloudShell の IAM アクセス許可の取得

AWS CloudShell を使用した AWS Control Tower の操作

AWS CloudShell は AWS CLI での作業を容易にする AWS のサービスであり、AWS マネジメントコンソール から直接起動できるブラウザベースの事前認証済みシェルです。コマンドラインツールをダウンロードまたはインストールする必要はありません。好きなシェル (Bash、PowerShell、または Z シェル) から AWS Control Tower およびその他の AWS サービスの AWS CLI コマンドを実行できます。

AWS CloudShell から AWS マネジメントコンソール を起動すると、コンソールへのサインインに使用した AWS 認証情報を新しいシェルセッションで使用できるようになります。AWS Control Tower およびその他の AWS サービスを操作する際は、設定中の認証情報の入力をスキップできます。また、ユーザーが使用する AWS CLI バージョン 2 は、シェルのコンピューティング環境にプリインストールされています。ユーザーは AWS CloudShell を使用して事前認証済みです。

AWS CloudShell の IAM アクセス許可の取得

AWS Identity and Access Management は、アクセス管理リソースを提供し、管理者が IAM ユーザーと IAM Identity Center ユーザーに AWS CloudShell へのアクセス許可を付与できるようにします。

管理者がユーザーにアクセス権を付与する最も簡単な方法は、AWS マネージドポリシーを介した方法です。AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。CloudShell 用に次の AWS マネージドポリシーを IAM アイデンティティにアタッチできます。

  • AWSCloudShellFullAccess: すべての機能へのフルアクセス権のある AWS CloudShell を使用するためのアクセス許可を付与します。

IAM ユーザーまたは IAM Identity Center ユーザーが AWS CloudShell を使用して実行できるアクションの範囲を制限する場合、テンプレートとして AWSCloudShellFullAccess マネージドポリシーを使用するカスタムポリシーを作成できます。CloudShell でユーザーが使用できるアクションを制限する方法の詳細については、「AWS CloudShell ユーザーガイド」の「IAM ポリシーを使用して AWS CloudShell へのアクセスと使用を管理する」を参照してください。

注記

IAM アイデンティティには、AWS Control Tower への呼び出しを行うアクセス許可を付与するポリシーも必要です。詳細については、「AWS Control Tower コンソールを使用するために必要なアクセス許可」を参照してください。

AWS CloudShell を起動する

AWS マネジメントコンソール から、ナビゲーションバーに表示される次のオプションを選択することで CloudShell を起動できます。

  • CloudShell アイコンを選択します。

  • 検索ボックスに「cloudshell」を入力し始めてから [CloudShell] オプションを選択します。

CloudShell が起動したら、AWS Control Tower の操作に必要な任意の AWS CLI コマンドを入力できます。例えば、AWS Config ステータスを確認できます。