AWS CloudShell 작업에 사용 AWS Control Tower

AWS CloudShell AWS CLI에서 작업을 용이하게 해주는 AWS 서비스로서, 브라우저 기반의 사전 인증된 셸로서 에서 직접 실행할 수 있습니다. AWS Management Console명령줄 도구를 다운로드하거나 설치할 필요가 없습니다. 원하는 셸 (Bash PowerShell 또는 Z 셸) 에서 AWS CLI 명령 AWS Control Tower 및 기타 AWS 서비스를 실행할 수 있습니다.

AWS CloudShell 에서 실행하면 콘솔에 AWS Management Console 로그인하는 데 사용한 AWS 자격 증명을 새 셸 세션에서 사용할 수 있습니다. 다른 AWS 서비스와 상호 작용할 AWS Control Tower 때는 구성 자격 증명을 입력하지 않아도 됩니다. 그러면 셸의 컴퓨팅 환경에 사전 설치된 AWS CLI 버전 2를 사용하게 됩니다. 사전 인증을 받은 것입니다. AWS CloudShell

IAM 권한 취득 대상 AWS CloudShell

AWS Identity and Access Management 관리자가 IAM 사용자 및 IAM Identity Center 사용자에게 액세스 권한을 부여할 수 있는 액세스 관리 리소스를 제공합니다. AWS CloudShell

관리자가 사용자에게 액세스 권한을 부여하는 가장 빠른 방법은 관리형 AWS 정책을 사용하는 것입니다. AWS 관리형 정책은 AWS에서 생성 및 관리하는 독립 실행형 정책입니다. 다음과 같은 AWS 관리형 정책을 IAM ID에 연결할 CloudShell 수 있습니다.

• AWSCloudShellFullAccess: 모든 기능에 대한 전체 액세스 AWS CloudShell 권한과 함께 사용할 수 있는 권한을 부여합니다.

IAM 사용자 또는 IAM Identity Center 사용자가 수행할 수 있는 작업의 범위를 제한하려는 경우 AWSCloudShellFullAccess 관리형 정책을 템플릿으로 AWS CloudShell사용하는 사용자 지정 정책을 생성할 수 있습니다. 에서 CloudShell 사용자가 수행할 수 있는 작업을 제한하는 방법에 대한 자세한 내용은 사용 설명서의 IAM 정책을 통한 AWS CloudShell 액세스 및 사용 관리를 참조하십시오.AWS CloudShell

참고

또한 IAM ID에는 호출 권한을 부여하는 정책이 필요합니다. AWS Control Tower자세한 내용은 AWS Control Tower 콘솔 사용에 필요한 권한을 참조하십시오.

사용과 상호 작용하기 AWS Control TowerAWS CloudShell

AWS CloudShell 에서 시작한 후에는 명령줄 인터페이스에서 즉시 상호 AWS Control Tower 작용을 시작할 수 있습니다. AWS Management Console AWS CLI 명령은 에서 표준 방식으로 작동합니다 CloudShell.

참고

AWS CLI AWS CloudShellin을 사용하면 추가 리소스를 다운로드하거나 설치할 필요가 없습니다. 셸 내에서 이미 인증되었으므로 전화를 걸기 전에 자격 증명을 구성할 필요가 없습니다.

시작 AWS CloudShell

• 에서 탐색 표시줄에서 사용할 수 있는 다음 옵션을 CloudShell 선택하여 시작할 수 있습니다. AWS Management Console

  • CloudShell 아이콘을 선택합니다.

  • 검색 상자에 “cloudshell”을 입력하기 시작한 다음 옵션을 선택합니다. CloudShell

  이제 CloudShell 시작했으니 작업에 필요한 모든 AWS CLI 명령을 입력할 수 있습니다. AWS Control Tower예를 들어, AWS Config 상태를 확인할 수 있습니다.

설정에 도움이 되는 AWS CloudShell 데 사용 AWS Control Tower

이 절차를 수행하기 전에 달리 명시되지 않는 한, 랜딩 존의 홈 리전에 로그인하고 랜딩 존이 포함된 관리 계정에 대한 관리자 권한을 가진 IAM Identity Center 사용자 또는 IAM 사용자로 로그인해야 합니다. AWS Management Console

1. 다음은 AWS Control Tower landing Zone 구성을 시작하기 전에 AWS Config CLI 명령을 사용하여 컨피그레이션 레코더 및 전송 채널의 상태를 확인하는 방법입니다. AWS CloudShell

   상태를 확인하세요. AWS Config

   보기 명령:

   • aws configservice describe-delivery-channels

   • aws configservice describe-delivery-channel-status

   • aws configservice describe-configuration-recorders

   • The normal response is something like "name": "default"

2. AWS Control Tower Landing Zone을 설정하기 전에 삭제해야 하는 기존 AWS Config 레코더 또는 전송 채널이 있는 경우 다음과 같은 명령을 입력할 수 있습니다.

   기존 AWS Config 리소스 관리

   삭제 명령:

   • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

   • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

   • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

     중요

     AWS Config에 대한 AWS Control Tower 리소스를 삭제하지 마십시오. 이러한 리소스가 손실되면 AWS Control Tower 일관성 없는 상태가 될 수 있습니다.

   자세한 내용은 AWS Config 설명서를 참조하십시오.

   • 구성 레코더 관리(AWS CLI)

   • 
 전송 채널 관리

3. 이 예에서는 신뢰할 수 있는 액세스를 활성화하거나 AWS CloudShell 비활성화하기 위해 입력하는 AWS CLI 명령을 보여줍니다. AWS Organizations신뢰할 AWS Control Tower 수 있는 액세스를 활성화하거나 비활성화할 필요가 없으므로 이는 예시일 뿐입니다. AWS Organizations하지만 에서 작업을 자동화하거나 사용자 지정하는 경우 다른 AWS 서비스에 대해 신뢰할 수 있는 액세스를 활성화하거나 비활성화해야 할 수 있습니다. AWS Control Tower

   신뢰할 수 있는 서비스 액세스를 활성화 또는 비활성화합니다.

   • aws organizations enable-aws-service-access

   • aws organizations disable-aws-service-access

다음을 사용하여 Amazon S3 버킷을 생성합니다. AWS CloudShell

다음 예제에서는 를 AWS CloudShell 사용하여 Amazon S3 버킷을 만든 다음 PutObject메서드를 사용하여 코드 파일을 해당 버킷의 객체로 추가할 수 있습니다.

1. 지정된 AWS 지역에 버킷을 생성하려면 명령줄에 다음 CloudShell 명령을 입력합니다.

   aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

   직접 호출이 성공하면 명령줄에 다음 출력과 비슷한 서비스의 응답이 표시됩니다.

   {
       "Location": "/insert-unique-bucket-name-here"
   }

   참고

   버킷 이름 지정 규칙 (예: 소문자만 사용) 을 준수하지 않으면 다음 오류가 표시됩니다. CreateBucket 작업을 호출하는 동안 오류가 발생했습니다 (InvalidBucketName). 지정된 버킷이 유효하지 않습니다.

2. 파일을 업로드하고 방금 만든 버킷에 객체로 추가하려면 메서드를 호출하십시오. PutObject

   aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

   객체가 Amazon S3 버킷에 성공적으로 업로드되면 명령줄에 다음 출력과 유사한 서비스의 응답이 표시됩니다.

   {
              "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

   저장된 객체의 해시입니다. ETag Amazon S3에 업로드된 객체의 무결성을 확인하는 데 사용할 수 있습니다.