As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GerenciandoAWS CloudShellacesso e uso com políticas do IAM
Com os recursos de gerenciamento de acesso que podem ser fornecidos peloAWS Identity and Access Management(IAM), os administradores podem conceder permissões aos usuários do IAM. Dessa forma, esses usuários podem acessarAWS CloudShelle use os recursos do ambiente. Os administradores também podem criar políticas que especificam em um nível granular quais ações esses usuários podem realizar com o ambiente shell.
A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de umAWSpolítica gerenciada. UmPolítica gerenciada pela AWSé uma política independente criada e administrada peloAWS. O seguinteAWSpolítica gerenciada paraAWS CloudShellpodem ser anexados às identidades do IAM:
-
AWSCloudShellFullAccess: Concede permissão para usarAWS CloudShellcom acesso total a todos os recursos.
OAWSCloudShellFullAccessa política usa o caractere curinga (*) para dar à identidade do IAM (usuário, função ou grupo) acesso total aCloudShelle características. Você também pode usar oAWSCloudShellFullAccesspolítica como modelo para políticas personalizadas que são mais restritivas em termos de ações permitidas do usuário.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }] }
nota
Identidades do IAM com o seguinteAWSpolíticas gerenciadas também podem ser lançadasCloudShell. No entanto, essas políticas fornecem permissões abrangentes. Portanto, recomendamos que você conceda essas políticas somente se elas forem essenciais para a função de trabalho de um usuário do IAM.
-
Administrador: fornece aos usuários do IAM acesso total e permite que eles deleguem permissões a todos os serviços e recursos doAWS.
-
Desenvolvedor, usuário avançado: permite que os usuários do IAM realizem tarefas de desenvolvimento de aplicativos e criem e configurem recursos e serviços que oferecem suporteAWSdesenvolvimento consciente de aplicativos.
Para obter mais informações sobre como anexar políticas gerenciadas, consulteAdicionar permissões de identidade do IAM (console)noGuia do usuário do IAM.
Gerenciando ações permitidas emAWS CloudShellusando políticas personalizadas
Para gerenciar as ações que um usuário do IAM pode realizar comCloudShell, crie uma política personalizada que use oAWSCloudShellFullAccesspolítica gerenciada como modelo. Como alternativa, edite umpolítica embutidaque está incorporado na identidade relevante do IAM (usuário, grupo ou função).
Por exemplo, você pode permitir que os usuários acessemCloudShellmas evite que eles carreguem ou baixem arquivos dentro do ambiente shell. Você também pode negar explicitamente aos usuários o acesso aoCloudShell.
Importante
Para lançarAWS CloudShelldoAWS Management Console, um usuário do IAM precisa de permissões para as seguintes ações:
-
CreateEnvironment
-
CreateSession
-
GetEnvironmentStatus
-
StartEnvironment
Se uma dessas ações não for explicitamente permitida por uma política anexada, um erro de permissões do IAM será retornado quando você tentar iniciarCloudShell.
Permissões AWS CloudShell | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Name (Nome) | Descrição da permissão concedida | Necessário para lançarCloudShell? | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Crie umCloudShellambiente, recupere o layout no início doCloudShellsessão e salve o layout atual do aplicativo web no backend |
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Conecte-se a umCloudShellambiente doAWS Management Console |
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Leia o status de umCloudShellmeio Ambiente |
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Excluir umCloudShellmeio Ambiente |
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Baixe arquivos deCloudShellpara uma máquina local |
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Carregar arquivos de uma máquina local paraCloudShell |
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Encaminhe as credenciais usadas para fazer login noAWS Management ConsoleparaCloudShell |
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Comece umCloudShellambiente que está parado |
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Pare umCloudShellambiente em execução |
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Exemplos de políticas do IAM paraCloudShell
Os exemplos a seguir mostram como políticas podem ser criadas para restringir quem pode acessarCloudShell. Os exemplos também mostram as ações que podem ser executadas no ambiente shell.
A política a seguir impõe uma negação total de acesso aoCloudShelle suas características.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DenyCloudShell", "Effect": "Deny", "Action": [ "cloudshell:*" ], "Resource": "*" }] }
A política a seguir permite que os usuários do IAM acessemCloudShellmas impede que eles carreguem e baixem arquivos no ambiente shell.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyUploadDownload", "Effect": "Deny", "Action": [ "cloudshell:GetFileDownloadUrls", "cloudshell:GetFileUploadUrls" ], "Resource": "*" }] }
A política a seguir permite que os usuários do IAM acessemCloudShell. No entanto, a política impede as credenciais que você usou para fazer login noAWS Management Consolede ser encaminhado para oCloudShellmeio ambiente. Os usuários do IAM com essa política precisam configurar manualmente suas credenciais emCloudShell.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "CloudShellUser", "Effect": "Allow", "Action": [ "cloudshell:*" ], "Resource": "*" }, { "Sid": "DenyCredentialForwarding", "Effect": "Deny", "Action": [ "cloudshell:PutCredentials" ], "Resource": "*" }] }
Permissões para acessarServiços da AWS
CloudShellusa as credenciais do IAM que você usou para entrar noAWS Management Console.
nota
Para usar as credenciais do IAM que você usou para entrar noAWS Management Console, você deve tercloudshell:PutCredentialspermissão.
Esse recurso de pré-autenticação doCloudShelltorna conveniente o usoAWS CLI. No entanto, um usuário do IAM ainda exige permissões explícitas para oServiços da AWSque são chamados a partir da linha de comando.
Por exemplo, suponha que os usuários do IAM precisem criar buckets do Amazon S3 e fazer upload de arquivos como objetos para eles. Você pode criar uma política que permita explicitamente essas ações. O console do IAM fornece uma interface interativaeditor visualque orienta o processo de criação de um documento de política formatado em JSON. Depois que a política for criada, você poderá anexá-la à identidade relevante do IAM (usuário, grupo ou função).
Para obter mais informações sobre como anexar políticas gerenciadas, consulteAdicionar permissões de identidade do IAM (console)noGuia do usuário do IAM.
