O uso doAWS CloudShellPara trabalhar comAWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O uso doAWS CloudShellPara trabalhar comAWS Control Tower

AWS CloudShellé um serviço da AWS que facilita o trabalho na CLI da AWS — é um shell pré-autenticado baseado em navegador que você pode executar diretamente doAWS Management Console. Não há necessidade de baixar ou instalar ferramentas de linha de comando. Você pode executarAWS CLIComandos da para oAWS Control Towere outrosAWSde seu shell preferido (shell Bash, PowerShell ou Z).

Quando vocêiniciarAWS CloudShelldoAWS Management Console, oAWSAs credenciais usadas para fazer login no console do estão disponíveis em uma nova sessão do shell. Você pode ignorar a inserção de suas credenciais de configuração ao interagir comAWS Control Towere outrosAWS, e você estará usandoAWS CLIversão 2, que é pré-instalada no ambiente de computação do shell. Você é pré-autenticado comAWS CloudShell.

Obtendo permissões do IAM paraAWS CloudShell

AWS Identity and Access Managementfornece recursos de gerenciamento de acesso que permitem que os administradores concedam permissões aos usuários do IAM para acesso aoAWS CloudShell.

A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de umAWSpolítica gerenciada. UmaAWSpolítica gerenciadaO é uma política independente que é criada e administrada pelaAWS. Os seguintes exemplos deAWSpara o CloudShell pode ser anexada a identidades do IAM:

  • AWSCloudShellFullAccess: Concede permissão para usarAWS CloudShellCom acesso total a todos os recursos.

Se você quiser limitar o escopo das ações que um usuário do IAM pode executar comAWS CloudShell, você pode criar uma política personalizada que usa aAWSCloudShellFullAccesscomo um modelo. Para obter mais informações sobre como limitar as ações disponíveis para usuários no CloudShell, consulteGerenciar oAWS CloudShellacesso e uso com políticas do IAMnoAWS CloudShellGuia do usuário do.

nota

Sua identidade do IAM também requer uma política que conceda permissão para fazer chamadas paraAWS Control Tower. Para obter mais informações, consultePermissões necessárias para usar o console da AWS Control Tower.

Interagindo com oAWS Control TowerusandoAWS CloudShell

Depois de iniciarAWS CloudShelldoAWS Management Console, você pode começar imediatamente a interagir comAWS Control TowerNa interface de linha de comando do.AWS CLIfuncionam da maneira padrão no CloudShell.

nota

Ao usarAWS CLIemAWS CloudShell, você não precisa fazer download ou instalar nenhum recurso adicional. Você já está autenticado no shell, portanto, você não precisa configurar credenciais antes de fazer chamadas.

ExecutarAWS CloudShell

  • DoAWS Management Console, você pode iniciar o CloudShell escolhendo as seguintes opções disponíveis na barra de navegação:

    • Escolha o ícone do CloudShell.

    • Comece a digitar “cloudshell” na caixa de pesquisa e escolha a opção CloudShell.

    Agora que você iniciou o CloudShell, você pode inserir qualquerAWS CLIcomandos que você precisa para trabalhar comAWS Control Tower. Por exemplo, você pode verificar seu status do AWS Config.

O uso doAWS CloudShellPara ajudar a configurarAWS Control Tower

Antes de executar esses procedimentos, a menos que seja indicado de outra forma, você deve estar conectado aoAWS Management ConsoleNa região doméstica da sua zona de aterrissagem e você deve fazer login como um usuário do IAM com permissões administrativas na conta de gerenciamento que contém a zona de pouso.

  1. Veja como você pode usar os comandos da CLI do AWS Config noAWS CloudShellPara determinar o status do gravador de configuração e do canal de entrega antes de começar a configurar oAWS Control Towerlanding zone.

    Verifique seu status do AWS Config

    Comandos de exibição:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Se você tiver um gravador ou canal de entrega do AWS Config existente que você precisa excluir antes de configurar seuAWS Control Towerlanding zone, aqui estão alguns comandos que você pode inserir:

    Gerencie seus recursos pré-existentes do AWS Config

    Comandos de exclusão:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Importante

      Não exclua aAWS Control TowerRecursos para o AWS Config. Perda desses recursos pode causarAWS Control Towerpara inserir um estado inconsistente.

    Para obter mais informações, consulte a documentação do AWS Config

  3. Este exemplo mostra os comandos da ILC da AWS que você inseriria noAWS CloudShellPara habilitar ou desabilitar o acesso confiável para as AWS Organizations. para oAWS Control TowerVocê não precisa habilitar ou desabilitar o acesso confiável para as AWS Organizations, é apenas um exemplo. No entanto, você pode precisar ativar ou desativar o acesso confiável para outros serviços da AWS se estiver automatizando ou personalizando ações noAWS Control Tower.

    Habilitar ou desabilitar o acesso confiável

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Crie um bucket do Amazon S3 comAWS CloudShell

No exemplo a seguir, você pode usarAWS CloudShellPara criar um bucket do Amazon S3 e usar aPutObjectpara adicionar um arquivo de código como um objeto nesse bucket.

  1. Para criar um bucket em umAWSRegião, insira o seguinte comando na linha de comando do CloudShell:

    aws s3api create-bucket - -bucket insert-unique-bucket-name-here - -region us-east-1

    Se a chamada for bem-sucedida, a linha de comando exibe uma resposta do serviço semelhante à seguinte saída:

    { "Location": "/insert-unique-bucket-name-here" }
    nota

    Se você não aderir àRegras para nomeação de buckets(usando apenas letras minúsculas, por exemplo), o seguinte erro é exibido: An error occurred (InvalidBucketName) ao chamar a operação CreateBucket: O bucket especificado é inválido.

  2. Para fazer upload de um arquivo e adicioná-lo como um objeto ao bucket que acabou de ser criado, chame o métodoPutObjectMétodo do :

    aws s3api put-object - -bucket insert-unique-bucket-name-here - -key add_prog - -body add_prog.py

    Se o objeto for carregado com êxito no bucket do Amazon S3, a linha de comando exibirá uma resposta do serviço semelhante à seguinte saída:

    { "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    OETagÉ o hash do objeto que foi armazenado. Pode ser usado paraVerifique a integridade do objeto carregado no Amazon S3.