Usando AWS CloudShell para trabalhar com AWS Control Tower - AWS Control Tower
Obtendo permissões do IAM para AWS CloudShellInteragindo com o uso AWS Control TowerAWS CloudShell

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando AWS CloudShell para trabalhar com AWS Control Tower

AWS CloudShell é um AWS serviço que facilita o trabalho na AWS CLI — é um shell pré-autenticado baseado em navegador que você pode iniciar diretamente do. AWS Management ConsoleNão há necessidade de baixar ou instalar ferramentas de linha de comando. Você pode executar AWS CLI comandos para AWS Control Tower e outros AWS serviços a partir do shell de sua preferência (Bash PowerShell ou Z shell).

Quando você inicia a AWS CloudShell partir do AWS Management Console, AWS as credenciais que você usou para entrar no console estão disponíveis em uma nova sessão de shell. Você pode pular a inserção de suas credenciais de configuração ao interagir com outros AWS serviços AWS Control Tower e usará a AWS CLI versão 2, que está pré-instalada no ambiente computacional do shell. Você está pré-autenticado com. AWS CloudShell

Obtendo permissões do IAM para AWS CloudShell

AWS Identity and Access Management fornece recursos de gerenciamento de acesso que permitem que os administradores concedam permissões aos usuários do IAM e do IAM Identity Center para acesso a. AWS CloudShell

A maneira mais rápida de um administrador conceder acesso aos usuários é por meio de uma política AWS gerenciada. Uma política gerenciada pelaAWS é uma política independente que é criada e administrada pela AWS. A seguinte política AWS gerenciada para CloudShell pode ser anexada às identidades do IAM:

  • AWSCloudShellFullAccess: concede permissão para uso AWS CloudShell com acesso total a todos os recursos.

Se você quiser limitar o escopo das ações que um usuário do IAM ou do IAM Identity Center pode realizar AWS CloudShell, crie uma política personalizada que use a política AWSCloudShellFullAccess gerenciada como modelo. Para obter mais informações sobre como limitar as ações que estão disponíveis para os usuários em CloudShell, consulte Gerenciamento de AWS CloudShell acesso e uso com políticas do IAM no Guia doAWS CloudShell usuário.

nota

Sua identidade do IAM também exige uma política que conceda permissão para fazer chamadas para AWS Control Tower. Para obter mais informações, consulte Permissões necessárias para usar o AWS Control Tower console.

Interagindo com o uso AWS Control TowerAWS CloudShell

Depois AWS CloudShell de iniciar a partir do AWS Management Console, você pode começar imediatamente a interagir com a interface AWS Control Tower da linha de comando. AWS CLI os comandos funcionam da maneira padrão em CloudShell.

nota

Ao usar o AWS CLI in AWS CloudShell, você não precisa baixar ou instalar nenhum recurso adicional. Você já está autenticado no shell, então não precisa configurar as credenciais antes de fazer chamadas.

Lançamento AWS CloudShell

  • A partir do AWS Management Console, você pode iniciar CloudShell escolhendo as seguintes opções disponíveis na barra de navegação:

    • Escolha o CloudShell ícone.

    • Comece a digitar “cloudshell” na caixa de pesquisa e escolha a opção. CloudShell

    Agora que você começou CloudShell, pode inserir todos AWS CLI os comandos com os quais precisa trabalhar AWS Control Tower. Por exemplo, você pode verificar seu AWS Config status.

Usando AWS CloudShell para ajudar na configuração AWS Control Tower

Antes de realizar esses procedimentos, a menos que seja indicado de outra forma, você deve estar conectado AWS Management Console na região de origem da sua zona de destino e estar conectado como um usuário do IAM Identity Center ou do IAM com permissões administrativas para a conta de gerenciamento que contém sua zona de destino.

  1. Veja como você pode usar os comandos da AWS Config CLI AWS CloudShell para determinar o status do gravador de configuração e do canal de entrega antes de começar a configurar sua landing zone AWS Control Tower .

    Verifique seu AWS Config status

    Comandos de exibição:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • The normal response is something like "name": "default"

  2. Se você tem um AWS Config gravador ou canal de entrega existente que precisa excluir antes de configurar sua AWS Control Tower landing zone, aqui estão alguns comandos que você pode inserir:

    Gerencie seus recursos pré-existentes AWS Config

    Comandos de exclusão:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Importante

      Não exclua os AWS Control Tower recursos do AWS Config. A perda desses recursos pode causar AWS Control Tower a entrada em um estado inconsistente.

    Para obter mais informações, consulte a documentação do AWS Config

  3. Este exemplo mostra os comandos da AWS CLI que você inseriria AWS CloudShell para habilitar ou desabilitar o acesso confiável. AWS OrganizationsPois AWS Control Tower você não precisa habilitar ou desabilitar o acesso confiável para AWS Organizations, é apenas um exemplo. No entanto, talvez seja necessário ativar ou desativar o acesso confiável para outros AWS serviços se estiver automatizando ou personalizando ações no. AWS Control Tower

    Ativar ou desativar o acesso confiável ao serviço

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Crie um bucket do Amazon S3 com AWS CloudShell

No exemplo a seguir, você pode usar AWS CloudShell para criar um bucket do Amazon S3 e, em seguida, usar o PutObjectmétodo para adicionar um arquivo de código como um objeto nesse bucket.

  1. Para criar um bucket em uma AWS região específica, digite o seguinte comando na linha de CloudShell comando:

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Se a chamada tiver êxito, a linha de comando exibirá uma resposta do serviço semelhante à seguinte saída:

    {
    "Location": "/insert-unique-bucket-name-here"
}
    nota

    Se você não seguir as regras para nomear intervalos (usando somente letras minúsculas, por exemplo), o seguinte erro será exibido: Ocorreu um erro (InvalidBucketName) ao chamar a CreateBucket operação: O intervalo especificado não é válido.

  2. Para fazer upload de um arquivo e adicioná-lo como um objeto ao bucket que acabou de ser criado, chame o PutObject método: 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Se o objeto for carregado com sucesso no bucket do Amazon S3, a linha de comando exibirá uma resposta do serviço semelhante à seguinte saída:

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    ETagÉ o hash do objeto que foi armazenado. Ele pode ser usado para verificar a integridade do objeto carregado no Amazon S3.