本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS CloudShell安全常见问题解答
以下是有关安全性的常见问题的答案 CloudShell。
内容AWS启动和启动 shell 会话时会使用流程 CloudShell 和技术?
登录时AWS 管理控制台,您需要输入您的 IAM 用户证书。而且,当您 CloudShell 从控制台界面启动时,这些凭据将用于调用为服务创建计算环境的 CloudShell API。然后为计算环境创建一个AWS Systems Manager会话,并 CloudShell 向该会话发送命令。
是否可以将网络访问限制为 CloudShell?
对于公共环境,无法限制网络访问。如果要限制网络访问,必须启用仅创建 VPC 环境的权限并拒绝创建公共环境。
有关更多信息,请参阅确保用户仅创建 VPC 环境并拒绝创建公共环境。
对于 CloudShell VPC 环境,网络设置继承自您的 VPC。 CloudShell 在 VPC 中使用可以控制您的 CloudShell VPC 环境的网络访问权限。
我可以自定义我的 CloudShell 环境吗?
您可以为您的 CloudShell 环境下载和安装实用程序和其他第三方软件。只有安装在 $HOME 目录中的软件才会在会话之间保留。
根据AWS责任共担模式
我在哪里 $HOME 目录实际存储在AWS Cloud?
对于公共环境,用于在 $HOME 中存储数据的基础结构由 Amazon S3 提供。
对于 VPC 环境,当您的 VPC 环境超时(处于非活动状态 20-30 分钟后),或者当您删除或重启环境时,您的 $HOME 目录将被删除。
可以加密我的 $HOME 目录?
不可以,不能用自己的密钥加密您的 $HOME 目录。但是在将您的$HOME目录内容存储在 Amazon S3 中时会对其 CloudShell 进行加密。
我可以对我的电脑进行病毒扫描吗 $HOME 目录?
目前,无法对您的 $HOME 目录进行病毒扫描。对此功能的支持正在审核中。
我能否限制我的数据入口或出口? CloudShell
要限制入口或出口,我们建议您使用 VP CloudShell C 环境。当您的 VPC 环境超时(处于非活动状态 20-30 分钟后),或者当您删除或重启环境时,VPC 环境的 $HOME 目录将被删除。在操作菜单中,上传和下载选项不适用于 VPC 环境。
我能否限制 CloudShell 用户在容器内的 root 访问权限?
不是。AWS CloudShell通过设计在计算容器内提供根访问权限。里面的容器 CloudShell 可以作为代码封装和操作的便利。它们不是安全边界。
CloudShell 通过AWS Identity and Access Management(IAM) 管理访问控制。每个 CloudShell 会话都会收到临时的、定期轮换的 IAM 证书,其范围仅限于用户的权限。这些证书是安全边界,而不是容器本身。
由于容器和底层实例共享相同的 IAM 证书范围,因此容器边界之外的访问不会提供额外的AWS权限。