

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudShell安全常见问题解答
<a name="cloudshell-security-faqs"></a>

以下是有关安全性的常见问题的答案 CloudShell。
+ [内容AWS启动和启动 shell 会话时会使用流程 CloudShell 和技术？](#access-path-login-faq)
+ [是否可以将网络访问限制为 CloudShell？](#restrict-access-iam-faq)
+ [我可以自定义我的 CloudShell 环境吗？](#customize-faq)
+ [我在哪里 `$HOME` 目录实际存储在AWS Cloud?](#home-storage-faq)
+ [可以加密我的 `$HOME` 目录？](#encrypt-home-faq)
+ [我可以对我的电脑进行病毒扫描吗 `$HOME` 目录？](#virus-scan-faq)
+ [我能否限制 CloudShell 用户在容器内的 root 访问权限？](#restrict-root-access-faq)

## 内容AWS启动和启动 shell 会话时会使用流程 CloudShell 和技术？
<a name="access-path-login-faq"></a>

登录时AWS 管理控制台，您需要输入您的 IAM 用户证书。而且，当您 CloudShell 从控制台界面启动时，这些凭据将用于调用为服务创建计算环境的 CloudShell API。然后为计算环境创建一个AWS Systems Manager会话，并 CloudShell 向该会话发送命令。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 是否可以将网络访问限制为 CloudShell？
<a name="restrict-access-iam-faq"></a>

对于公共环境，无法限制网络访问。如果要限制网络访问，必须启用仅创建 VPC 环境的权限并拒绝创建公共环境。

有关更多信息，请参阅[确保用户仅创建 VPC 环境并拒绝创建公共环境](sec-auth-with-identities.md#permission-to-create-VPC-env-only-example)。

对于 CloudShell VPC 环境，网络设置继承自您的 VPC。 CloudShell 在 VPC 中使用可以控制您的 CloudShell VPC 环境的网络访问权限。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 我可以自定义我的 CloudShell 环境吗？
<a name="customize-faq"></a>

您可以为您的 CloudShell 环境下载和安装实用程序和其他第三方软件。只有安装在 `$HOME` 目录中的软件才会在会话之间保留。

根据[AWS责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)的定义，您负责对所安装的应用程序进行必要的配置和管理。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 我在哪里 `$HOME` 目录实际存储在AWS Cloud?
<a name="home-storage-faq"></a>

对于公共环境，用于在 `$HOME` 中存储数据的基础结构由 Amazon S3 提供。

对于 VPC 环境，当您的 VPC 环境超时（处于非活动状态 20-30 分钟后），或者当您删除或重启环境时，您的 `$HOME` 目录将被删除。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 可以加密我的 `$HOME` 目录？
<a name="encrypt-home-faq"></a>

不可以，不能用自己的密钥加密您的 `$HOME` 目录。但是在将您的`$HOME`目录内容存储在 Amazon S3 中时会对其 CloudShell 进行加密。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 我可以对我的电脑进行病毒扫描吗 `$HOME` 目录？
<a name="virus-scan-faq"></a>

目前，无法对您的 `$HOME` 目录进行病毒扫描。对此功能的支持正在审核中。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 我能否限制我的数据入口或出口？ CloudShell
<a name="restrict-data-ingress-egress-faq"></a>

要限制入口或出口，我们建议您使用 VP CloudShell C 环境。当您的 VPC 环境超时（处于非活动状态 20-30 分钟后），或者当您删除或重启环境时，VPC 环境的 `$HOME` 目录将被删除。在**操作**菜单中，上传和下载选项不适用于 VPC 环境。

[返回安全常见问题解答列表](#cloudshell-security-faqs)

## 我能否限制 CloudShell 用户在容器内的 root 访问权限？
<a name="restrict-root-access-faq"></a>

不是。AWS CloudShell通过设计在计算容器内提供根访问权限。里面的容器 CloudShell 可以作为代码封装和操作的便利。它们不是安全边界。

CloudShell 通过AWS Identity and Access Management(IAM) 管理访问控制。每个 CloudShell 会话都会收到临时的、定期轮换的 IAM 证书，其范围仅限于用户的权限。这些证书是安全边界，而不是容器本身。

由于容器和底层实例共享相同的 IAM 证书范围，因此容器边界之外的访问不会提供额外的AWS权限。

[返回安全常见问题解答列表](#cloudshell-security-faqs)