在 Amazon VPC 中使用 AWS CloudShell
通过 AWS CloudShell 虚拟私有云(VPC),您可以在 VPC 中创建 CloudShell 环境。对于每个 VPC 环境,您可以分配一个 VPC、添加一个子网以及关联多达 5 个安全组。AWS CloudShell 继承了 VPC 的网络配置,使您能够在与 VPC 中其他资源相同的子网中安全使用 AWS CloudShell 并连接到这些资源。
借助 Amazon VPC,您可以在自己定义的逻辑隔离的虚拟网络中启动 AWS 资源。这个虚拟网络与您在数据中心中运行的传统网络极其相似,并会为您提供使用 AWS 的可扩展基础设施的优势。有关 VPC 的更多信息,请参阅 Amazon Virtual Private Cloud。
操作限制
AWS CloudShell VPC 环境具有以下限制:
-
对于每个 IAM 主体,最多只能创建两个 VPC 环境。
-
最多可将五个安全组分配给一个 VPC 环境。
-
不能在 VPC 环境中使用 “操作” 菜单中的 CloudShell 上传和下载选项。
注意
可以从 VPC 环境上传或下载文件,这些环境可以通过其他 CLI 工具访问互联网入口/出口。
-
VPC 环境不支持永久存储。支持临时性存储。活动环境会话结束后,数据和主目录将被删除。
-
您的 AWS CloudShell 环境仅在位于私有 VPC 子网中时才能连接到互联网。
注意
默认情况下,不会将公有 IP 地址分配给 CloudShell VPC 环境。在将路由表配置为将所有流量路由到互联网网关的公有子网中创建的 VPC 环境将无法访问公共互联网,但配置了网络地址转换(NAT)的私有子网可以访问公共互联网。在此类私有子网中创建的 VPC 环境将可以访问公共互联网。
-
要为您的账户提供托管 CloudShell 环境,AWS 可以为底层计算主机配置对以下服务的网络访问权限:
-
Amazon S3
-
VPC 端点
-
com.amazonaws.<region>.ssmmessages
-
com.amazonaws.<region>.logs
-
com.amazonaws.<region>.kms
-
com.amazonaws.<region>.execute-api
-
com.amazonaws.<region>.ecs-telemetry
-
com.amazonaws.<region>.ecs-agent
-
com.amazonaws.<region>.ecs
-
com.amazonaws.<region>.ecr.dkr
-
com.amazonaws.<region>.ecr.api
-
com.amazonaws.<region>.codecatalyst.packages
-
com.amazonaws.<region>.codecatalyst.git
-
aws.api.global.codecatalyst
-
无法通过修改 VPC 配置来限制对这些端点的访问。
CloudShell VPC 在所有 AWS 区域和 GovCloud 区域均可用。有关可以使用 CloudShell VPC 的区域的列表,请参阅 AWS CloudShell 支持的 AWS 区域。
-
