

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS CloudShell 安全性FAQs
<a name="cloudshell-security-faqs"></a>

以下是 CloudShell 安全性常見問題的解答。
+ [當您啟動 CloudShell 並啟動 shell 工作階段時，會使用哪些 AWS 程序和技術？](#access-path-login-faq)
+ [是否可以限制對 CloudShell 的網路存取？](#restrict-access-iam-faq)
+ [我可以自訂 CloudShell 環境嗎？](#customize-faq)
+ [我的`$HOME`目錄實際存放在哪裡 AWS 雲端？](#home-storage-faq)
+ [是否可以加密我的`$HOME`目錄？](#encrypt-home-faq)
+ [我可以在`$HOME`目錄上執行病毒掃描嗎？](#virus-scan-faq)
+ [我是否可以限制 CloudShell 使用者在容器內進行根存取？](#restrict-root-access-faq)

## 當您啟動 CloudShell 並啟動 shell 工作階段時，會使用哪些 AWS 程序和技術？
<a name="access-path-login-faq"></a>

登入時 AWS 管理主控台，請輸入您的 IAM 使用者登入資料。此外，當您從主控台界面啟動 CloudShell 時，這些登入資料會用於呼叫 CloudShell API，以建立服務的運算環境。接著會為運算環境建立 AWS Systems Manager 工作階段，CloudShell 會將命令傳送至該工作階段。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 是否可以限制對 CloudShell 的網路存取？
<a name="restrict-access-iam-faq"></a>

對於公有環境，無法限制網路存取。如果您想要限制網路存取，您必須啟用僅建立 VPC 環境的許可，並拒絕建立公有環境。

如需詳細資訊，請參閱[確定使用者僅建立 VPC 環境，並拒絕建立公有環境](sec-auth-with-identities.md#permission-to-create-VPC-env-only-example)。

對於 CloudShell VPC 環境，網路設定會繼承自您的 VPC。在 VPC 中使用 CloudShell 可讓您控制 CloudShell VPC 環境的網路存取。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 我可以自訂 CloudShell 環境嗎？
<a name="customize-faq"></a>

您可以為您的 CloudShell 環境下載並安裝公用程式和其他第三方軟體。工作階段之間只會保留安裝在`$HOME`目錄中的軟體。

根據[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)的定義，您必須負責所安裝應用程式的必要組態和管理。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 我的`$HOME`目錄實際存放在哪裡 AWS 雲端？
<a name="home-storage-faq"></a>

對於公有環境，用於在 中存放資料的基礎設施由 Amazon S3 `$HOME`提供。

對於 VPC 環境，您的`$HOME`目錄會在 VPC 環境逾時 （閒置 20-30 分鐘後） 或當您刪除或重新啟動環境時刪除。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 是否可以加密我的`$HOME`目錄？
<a name="encrypt-home-faq"></a>

否，無法使用您自己的金鑰加密您的`$HOME`目錄。但 CloudShell 會在將`$HOME`目錄內容存放在 Amazon S3 時加密目錄內容。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 我可以在`$HOME`目錄上執行病毒掃描嗎？
<a name="virus-scan-faq"></a>

目前，無法執行`$HOME`目錄的病毒掃描。此功能的支援正在審核中。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 我可以限制 CloudShell 的資料輸入或輸出嗎？
<a name="restrict-data-ingress-egress-faq"></a>

若要限制輸入或輸出，建議您使用 CloudShell VPC 環境。當您的 VPC 環境逾時 （閒置 20-30 分鐘後） 或當您刪除或重新啟動環境時，會刪除 VPC 環境的`$HOME`目錄。在**動作**功能表中，上傳和下載選項不適用於 VPC 環境。

[返回安全性FAQs清單](#cloudshell-security-faqs)

## 我是否可以限制 CloudShell 使用者在容器內進行根存取？
<a name="restrict-root-access-faq"></a>

No.依設計在運算容器內 AWS CloudShell 提供根存取權。CloudShell 中的容器可做為程式碼封裝和操作便利性。它們不是安全界限。

CloudShell 透過 AWS Identity and Access Management (IAM) 管理存取控制。每個 CloudShell 工作階段都會收到暫時、定期輪換的 IAM 憑證，其範圍僅限於使用者的許可。這些登入資料是安全界限，而不是容器本身。

由於容器和基礎執行個體共用相同的 IAM 憑證範圍，因此超出容器界限的存取不會提供額外的 AWS 許可。

[返回安全性FAQs清單](#cloudshell-security-faqs)