本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS CloudShell 來使用 AWS Control Tower
AWS CloudShell 是一項有助於在 AWS CLI 中工作的 AWS 服務-它是一種基於瀏覽器的預先驗證 shell,您可以直接從. AWS Management Console無需下載或安裝命令列工具。您可以從偏好的 AWS Control Tower 殼層 (Bash PowerShell 或 Z 殼層) 執行其他 AWS 服務的 AWS CLI 命令。
當您AWS CloudShell 從啟動時 AWS Management Console,您用來登入主控台的 AWS 認證可在新的 shell 工作階段中使用。當您與 AWS Control Tower 其他 AWS 服務互動時,您可以略過輸入設定認證,而您將使用預先安裝在 shell 運算環境中的 AWS CLI 版本 2。您已預先驗證。 AWS CloudShell
取得的 IAM 許可 AWS CloudShell
AWS Identity and Access Management 提供存取管理資源,讓管理員可以將權限授與 IAM 使用者和 IAM 身分中心使用者以供存取 AWS CloudShell。
系統管理員授與使用者存取權的最快方法是透過 AWS 受管理的原則。AWS 受管政策是由 AWS建立並管理的獨立政策。的下列 AWS 受管政策 CloudShell 可附加至 IAM 身分:
-
AWSCloudShellFullAccess:授予使用權限 AWS CloudShell 以完全訪問所有功能。
如果您想要限制 IAM 使用者或 IAM Identity Center 使用者可以執行的動作範圍 AWS CloudShell,您可以建立使用AWSCloudShellFullAccess受管政策做為範本的自訂政策。如需有關限制中使用者可使用的動作的詳細資訊 CloudShell,請參閱《使用AWS CloudShell 者指南》中的「使用 IAM 政策管理 AWS CloudShell 存取和使用」。
注意
您的 IAM 身分還需要授予撥打電話權限的政策 AWS Control Tower。如需詳細資訊,請參閱使用 AWS Control Tower 主控台所需的權限。
與 AWS Control Tower 使用互動 AWS CloudShell
AWS CloudShell 從啟動之後 AWS Management Console,您可以立即 AWS Control Tower 從指令行介面開始與互動。 AWS CLI 指令以中的標準方式運作 CloudShell。
注意
AWS CLI 在中使用時 AWS CloudShell,您無需下載或安裝任何其他資源。您已經在命令介面中進行驗證,因此在撥打電話之前不需要設定認證。
啟動 AWS CloudShell
-
從中 AWS Management Console,您可以選擇 CloudShell 導覽列上的下列可用選項來啟動:
-
選擇圖 CloudShell 示。
-
開始在搜索框中輸入「cloudshell」,然後選擇該 CloudShell選項。
現在您已經開始 CloudShell,您可以輸入任何您需要使用的 AWS CLI 命令 AWS Control Tower。例如,您可以檢查您的 AWS Config 狀態。
-
用 AWS CloudShell 來協助設定 AWS Control Tower
執行這些程序之前,除非另有說明,否則您必須登入登陸區域中的主區域,而且您必須以 IAM Identity Center 使用者或 IAM 使用者身分登入,並且具有您 landing zone 域之管理帳戶的管理許可。 AWS Management Console
-
在開始設定 AWS Control Tower landing zone 域之前,您可 AWS CloudShell 以在中使用 AWS Config CLI 命令來判斷組態記錄器和傳送通道的狀態的方法。
檢查您的 AWS Config 狀態
檢視命令:
-
aws configservice describe-delivery-channels -
aws configservice describe-delivery-channel-status -
aws configservice describe-configuration-recorders -
The normal response is something like "name": "default"
-
-
如果您在設定 AWS Control Tower landing zone 域之前需要刪除現有的 AWS Config 記錄器或傳送頻道,您可以輸入以下指令:
管理您預先存 AWS Config 在的資源
刪除命令:
-
aws configservice stop-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-delivery-channel --delivery-channel-nameNAME-FROM-DESCRIBE-OUTPUT -
aws configservice delete-configuration-recorder --configuration-recorder-nameNAME-FROM-DESCRIBE-OUTPUT重要
請勿刪除 AWS Config 的 AWS Control Tower 資源。遺失這些資源可能會導致 AWS Control Tower 進入不一致的狀態。
如需詳細資訊,請參閱 AWS Config 文件
-
-
此範例顯示您輸入來啟用或停用受信任存取權的 AWS CLI 命令 AWS Organizations。 AWS CloudShell 因為 AWS Control Tower 您不需要啟用或禁用受信任的訪問 AWS Organizations,這只是一個例子。不過,如果您要在 AWS Control Tower中自動化或自訂動作,則可能需要啟用或停用其他 AWS 服務的受信任存取權。
啟用或停用信任的服務存取
-
aws organizations enable-aws-service-access -
aws organizations disable-aws-service-access
-
使用創建一個 Amazon S3 存儲桶 AWS CloudShell
在下列範例中,您可 AWS CloudShell 以使用建立 Amazon S3 儲存貯體,然後使用該PutObject方法將程式碼檔案新增為該儲存貯體中的物件。
-
若要在指定的「區域」中建立值 AWS 區,請在指令列中輸入下列指 CloudShell 令:
aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1如果呼叫成功,命令列會顯示類似下列輸出的服務回應:
{ "Location": "/insert-unique-bucket-name-here" }注意
如果您不遵守命名值區的規則 (例如,僅使用小寫字母),則會顯示下列錯
誤:呼叫 CreateBucket 作業時發生錯誤 (InvalidBucketName):指定的值區無效。 -
要上傳文件並將其作為對象添加到剛創建的存儲桶中,請調用以下PutObject方法:
aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py如果物件成功上傳到 Amazon S3 儲存貯體,命令列會顯示來自服務的回應,類似下列輸出:
{ "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}ETag是已儲存物件的雜湊值。它可以用來檢查上傳到 Amazon S3 的物件的完整性。
