通过 AWS CloudShell 使用 AWS Control Tower

AWS CloudShell 是 AWS 提供的一项服务，旨在简化在 AWS CLI 中的操作。它是一个基于浏览器、预先经过身份验证的 Shell，您可以直接从 AWS 管理控制台启动它。无需下载或安装命令行工具。您可以使用自己的首选 Shell（Bash、PowerShell 或 Z shell），针对 AWS Control Tower 及其他 AWS 服务运行 AWS CLI 命令。

当您从 AWS 管理控制台启动 AWS CloudShell 时，用于登录控制台的 AWS 凭证将在新的 Shell 会话中可用。因此，在与 AWS Control Tower 及其他 AWS 服务交互时，您无需再次输入配置凭证。您将使用预先安装在 Shell 计算环境中的 AWS CLI 版本 2。您在使用 AWS CloudShell 时已预先完成身份验证。

获取适用于 AWS CloudShell 的 IAM 权限

AWS Identity and Access Management 提供访问管理资源，允许管理员向 IAM 用户和 IAM Identity Center 用户授予访问 AWS CloudShell 的权限。

管理员要向用户授予访问权限，最快捷的方法是使用 AWS 托管式策略。AWS 托管式策略是由 AWS 创建和管理的独立策略。可以将以下适用于 CloudShell 的 AWS 托管式策略附加到 IAM 身份：

AWSCloudShellFullAccess：授予使用 AWS CloudShell 的权限，并具有对所有功能的完全访问权限。

如果要限制 IAM 用户或 IAM Identity Center 用户可以使用 AWS CloudShell 执行的操作范围，可以利用 AWSCloudShellFullAccess 托管式策略为模板，创建一个定义策略。有关如何限制用户可在 CloudShell 中可执行操作的更多信息，请参阅《AWS CloudShell 用户指南》中的 Managing AWS CloudShell access and usage with IAM policies。

注意

您的 IAM 身份还需要一个策略来授予对 AWS Control Tower 进行调用的权限。有关更多信息，请参阅 Permissions required to use the AWS Control Tower console。

启动 AWS CloudShell

在 AWS 管理控制台中，您可以选择导航栏中提供的下列可用选项来启动 CloudShell：

选择 CloudShell 图标。
首先在搜索框中键入“cloudshell”，然后选择 CloudShell 选项。

现已启动 CloudShell，可以输入任何所需的 AWS CLI 命令来使用 AWS Control Tower。例如，您可以检查自己的 AWS Config 状态。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

自动执行任务

通过 AWS CloudShell 与 AWS Control Tower 进行交互