使用 AWS CloudShell 搭配 AWS Identity and Access Management - AWS Identity and Access Management
取得 的 IAM 許可 AWS CloudShell與 IAM 互動

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudShell 搭配 AWS Identity and Access Management

AWS CloudShell 是以瀏覽器為基礎的預先驗證 Shell,您可以直接從 啟動 AWS 管理主控台。您可以使用您偏好的 shell (Bash、PowerShell 或 Z shell) 對 AWS 服務 (包括 AWS Identity and Access Management) 執行 AWS CLI 命令。另外,您無需下載或安裝命令列工具即可執行此操作。

您可以從 啟動 AWS CloudShellAWS 管理主控台,而且您用來登入主控台的 AWS 登入資料會自動在新的 shell 工作階段中使用。此預先驗證 AWS CloudShell 使用者可讓您在使用 第 2 AWS CLI 版 (預先安裝在 Shell 的運算環境中) 與 IAM 等 AWS 服務互動時,略過設定登入資料。

取得 的 IAM 許可 AWS CloudShell

AWS Identity and Access Management管理員可以使用 提供的存取管理資源,將許可授予 IAM 使用者,讓他們可以存取 AWS CloudShell 和使用環境的功能。

管理員授予使用者存取權的最快速方法是透過 AWS 受管政策。AWS 受管政策是由 AWS建立並管理的獨立政策。下列適用於 CloudShell 的 AWS 受管政策可以連接到 IAM 身分:

  • AWSCloudShellFullAccess:授予許可,以 AWS CloudShell 使用 並完整存取所有功能。

如果您想要限制 IAM 使用者可以執行的動作範圍 AWS CloudShell,您可以建立使用 AWSCloudShellFullAccess受管政策做為範本的自訂政策。如需限制 CloudShell 中使用者可用的動作的詳細資訊,請參閱AWS CloudShell 《 使用者指南》中的使用 IAM 政策管理 AWS CloudShell 存取和用量

與 IAM 互動

AWS CloudShell 從 啟動後 AWS 管理主控台,您可以立即開始使用命令列界面與 IAM 互動。

注意

在 AWS CLI 中使用 時 AWS CloudShell,您不需要下載或安裝任何其他資源。此外,因為您已經在 Shell 中驗證身分,因此無需設定憑證即可呼叫。

建立 IAM 群組,並使用 將 IAM 使用者新增至群組 AWS CloudShell

下列範例使用 CloudShell 建立 IAM 群組、將 IAM 使用者新增至群組,然後驗證命令是否成功。

  1. 從 中 AWS 管理主控台,您可以選擇導覽列上可用的下列選項來啟動 CloudShell:

    • 選擇 CloudShell 圖示。

    • 開始在搜尋方塊中輸入「cloudshell」,然後選擇 CloudShell 選項。

  2. 若要建立 IAM 群組,請在 CloudShell 命令列中輸入下列命令。在這個範例中,我們將群組命名為 east_coast

    aws iam create-group --group-name east_coast

    如果呼叫成功,命令列會顯示類似下列輸出的服務回應:

    
        {
           "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

  3. 若要將使用者新增至您建立的群組,請使用下列命令,指定群組名稱和使用者名稱。在此範例中,我們將群組命名為 east_coast,將使用者命名為 john

    aws iam add-user-to-group --group-name east_coast --user-name john

  4. 若要驗證使用者是否在群組中,請使用下列命令,指定群組名稱。在這個範例中,我們繼續使用群組 east_coast

    aws iam get-group --group-name east_coast

    如果呼叫成功,命令列會顯示類似下列輸出的服務回應:

    
       {
         "Users": [
           {
               "Path": "/",
               "UserName": "john",
               "UserId": "AIDAYBDBW4JBXGEXAMPLE",
               "Arn": "arn:aws:iam::552108220995:user/john",
               "CreateDate": "2023-09-11T20:43:14+00:00",
               "PasswordLastUsed": "2023-09-11T20:59:14+00:00"
           }
         ],
         "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }