Utilizzare AWS CloudShell per lavorare con AWS Identity and Access Management

Modalità Focus

Utilizzare AWS CloudShell per lavorare con AWS Identity and Access Management - AWS Identity and Access Management

Ottenere le autorizzazioni IAM per AWS CloudShell Interagire con IAM

AWS CloudShell è una shell (interprete di comandi) pre-autenticata basata su browser che può essere avviata direttamente dalla AWS Management Console. Puoi eseguire i comandi della AWS CLI per i servizi AWS (incluso AWS Identity and Access Management) utilizzando la tua shell preferita (Bash, PowerShell o Z shell). E puoi farlo senza dover scaricare o installare strumenti da riga di comando.

È possibile avviare AWS CloudShell dalla AWS Management Console e le credenziali AWS utilizzate per accedere alla console sono automaticamente disponibili in una nuova sessione della shell. Questa pre-autenticazione degli utenti AWS CloudShell consente di ignorare la configurazione delle credenziali quando si interagisce con servizi AWS come IAM utilizzando la AWS CLI versione 2, preinstallata nell'ambiente di calcolo della shell.

Ottenere le autorizzazioni IAM per AWS CloudShell

Utilizzando le risorse di gestione degli accessi fornite da AWS Identity and Access Management, gli amministratori possono concedere agli utenti IAM le autorizzazioni che permettono loro di accedere a AWS CloudShell e di utilizzare le funzionalità dell'ambiente.

Per un amministratore, il modo più rapido per concedere l'accesso agli utenti è tramite una policy gestita da AWS. Una policy gestita da AWS è una policy autonoma che viene creata e amministrata da AWS. La seguente policy gestita da AWS per CloudShell può essere collegata alle identità IAM:

AWSCloudShellFullAccess: concede l'autorizzazione all'uso AWS CloudShell con accesso completo a tutte le funzionalità.

Se desideri limitare l'ambito di operazioni che un utente IAM può eseguire con AWS CloudShell, puoi creare una policy personalizzata che utilizzi la policy gestita da AWSCloudShellFullAccess come modello. Per ulteriori informazioni sulla limitazione delle operazioni disponibili per gli utenti in CloudShell, consulta la pagina Gestione dell'accesso a AWS CloudShell e del relativo utilizzo con le policy IAM della Guida per l'utente di AWS CloudShell.

Interagire con IAM

Dopo l'avvio di AWS CloudShell dalla AWS Management Console, puoi iniziare immediatamente a interagire con IAM utilizzando l'interfaccia della linea di comando.

Nota

Quando utilizzi AWS CLI in AWS CloudShell, non è necessario scaricare o installare risorse aggiuntive. Inoltre, poiché hai già eseguito l'autenticazione alla shell, non è necessario configurare le credenziali prima di effettuare chiamate.

Creazione di un gruppo IAM e aggiunta di un utente IAM al gruppo utilizzando AWS CloudShell

L'esempio seguente utilizza CloudShell per creare un gruppo IAM, aggiungere un utente IAM al gruppo e quindi verificare che il comando abbia avuto esito positivo.

Dalla AWS Management Console, è possibile avviare CloudShell scegliendo le seguenti opzioni disponibili nella barra di navigazione:
- Scegli l'icona CloudShell.
- Inizia a digitare "cloudshell" nella casella di ricerca, quindi scegli l'opzione CloudShell.

Per creare un gruppo IAM, inserisci il seguente comando nella linea di comando CloudShell. In questo esempio abbiamo denominato il gruppo east_coast:


aws iam create-group --group-name east_coast

Se la chiamata ha esito positivo, la riga di comando visualizza una risposta del servizio simile al seguente output:



        {
           "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

Per aggiungere un utente al gruppo creato, utilizza il seguente comando, specificando il nome e il nome utente del gruppo. In questo esempio abbiamo denominato il gruppo east_coast e l'utente johndoe:
```
aws iam add-user-to-group --group-name east_coast --user-name johndoe
```

Per verificare che l'utente sia nel gruppo, utilizza il seguente comando, specificando il nome del gruppo. In questo esempio continuiamo a utilizzare il gruppo east_coast:


aws iam get-group --group-name east_coast

Se la chiamata ha esito positivo, la riga di comando visualizza una risposta del servizio simile al seguente output:



       {
         "Users": [
           {
               "Path": "/",
               "UserName": "johndoe",
               "UserId": "AIDAYBDBW4JBXGEXAMPLE",
               "Arn": "arn:aws:iam::552108220995:user/johndoe",
               "CreateDate": "2023-09-11T20:43:14+00:00",
               "PasswordLastUsed": "2023-09-11T20:59:14+00:00"
           }
         ],
         "Group": {
               "Path": "/",
               "GroupName": "east_coast",
               "GroupId": "AGPAYBDBW4JBY3EXAMPLE",
               "Arn": "arn:aws:iam::111122223333:group/east_coast",
               "CreateDate": "2023-09-11T21:02:21+00:00"
            }
        }

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creare risorse IAM con AWS CloudFormation

Lavorare con AWS SDKs

Argomento successivo:

Lavorare con AWS SDKs

Argomento precedente:

Creare risorse IAM con AWS CloudFormation

Hai bisogno di aiuto?

In questa pagina

Seleziona le tue preferenze relative ai cookie

Personalizza le tue preferenze relative ai cookie

Essenziali

Prestazione

Funzionali

Pubblicitari

Impossibile salvare le preferenze dei cookie