Interagir com o AWS Control Tower por meio do AWS CloudShell - AWS Control Tower

Interagir com o AWS Control Tower por meio do AWS CloudShell

Depois de iniciar o AWS CloudShell pelo AWS Management Console, será possível começar imediatamente a interagir com o AWS Control Tower pela interface da linha de comando. Os comandos da AWS CLI funcionam da maneira padrão no CloudShell.

nota

Ao usar a AWS CLI na AWS CloudShell, não é necessário baixar nem instalar nenhum recurso adicional. Você já fez a autenticação no shell, então não precisará configurar as credenciais antes de fazer chamadas.

Usar o AWS CloudShell para ajudar a configurar o AWS Control Tower

Antes de realizar esses procedimentos, a menos que seja indicado de outra forma, você deve fazer login no AWS Management Console na região de origem da zona de pouso e ter feito login como usuário do Centro de Identidade do IAM ou usuário do IAM com permissões administrativas para a conta de gerenciamento que contém a zona de pouso.

  1. Veja como você pode usar os comandos da CLI do AWS Config no AWS CloudShell para determinar o status do gravador de configuração e do canal de entrega antes de começar a configurar a zona de pouso do AWS Control Tower.

    Exemplo: verifique o status do AWS Config

    Comandos de exibição:

    • aws configservice describe-delivery-channels

    • aws configservice describe-delivery-channel-status

    • aws configservice describe-configuration-recorders

    • A resposta normal é algo como "name": "default"

  2. Se você tem um gravador ou canal de entrega do AWS Config existente que precisa excluir antes de configurar a zona de pouso do AWS Control Tower, aqui estão alguns comandos que você pode inserir:

    Exemplo: gerencie seus recursos pré-existentes do AWS Config

    Comandos de exclusão:

    • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

    • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

      Importante

      Não exclua os recursos do AWS Control Tower para o AWS Config. A perda desses recursos pode fazer com que o AWS Control Tower insira um estado inconsistente.

    Consulte mais informações na documentação do AWS Config.

  3. Este exemplo mostra os comandos da AWS CLI que você inseriria pelo AWS CloudShell para habilitar ou desabilitar o acesso confiável para o AWS Organizations. Para o AWS Control Tower você não precisa habilitar ou desabilitar o acesso confiável para o AWS Organizations, é apenas um exemplo. No entanto, talvez seja necessário habilitar ou desabilitar o acesso confiável para outros serviços da AWS se estiver automatizando ou personalizando ações no AWS Control Tower.

    Exemplo: habilitar ou desabilitar o acesso a serviço confiável

    • aws organizations enable-aws-service-access

    • aws organizations disable-aws-service-access

Exemplo: criar um bucket do Amazon S3 com o AWS CloudShell

No exemplo a seguir, você pode usar o AWS CloudShell para criar um bucket do Amazon S3 e, então, usar o método PutObject para adicionar um arquivo de código como objeto nesse bucket.

  1. Para criar um bucket em uma região da AWS especificada, insira o seguinte comando na linha de comando do CloudShell:

    aws s3api create-bucket --bucket insert-unique-bucket-name-here --region us-east-1

    Se a chamada tiver êxito, a linha de comando exibirá uma resposta do serviço semelhante à seguinte saída:

    {
    "Location": "/insert-unique-bucket-name-here"
}
    nota

    Se você não seguir as regras de nomenclatura de buckets (usar somete letras minúsculas, por exemplo), o erro a seguir será exibido: Ocorreu um erro (InvalidBucketName) ao chamar a operação CreateBucket: o bucket especificado não é válido.

  2. Para fazer upload de um arquivo e adicioná-lo como um objeto ao bucket que acabou de ser criado, chame o método PutObject. 

    aws s3api put-object --bucket insert-unique-bucket-name-here --key add_prog --body add_prog.py

    Se o upload do objeto é feito com sucesso no bucket do Amazon S3, a linha de comando exibe uma resposta do serviço semelhante à seguinte saída:

    {
           "ETag": "\"ab123c1:w:wad4a567d8bfd9a1234ebeea56\""}

    O ETag é o hash do objeto que foi armazenado. Ele pode ser usado para verificar a integridade do objeto carregado no Amazon S3.