本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 用于AWS CloudShell与之配合AWS Control Tower
<a name="using-aws-with-cloudshell"></a>

AWS CloudShell是一项便于在AWS CLI 中工作的AWS服务 — 它是一个基于浏览器、经过预先验证的 shell，您可以直接从启动。AWS 管理控制台无需下载或安装命令行工具。您可以通过首选外壳（Bash PowerShell 或 Z shell）为和其他AWS服务运行AWS CLI命令。AWS Control Tower

当您[AWS CloudShell从启动](https://docs.aws.amazon.com/cloudshell/latest/userguide/working-with-cloudshell.html#launch-options)时AWS 管理控制台，用于登录控制台的AWS凭据将在新的 shell 会话中可用。当你与其他AWS服务交互时，你可以跳过输入配置凭证，而你将使用预先安装在外壳程序计算环境中的AWS CLI版本 2。你已通过预先身份验证。AWS Control TowerAWS CloudShell

## 获取 IAM 权限AWS CloudShell
<a name="cloudshell-permissions"></a>

AWS Identity and Access Management提供访问管理资源，允许管理员向 IAM 用户和 IAM Identity Center 用户授予访问权限AWS CloudShell。

管理员向用户授予访问权限的最快方法是通过AWS托管策略。[AWS托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)是由AWS创建和管理的独立策略。以下的AWS托管策略 CloudShell 可以附加到 IAM 身份：
+ `AWSCloudShellFullAccess`：授予使用权限，并AWS CloudShell具有对所有功能的完全访问权限。

 如果您想限制 IAM 用户或 IAM Identity Center 用户可以执行的操作范围AWS CloudShell，则可以创建使用`AWSCloudShellFullAccess`托管策略作为模板的自定义策略。有关限制中可供用户执行的操作的更多信息 CloudShell，请参阅*AWS CloudShell用户指南*中的[使用 IAM 策略管理AWS CloudShell访问和使用情况](https://docs.aws.amazon.com/cloudshell/latest/userguide/sec-auth-with-identities.html)。

**注意**  
您的 IAM 身份还需要一个策略来授予对AWS Control Tower进行调用的权限。有关更多信息，请参阅[使用AWS Control Tower控制台所需的权限](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#additional-console-required-permissions)。

### 启动AWS CloudShell
<a name="launch-cloudshell"></a>

从中AWS 管理控制台，您可以 CloudShell 通过选择导航栏上的以下可用选项来启动：
+  选择图 CloudShell 标。
+ 开始在搜索框中输入 “cloudshell”，然后选择相应 CloudShell选项。

现在你已经开始了 CloudShell，你可以输入任何你需要使用的AWS CLI命令AWS Control Tower。例如，您可以检查自己的AWS Config状态。