AWS CloudShell
Entorno de shell administrado basado en navegador que permite ejecutar AWS CLI y diversas herramientas de desarrollo directamente sin necesidad de configurar credenciales
Descripción general
AWS CloudShell es un entorno de shell basado en navegador que se puede iniciar con un solo clic desde la consola de administración. Viene preinstalado con herramientas principales como AWS CLI v2, Python, Node.js, Git, jq y vim, permitiendo operar recursos AWS y ejecutar scripts sin necesidad de configurar el entorno local. Las credenciales IAM del usuario que inició sesión en la consola se heredan automáticamente, eliminando la necesidad de configurar access keys o perfiles. Proporciona 1 GB de almacenamiento persistente en el directorio home por región.
Especificaciones y limitaciones del entorno de ejecución
CloudShell proporciona un entorno basado en Amazon Linux 2023 con 1 vCPU y 2 GB de memoria. Las sesiones se desconectan automáticamente tras 20 minutos de inactividad, y el entorno se elimina tras 120 días sin uso (pero el almacenamiento persistente de 1 GB en el directorio home se mantiene). Se pueden ejecutar hasta 10 sesiones simultáneas por región. Las limitaciones principales son: no hay acceso root (sudo no disponible para instalación de paquetes del sistema), no hay acceso a VPC (no se puede conectar directamente a recursos en subredes privadas), y el tráfico de red saliente está limitado a puertos 80 y 443. Para instalar herramientas adicionales, se descargan binarios en el directorio home o se usan gestores de paquetes de usuario como pip y npm. Comparado con Azure Cloud Shell, que ofrece tanto Bash como PowerShell y almacenamiento en Azure Files, CloudShell es más ligero pero con menos opciones de personalización.
Por qué es potente para troubleshooting de emergencia
El mayor valor de CloudShell se manifiesta en situaciones de emergencia. Cuando se detecta un incidente de seguridad o un fallo de producción, CloudShell permite comenzar la investigación inmediatamente desde cualquier dispositivo con navegador, sin necesidad de configurar credenciales o instalar herramientas. Los permisos IAM del usuario de consola se aplican automáticamente, por lo que se pueden ejecutar comandos de investigación (describe, list, get-log-events) inmediatamente. Esto es especialmente valioso cuando se está fuera de la oficina o usando un dispositivo que no tiene el entorno de desarrollo configurado. Libros sobre AWS CLI (Amazon) permiten aprender comandos útiles para operaciones diarias.
Conexión VPC y consideraciones sobre regiones
Una limitación importante de CloudShell es que por defecto no tiene acceso a recursos dentro de VPCs (subredes privadas). Para conectarse a bases de datos RDS o instancias EC2 en subredes privadas, se necesita usar Session Manager como puente o configurar CloudShell VPC environment (disponible en regiones limitadas). CloudShell está disponible por región, y el almacenamiento persistente es independiente por región: los scripts guardados en us-east-1 no están disponibles en eu-west-1. Para scripts que se usan frecuentemente en múltiples regiones, se recomienda almacenarlos en S3 y descargarlos al inicio de la sesión. En cuanto a seguridad, las políticas IAM pueden restringir el acceso a CloudShell mediante la condición aws:RequestedRegion, y CloudTrail registra todas las acciones ejecutadas desde CloudShell para auditoría.