Konfigurasi dan pengaturan file kredensi di AWS CLI - AWS Command Line Interface
Format konfigurasi dan file kredensiDi mana pengaturan konfigurasi disimpan?Menggunakan profil bernamaMengatur dan melihat pengaturan konfigurasi menggunakan perintahMengatur konfigurasi baru dan contoh perintah kredensialPengaturan config file yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi dan pengaturan file kredensi di AWS CLI

Anda dapat menyimpan pengaturan konfigurasi dan kredensyal yang sering digunakan dalam file yang dikelola oleh file. AWS CLI

File-file tersebut dibagi menjadiprofiles. Secara default, AWS CLI menggunakan pengaturan yang ditemukan di profil bernamadefault. Untuk menggunakan pengaturan alternatif, Anda dapat membuat dan mereferensikan profil tambahan.

Anda dapat mengganti pengaturan individual dengan menyetel salah satu variabel lingkungan yang didukung, atau dengan menggunakan parameter baris perintah. Untuk informasi selengkapnya tentang prioritas pengaturan konfigurasi, lihat. Mengkonfigurasi pengaturan untuk AWS CLI

catatan

Untuk informasi tentang pengaturan kredensional Anda, lihat. Otentikasi dan akses kredensional untuk AWS CLI

Format konfigurasi dan file kredensi

credentialsFile config dan disusun menjadi beberapa bagian. Bagian termasuk profil, sesi sso, dan layanan. Bagian adalah kumpulan pengaturan bernama, dan berlanjut sampai garis definisi bagian lain ditemukan. Beberapa profil dan bagian dapat disimpan dalam credentials file config dan.

File-file ini adalah file teks biasa yang menggunakan format berikut:

  • Nama bagian terlampir dalam tanda kurung [] seperti[default],[profile user1], dan. [sso-session]

  • Semua entri dalam suatu bagian mengambil bentuk umum dari. setting_name=value

  • Baris dapat dikomentari dengan memulai baris dengan karakter hash ()#.

credentialsFile config dan berisi jenis bagian berikut:

Jenis bagian: profile

AWS CLI Toko-toko

Tergantung pada file, nama bagian profil menggunakan format berikut:

  • Berkas Config: [default] [profile user1]

  • File kredensional: [default] [user1]

    Jangan gunakan kata profile saat membuat entri dalam credentials file.

Setiap profil dapat menentukan kredensyal yang berbeda dan juga dapat menentukan AWS Wilayah dan format output yang berbeda. Saat menamai profil dalam config file, sertakan kata awalan "profile“, tetapi jangan sertakan dalam credentials file.

Contoh berikut menunjukkan config file credentials dan dengan dua profil, wilayah, dan output yang ditentukan. [default] pertama digunakan saat Anda menjalankan AWS CLI perintah tanpa profil yang ditentukan. Yang kedua digunakan ketika Anda menjalankan AWS CLI perintah dengan --profile user1 parameter.

IAM Identity Center (SSO)

Contoh ini untuk AWS IAM Identity Center. Untuk informasi selengkapnya, lihat Mengkonfigurasi otentikasi Pusat IAM Identitas dengan AWS CLI.

Berkas kredensial-kredensialnya

credentialsFile tidak digunakan untuk metode otentikasi ini.

Berkas Config

[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
IAM Identity Center (Legacy SSO)

Contoh ini untuk metode warisan. AWS IAM Identity Center Untuk informasi selengkapnya, lihat Mengkonfigurasi otentikasi Pusat IAM Identitas dengan AWS CLI.

Berkas kredensial-kredensialnya

credentialsFile tidak digunakan untuk metode otentikasi ini.

Berkas Config

[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
Short-term credentials

Contoh ini untuk kredensi jangka pendek dari. AWS Identity and Access Management Untuk informasi selengkapnya, lihat Mengautentikasi dengan kredensi jangka pendek untuk AWS CLI.

Berkas kredensial-kredensialnya

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Berkas Config

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text
IAM role

Contoh ini adalah untuk mengasumsikan IAM peran. Profil yang menggunakan IAM peran menarik kredensyal dari profil lain, lalu menerapkan izin IAM peran. Dalam contoh berikut, default adalah profil sumber untuk kredensil dan user1 meminjam kredenal yang sama kemudian mengasumsikan peran baru. Untuk informasi selengkapnya, lihat Menggunakan IAM peran dalam AWS CLI.

Berkas kredensial-kredensialnya

credentialsFile tergantung pada otentikasi apa yang digunakan profil sumber Anda. Untuk contoh berikut, profil sumber menggunakan kredensi jangka pendek.

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Berkas Config

[default]
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text
Amazon EC2 instance metadata credentials

Contoh ini untuk kredensi yang diperoleh dari metadata EC2 instans Amazon hosting. Untuk informasi selengkapnya, lihat Menggunakan metadata EC2 instans Amazon sebagai kredensional di AWS CLI.

Berkas kredensial-kredensialnya

credentialsFile tidak digunakan untuk metode otentikasi ini.

Berkas Config

[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text
Long-term credentials
Awas

Untuk menghindari risiko keamanan, jangan gunakan IAM pengguna untuk otentikasi saat mengembangkan perangkat lunak yang dibuat khusus atau bekerja dengan data nyata. Sebaliknya, gunakan federasi dengan penyedia identitas seperti AWS IAM Identity Center.

Contoh ini untuk kredensi jangka panjang dari. AWS Identity and Access Management Untuk informasi selengkapnya, lihat Mengautentikasi menggunakan kredensi IAM pengguna untuk AWS CLI.

Berkas kredensial-kredensialnya

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

Berkas Config

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

Untuk informasi selengkapnya dan otorisasi tambahan dan metode kredensi lihat, lihat. Mengautentikasi menggunakan kredensi IAM pengguna untuk AWS CLI

Jenis bagian: sso-session

sso-sessionBagian dari config file ini digunakan untuk mengelompokkan variabel konfigurasi untuk memperoleh token SSO akses, yang kemudian dapat digunakan untuk memperoleh AWS kredensional. Pengaturan berikut digunakan:

Anda menentukan sso-session bagian dan mengaitkannya ke profil. sso_regiondan sso_start_url harus diatur dalam sso-session bagian. Biasanya, sso_account_id dan sso_role_name harus diatur di profile bagian sehingga SDK dapat meminta SSO kredensil.

Contoh berikut mengonfigurasi SSO kredensyal SDK untuk meminta dan mendukung penyegaran token otomatis: 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Ini juga memungkinkan sso-session konfigurasi untuk digunakan kembali di beberapa profil: 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Namun, sso_account_id dan sso_role_name tidak diperlukan untuk semua skenario konfigurasi SSO token. Jika aplikasi Anda hanya menggunakan AWS layanan yang mendukung otentikasi pembawa, maka AWS kredensi tradisional tidak diperlukan. Otentikasi pembawa adalah skema HTTP otentikasi yang menggunakan token keamanan yang disebut token pembawa. Dalam skenario ini, sso_account_id dan sso_role_name tidak diperlukan. Lihat panduan individual untuk AWS layanan Anda untuk menentukan apakah itu mendukung otorisasi token pembawa.

Selain itu, cakupan pendaftaran dapat dikonfigurasi sebagai bagian dari file. sso-session Lingkup adalah mekanisme di OAuth 2.0 untuk membatasi akses aplikasi ke akun pengguna. Aplikasi dapat meminta satu atau lebih cakupan, dan token akses yang dikeluarkan untuk aplikasi akan terbatas pada cakupan yang diberikan. Cakupan ini menentukan izin yang diminta untuk diotorisasi untuk OIDC klien terdaftar dan token akses yang diambil oleh klien. Contoh berikut menetapkan sso_registration_scopes untuk menyediakan akses untuk daftar akun/peran: 

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Token otentikasi di-cache ke disk di bawah ~/.aws/sso/cache direktori dengan nama file berdasarkan nama sesi.

Untuk informasi selengkapnya tentang jenis konfigurasi ini, lihatMengkonfigurasi otentikasi Pusat IAM Identitas dengan AWS CLI.

Jenis bagian: services

servicesBagian ini adalah sekelompok pengaturan yang mengonfigurasi titik akhir kustom untuk Layanan AWS permintaan. Profil kemudian ditautkan ke services bagian. 

[profile dev]
services = my-services

servicesBagian ini dipisahkan menjadi subbagian dengan <SERVICE> = baris, di mana <SERVICE> adalah kunci Layanan AWS pengenal. Layanan AWS Pengidentifikasi didasarkan pada API model serviceId dengan mengganti semua spasi dengan garis bawah dan huruf kecil semua huruf. Untuk daftar semua kunci pengenal layanan yang akan digunakan di services bagian ini, lihatMenggunakan titik akhir di AWS CLI. Kunci pengenal layanan diikuti oleh pengaturan bersarang dengan masing-masing pada barisnya sendiri dan menjorok oleh dua spasi.

Contoh berikut mengonfigurasi titik akhir yang akan digunakan untuk permintaan yang dibuat ke Amazon DynamoDB layanan di my-services bagian yang digunakan dalam dev profil. Baris yang segera mengikuti yang menjorok termasuk dalam ayat itu dan berlaku untuk layanan itu. 

[profile dev]
services = my-services

[services my-services]
dynamodb = 
  endpoint_url = http://localhost:8000

Untuk informasi selengkapnya tentang titik akhir khusus layanan, lihat. Menggunakan titik akhir di AWS CLI

Jika profil Anda memiliki kredenal berbasis peran yang dikonfigurasi melalui source_profile parameter untuk fungsi peran IAM asumsikan, SDK hanya menggunakan konfigurasi layanan untuk profil yang ditentukan. Itu tidak menggunakan profil yang dirantai peran untuk itu. Misalnya, menggunakan config file bersama berikut: 

[profile A]
credential_source = Ec2InstanceMetadata
endpoint_url = https://profile-a-endpoint.aws/

[profile B]
source_profile = A
role_arn = arn:aws:iam::123456789012:role/roleB
services = profileB

[services profileB]
ec2 = 
  endpoint_url = https://profile-b-ec2-endpoint.aws

Jika Anda menggunakan profil B dan membuat panggilan dalam kode Anda ke AmazonEC2, titik akhir akan diselesaikan sebagai. https://profile-b-ec2-endpoint.aws Jika kode Anda membuat permintaan ke layanan lain, resolusi titik akhir tidak akan mengikuti logika kustom apa pun. Titik akhir tidak menyelesaikan titik akhir global yang ditentukan dalam profil. A Agar titik akhir global berlaku untuk profilB, Anda perlu mengatur endpoint_url langsung di dalam profilB.

Di mana pengaturan konfigurasi disimpan?

AWS CLI Menyimpan informasi kredensi sensitif yang Anda tentukan aws configure dalam file lokal bernamacredentials, dalam folder bernama .aws di direktori home Anda. Opsi konfigurasi yang kurang sensitif yang Anda tentukan aws configure disimpan dalam file lokal bernamaconfig, juga disimpan di .aws folder di direktori home Anda.

Menyimpan kredensi dalam file konfigurasi

Anda dapat menyimpan semua pengaturan profil Anda dalam satu file karena AWS CLI dapat membaca kredensil dari file. config Jika ada kredensil di kedua file untuk profil yang berbagi nama yang sama, kunci dalam file kredensil diutamakan. Kami menyarankan untuk menyimpan kredensional dalam file. credentials File-file ini juga digunakan oleh berbagai kit pengembangan perangkat lunak bahasa (SDKs). Jika Anda menggunakan salah satu SDKs selain itu AWS CLI, konfirmasikan apakah kredensialnya harus disimpan dalam file mereka sendiri.

Di mana Anda menemukan lokasi direktori home Anda bervariasi berdasarkan sistem operasi, tetapi disebut menggunakan variabel lingkungan %UserProfile% di Windows dan $HOME atau ~ (tilde) dalam sistem berbasis Unix. Anda dapat menentukan lokasi non-default untuk file dengan mengatur variabel AWS_CONFIG_FILE dan AWS_SHARED_CREDENTIALS_FILE lingkungan ke jalur lokal lain. Lihat Mengkonfigurasi variabel lingkungan untuk AWS CLI untuk detail.

Bila Anda menggunakan profil bersama yang menentukan peran AWS Identity and Access Management (IAM), operasi akan AWS CLI memanggil AWS STS AssumeRole operasi untuk mengambil kredensi sementara. Kredensi ini kemudian disimpan (in~/.aws/cli/cache). AWS CLI Perintah selanjutnya menggunakan kredenal sementara yang di-cache sampai kedaluwarsa, dan pada saat itu AWS CLI secara otomatis menyegarkan kredensialnya.

Menggunakan profil bernama

Jika tidak ada profil yang didefinisikan secara eksplisit, default profil digunakan.

Untuk menggunakan profil bernama, tambahkan --profile profile-name opsi ke perintah Anda. Contoh berikut mencantumkan semua EC2 instans Amazon Anda menggunakan kredensil dan pengaturan yang ditentukan dalam profil. user1

$ aws ec2 describe-instances --profile user1

Untuk menggunakan profil bernama untuk beberapa perintah, Anda dapat menghindari menentukan profil di setiap perintah dengan mengatur variabel AWS_PROFILE lingkungan sebagai profil default. Anda dapat mengganti pengaturan ini dengan menggunakan --profile parameter.

Linux or macOS
$ export AWS_PROFILE=user1
Windows
C:\> setx AWS_PROFILE user1

Menggunakan set untuk mengatur variabel lingkungan mengubah nilai yang digunakan sampai akhir sesi prompt perintah saat ini, atau sampai Anda mengatur variabel ke nilai yang berbeda.

Menggunakan setxuntuk mengatur variabel lingkungan mengubah nilai di semua shell perintah yang Anda buat setelah menjalankan perintah. Itu tidak mempengaruhi shell perintah apa pun yang sudah berjalan pada saat Anda menjalankan perintah. Tutup dan mulai ulang shell perintah untuk melihat efek perubahan.

Menyetel variabel lingkungan akan mengubah profil default hingga akhir sesi shell, atau hingga Anda menyetel variabel ke nilai yang berbeda. Anda dapat membuat variabel lingkungan persisten di seluruh sesi masa depan dengan memasukkannya ke dalam skrip startup shell Anda. Untuk informasi selengkapnya, lihat Mengkonfigurasi variabel lingkungan untuk AWS CLI.

Mengatur dan melihat pengaturan konfigurasi menggunakan perintah

Ada beberapa cara untuk melihat dan mengatur pengaturan konfigurasi Anda menggunakan perintah.

aws configure

Jalankan perintah ini untuk mengatur dan melihat kredensial, Wilayah, dan format output dengan cepat. Contoh berikut menunjukkan nilai sampel.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
aws configure set

Anda dapat mengatur kredensi atau pengaturan konfigurasi apa pun menggunakan. aws configure set Tentukan profil yang ingin Anda lihat atau modifikasi dengan --profile pengaturan.

Misalnya, perintah berikut menetapkan region dalam profil bernamainteg.

$ aws configure set region us-west-2 --profile integ

Untuk menghapus pengaturan, hapus pengaturan secara manual di credentials file Anda config dan di editor teks.

aws configure get

Anda dapat mengambil semua kredensi atau pengaturan konfigurasi yang telah Anda tetapkan. aws configure get Tentukan profil yang ingin Anda lihat atau modifikasi dengan --profile pengaturan.

Misalnya, perintah berikut mengambil region pengaturan di profil bernamainteg.

$ aws configure get region --profile integ
us-west-2

Jika output kosong, pengaturan tidak secara eksplisit diatur dan menggunakan nilai default.

aws configure import

Impor CSV kredensi yang dihasilkan dari konsol IAM web. Ini bukan untuk kredensional yang dihasilkan dari IAM Identity Center; pelanggan yang menggunakan IAM Identity Center harus menggunakan aws configure sso. CSVFile diimpor dengan nama profil yang cocok dengan nama pengguna. CSVFile harus berisi header berikut.

  • Nama Pengguna

  • ID kunci akses

  • Kunci akses rahasia

catatan

Selama pembuatan key pair awal, setelah Anda menutup kotak dialog Download file.csv, Anda tidak dapat mengakses kunci akses rahasia Anda setelah Anda menutup kotak dialog. Jika Anda memerlukan .csv file, Anda harus membuatnya sendiri dengan header yang diperlukan dan informasi key pair yang disimpan. Jika Anda tidak memiliki akses ke informasi key pair Anda, Anda perlu membuat key pair baru.

$ aws configure import --csv file://credentials.csv
aws configure list

Untuk membuat daftar data konfigurasi, gunakan aws configure list perintah. Perintah ini mencantumkan profil, kunci akses, kunci rahasia, dan informasi konfigurasi wilayah yang digunakan untuk profil yang ditentukan. Untuk setiap item konfigurasi, ini menunjukkan nilai, di mana nilai konfigurasi diambil, dan nama variabel konfigurasi.

Misalnya, jika Anda memberikan variabel Wilayah AWS dalam lingkungan, perintah ini menunjukkan nama wilayah yang telah Anda konfigurasi, bahwa nilai ini berasal dari variabel lingkungan, dan nama variabel lingkungan.

Untuk metode kredensi sementara seperti peran dan Pusat IAM Identitas, perintah ini menampilkan kunci akses cache sementara dan kunci akses rahasia ditampilkan.

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION
aws configure list-profiles

Untuk mencantumkan semua nama profil Anda, gunakan aws configure list-profiles perintah.

$ aws configure list-profiles
default
test
aws configure sso

Jalankan perintah ini untuk mengatur dan melihat AWS IAM Identity Center kredensial, Wilayah, dan format output dengan cepat. Contoh berikut menunjukkan nilai sampel.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
aws configure sso-session

Jalankan perintah ini untuk dengan cepat mengatur dan melihat AWS IAM Identity Center kredensional Anda, Wilayah, dan format output di bagian sso-session dan file. credentials config Contoh berikut menunjukkan nilai sampel.

$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Mengatur konfigurasi baru dan contoh perintah kredensial

Contoh berikut menunjukkan konfigurasi profil default dengan kredensil, wilayah, dan output yang ditentukan untuk metode otentikasi yang berbeda.

IAM Identity Center (SSO)

Contoh ini untuk AWS IAM Identity Center menggunakan aws configure sso wizard. Untuk informasi selengkapnya, lihat Mengkonfigurasi otentikasi Pusat IAM Identitas dengan AWS CLI.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

Attempting to automatically open the SSO authorization page in your default browser.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
IAM Identity Center (Legacy SSO)

Contoh ini untuk metode lama AWS IAM Identity Center menggunakan aws configure sso wizard. Untuk menggunakan legacySSO, biarkan nama sesi kosong. Untuk informasi selengkapnya, lihat Mengkonfigurasi otentikasi Pusat IAM Identitas dengan AWS CLI.

$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
Short-term credentials

Contoh ini untuk kredensi jangka pendek dari. AWS Identity and Access Management Wisaya konfigurasi aws digunakan untuk mengatur nilai awal dan kemudian aws configure set perintah menetapkan nilai terakhir yang diperlukan. Untuk informasi selengkapnya, lihat Mengautentikasi dengan kredensi jangka pendek untuk AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
IAM role

Contoh ini adalah untuk mengasumsikan IAM peran. Profil yang menggunakan IAM peran menarik kredensyal dari profil lain, lalu menerapkan izin IAM peran. Dalam contoh berikut, default adalah profil sumber untuk kredensional dan user1 meminjam kredenal yang sama kemudian mengasumsikan peran baru. Tidak ada wizard untuk proses ini, oleh karena itu setiap nilai diatur menggunakan aws configure set perintah. Untuk informasi selengkapnya, lihat Menggunakan IAM peran dalam AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json
Amazon EC2 instance metadata credentials

Contoh ini untuk kredensi yang diperoleh dari metadata EC2 instans Amazon hosting. Tidak ada wizard untuk proses ini, oleh karena itu setiap nilai diatur menggunakan aws configure set perintah. Untuk informasi selengkapnya, lihat Menggunakan metadata EC2 instans Amazon sebagai kredensional di AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json
Long-term credentials
Awas

Untuk menghindari risiko keamanan, jangan gunakan IAM pengguna untuk otentikasi saat mengembangkan perangkat lunak yang dibuat khusus atau bekerja dengan data nyata. Sebaliknya, gunakan federasi dengan penyedia identitas seperti AWS IAM Identity Center.

Contoh ini untuk kredensi jangka panjang dari. AWS Identity and Access Management Untuk informasi selengkapnya, lihat Mengautentikasi menggunakan kredensi IAM pengguna untuk AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Pengaturan config file yang didukung

Pengaturan berikut didukung dalam config file. Nilai yang tercantum dalam profil yang ditentukan (atau default) digunakan kecuali jika diganti dengan adanya variabel lingkungan dengan nama yang sama, atau opsi baris perintah dengan nama yang sama. Untuk informasi selengkapnya tentang pengaturan pesanan apa yang didahulukan, lihat Mengkonfigurasi pengaturan untuk AWS CLI

Pengaturan global

aws_access_key_id

Menentukan kunci AWS akses yang digunakan sebagai bagian dari kredensyal untuk mengautentikasi permintaan perintah. Meskipun ini dapat disimpan dalam config file, kami sarankan Anda menyimpannya di credentials file.

Dapat diganti oleh variabel lingkungan. AWS_ACCESS_KEY_ID Anda tidak dapat menentukan ID kunci akses sebagai opsi baris perintah.

aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key

Menentukan kunci AWS rahasia yang digunakan sebagai bagian dari kredensyal untuk mengotentikasi permintaan perintah. Meskipun ini dapat disimpan dalam config file, kami sarankan Anda menyimpannya di credentials file.

Dapat diganti oleh variabel lingkungan. AWS_SECRET_ACCESS_KEY Anda tidak dapat menentukan kunci akses rahasia sebagai opsi baris perintah.

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token

Menentukan token AWS sesi. Token sesi hanya diperlukan jika Anda secara manual menentukan kredenal keamanan sementara. Meskipun ini dapat disimpan dalam config file, kami sarankan Anda menyimpannya di credentials file.

Dapat diganti oleh variabel lingkungan. AWS_SESSION_TOKEN Anda tidak dapat menentukan token sesi sebagai opsi baris perintah.

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
ca_bundle

Menentukan bundel sertifikat CA (file dengan .pem ekstensi) yang digunakan untuk memverifikasi SSL sertifikat.

Dapat diganti oleh variabel AWS_CA_BUNDLE lingkungan atau opsi --ca-bundle baris perintah. 

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem
cli_auto_prompt

Mengaktifkan prompt otomatis untuk AWS CLI versi 2. Ada dua pengaturan yang dapat digunakan:

  • onmenggunakan mode auto-prompt penuh setiap kali Anda mencoba menjalankan aws perintah. Ini termasuk menekan ENTERsetelah perintah lengkap atau perintah tidak lengkap.

    cli_auto_prompt = on

  • on-partialmenggunakan mode auto-prompt sebagian. Jika perintah tidak lengkap atau tidak dapat dijalankan karena kesalahan validasi sisi klien, prompt otomatis digunakan. Mode ini sangat berguna jika Anda memiliki skrip, runbook, atau Anda hanya ingin diminta secara otomatis untuk perintah yang tidak Anda kenal daripada diminta pada setiap perintah.

    cli_auto_prompt = on-partial

Anda dapat mengganti pengaturan ini dengan menggunakan variabel aws_cli_auto_prompt lingkungan atau parameter baris --no-cli-auto-prompt perintah --cli-auto-prompt dan.

Untuk informasi tentang fitur prompt otomatis AWS CLI versi 2, lihatMengaktifkan dan menggunakan command prompt di AWS CLI.

cli_binary_format

Menentukan bagaimana AWS CLI versi 2 menafsirkan parameter input biner. Ini bisa menjadi salah satu nilai berikut:

  • base64 - Ini adalah nilai default. Parameter input yang diketik sebagai objek besar biner (BLOB) menerima string yang dikodekan base64. Untuk meneruskan konten biner yang benar, letakkan konten dalam file dan berikan path dan nama file dengan fileb:// awalan sebagai nilai parameter. Untuk meneruskan teks berenkode base64 yang terdapat dalam file, berikan path dan nama file dengan file:// awalan sebagai nilai parameter.

  • raw-in-base64-out - Default untuk AWS CLI versi 1. Jika nilai pengaturan adalahraw-in-base64-out, file yang direferensikan menggunakan file:// awalan dibaca sebagai teks dan kemudian AWS CLI upaya untuk menyandikannya ke biner.

Entri ini tidak memiliki variabel lingkungan yang setara. Anda dapat menentukan nilai pada satu perintah dengan menggunakan --cli-binary-format raw-in-base64-out parameter.

cli_binary_format = raw-in-base64-out

Jika Anda mereferensikan nilai biner dalam file menggunakan notasi fileb:// awalan, AWS CLI selalu mengharapkan file tersebut berisi konten biner mentah dan tidak mencoba mengonversi nilainya.

Jika Anda mereferensikan nilai biner dalam file menggunakan notasi file:// awalan, AWS CLI menangani file sesuai dengan pengaturan saat inicli_binary_format. Jika nilai pengaturan itu base64 (default saat tidak disetel secara eksplisit), file tersebut AWS CLI mengharapkan file berisi teks yang dikodekan base64. Jika nilai pengaturan ituraw-in-base64-out, file AWS CLI mengharapkan berisi konten biner mentah.

cli_history

Dinonaktifkan secara default. Pengaturan ini memungkinkan riwayat perintah untuk file AWS CLI. Setelah mengaktifkan pengaturan ini, AWS CLI catatan sejarah aws perintah.

cli_history = enabled

Anda dapat membuat daftar riwayat Anda menggunakan aws history list perintah, dan menggunakan aws history show perintah yang dihasilkan command_ids untuk detailnya. Untuk informasi lebih lanjut lihat di panduan AWS CLI referensi.

cli_pager

Menentukan program pager yang digunakan untuk output. Secara default, AWS CLI versi 2 mengembalikan semua output melalui program pager default sistem operasi Anda.

Dapat diganti oleh variabel lingkungan. AWS_PAGER

cli_pager=less
cli_timestamp_format

Menentukan format nilai timestamp termasuk dalam output. Anda dapat menentukan salah satu dari nilai berikut:

  • iso8601 — Nilai default untuk versi 2. AWS CLI Jika ditentukan, AWS CLI format ulang semua stempel waktu sesuai dengan 8601. ISO

    ISO8601 stempel waktu yang diformat terlihat seperti contoh berikut. Contoh pertama menunjukkan waktu dalam Coordinated Universal Time (UTC) dengan memasukkan Z setelah waktu. Tanggal dan waktu dipisahkan oleh aT.

    2019-10-31T22:21:41Z

    Untuk menentukan zona waktu yang berbeda, alih-alihZ, tentukan + atau - dan jumlah jam zona waktu yang diinginkan berada di depan atau di belakangUTC, sebagai nilai dua digit. Contoh berikut menunjukkan waktu yang sama dengan contoh sebelumnya tetapi disesuaikan dengan waktu Standar Pasifik, yaitu delapan jam di belakangUTC.

    2019-10-31T14:21:41-08

  • wire - Nilai default untuk AWS CLI versi 1. Jika ditentukan, AWS CLI menampilkan semua nilai stempel waktu persis seperti yang diterima dalam respons HTTP kueri.

Entri ini tidak memiliki variabel lingkungan yang setara atau opsi baris perintah.

cli_timestamp_format = iso8601
credential_process

Menentukan perintah eksternal yang AWS CLI berjalan untuk menghasilkan atau mengambil kredensi otentikasi untuk digunakan untuk perintah ini. Perintah harus mengembalikan kredensi dalam format tertentu. Untuk informasi selengkapnya tentang cara menggunakan setelan ini, lihatSumber kredensyal dengan proses eksternal di AWS CLI.

Entri ini tidak memiliki variabel lingkungan yang setara atau opsi baris perintah.

credential_process = /opt/bin/awscreds-retriever --username susan
credential_source

Digunakan dalam EC2 instans Amazon atau container untuk menentukan di mana AWS CLI dapat menemukan kredensional yang akan digunakan untuk mengambil peran yang Anda tentukan dengan parameter. role_arn Anda tidak dapat menentukan keduanya source_profile dan credential_source di profil yang sama.

Parameter ini dapat memiliki salah satu dari tiga nilai:

  • Lingkungan - Menentukan bahwa AWS CLI adalah untuk mengambil kredensyal sumber dari variabel lingkungan.

  • Ec2 InstanceMetadata - Menentukan bahwa AWS CLI adalah untuk menggunakan IAM peran yang dilampirkan ke profil EC2 instance untuk mendapatkan kredensi sumber.

  • EcsContainer— Menentukan bahwa AWS CLI adalah untuk menggunakan IAM peran yang dilampirkan ke ECS wadah sebagai kredensi sumber.

credential_source = Ec2InstanceMetadata
duration_seconds

Menentukan durasi maksimum sesi peran, dalam hitungan detik. Nilai dapat berkisar dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran (yang bisa maksimal 43200). Ini adalah parameter opsional dan secara default, nilainya diatur ke 3600 detik.

endpoint_url

Menentukan endpoint yang digunakan untuk semua permintaan layanan. Jika pengaturan ini digunakan di servicesbagian config file, maka titik akhir hanya digunakan untuk layanan yang ditentukan.

Contoh berikut menggunakan endpoint global http://localhost:1234 dan endpoint khusus layanan untuk Amazon http://localhost:4567 S3.

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

Pengaturan konfigurasi titik akhir terletak di beberapa tempat, seperti variabel sistem atau lingkungan pengguna, file AWS konfigurasi lokal, atau secara eksplisit dideklarasikan pada baris perintah sebagai parameter. Pengaturan konfigurasi AWS CLI titik akhir diutamakan dalam urutan sebagai berikut:

  1. Opsi baris --endpoint-url perintah.

  2. Jika diaktifkan, variabel lingkungan endpoint AWS_IGNORE_CONFIGURED_ENDPOINT_URLS global atau pengaturan profil ignore_configure_endpoint_urls untuk mengabaikan endpoint kustom.

  3. Nilai yang diberikan oleh variabel lingkungan khusus layananAWS_ENDPOINT_URL_<SERVICE>, seperti. AWS_ENDPOINT_URL_DYNAMODB

  4. Nilai yang disediakan olehAWS_USE_DUALSTACK_ENDPOINT,AWS_USE_FIPS_ENDPOINT, dan variabel AWS_ENDPOINT_URL lingkungan.

  5. Nilai endpoint khusus layanan yang disediakan oleh endpoint_url pengaturan dalam services bagian file bersama. config

  6. Nilai yang diberikan oleh endpoint_url pengaturan profile dalam config file bersama.

  7. use_dualstack_endpoint,use_fips_endpoint, dan endpoint_url pengaturan.

  8. Setiap titik akhir default URL untuk masing-masing Layanan AWS digunakan terakhir. Untuk daftar titik akhir layanan standar yang tersedia di setiap Wilayah, lihat AWS Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services

ignore_configure_endpoint_urls

Jika diaktifkan, AWS CLI mengabaikan semua konfigurasi titik akhir kustom yang ditentukan dalam file. config Nilai yang valid adalah true dan false.

ignore_configure_endpoint_urls = true

Pengaturan konfigurasi titik akhir terletak di beberapa tempat, seperti variabel sistem atau lingkungan pengguna, file AWS konfigurasi lokal, atau secara eksplisit dideklarasikan pada baris perintah sebagai parameter. Pengaturan konfigurasi AWS CLI titik akhir diutamakan dalam urutan sebagai berikut:

  1. Opsi baris --endpoint-url perintah.

  2. Jika diaktifkan, variabel lingkungan endpoint AWS_IGNORE_CONFIGURED_ENDPOINT_URLS global atau pengaturan profil ignore_configure_endpoint_urls untuk mengabaikan endpoint kustom.

  3. Nilai yang diberikan oleh variabel lingkungan khusus layananAWS_ENDPOINT_URL_<SERVICE>, seperti. AWS_ENDPOINT_URL_DYNAMODB

  4. Nilai yang disediakan olehAWS_USE_DUALSTACK_ENDPOINT,AWS_USE_FIPS_ENDPOINT, dan variabel AWS_ENDPOINT_URL lingkungan.

  5. Nilai endpoint khusus layanan yang disediakan oleh endpoint_url pengaturan dalam services bagian file bersama. config

  6. Nilai yang diberikan oleh endpoint_url pengaturan profile dalam config file bersama.

  7. use_dualstack_endpoint,use_fips_endpoint, dan endpoint_url pengaturan.

  8. Setiap titik akhir default URL untuk masing-masing Layanan AWS digunakan terakhir. Untuk daftar titik akhir layanan standar yang tersedia di setiap Wilayah, lihat AWS Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services

external_id

Menentukan pengenal unik yang digunakan oleh pihak ketiga untuk mengambil peran dalam akun pelanggan mereka. Ini memetakan ke ExternalId parameter dalam AssumeRole operasi. Parameter ini diperlukan hanya jika kebijakan kepercayaan untuk peran menentukan nilai untukExternalId. Untuk informasi selengkapnya, lihat Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda kepada pihak ketiga dalam Panduan IAM Pengguna.

max_attempts

Menentukan nilai percobaan ulang maksimum yang digunakan oleh penangan AWS CLI coba lagi, di mana panggilan awal diperhitungkan terhadap nilai yang Anda berikan. max_attempts

Anda dapat mengganti nilai ini dengan menggunakan variabel AWS_MAX_ATTEMPTS lingkungan.

max_attempts = 3
mfa_serial

Nomor identifikasi MFA perangkat yang akan digunakan saat mengambil peran. Ini wajib hanya jika kebijakan kepercayaan dari peran yang diasumsikan mencakup kondisi yang memerlukan MFA otentikasi. Nilai dapat berupa nomor seri untuk perangkat keras (sepertiGAHT12345678) atau Amazon Resource Name (ARN) untuk MFA perangkat virtual (sepertiarn:aws:iam::123456789012:mfa/user).

output

Menentukan format output default untuk perintah yang diminta menggunakan profil ini. Anda dapat menentukan salah satu nilai berikut:

  • json— Output diformat sebagai JSONstring.

  • yaml— Output diformat sebagai YAMLstring.

  • yaml-stream— Output dialirkan dan diformat sebagai YAMLstring. Streaming memungkinkan penanganan tipe data besar yang lebih cepat.

  • text- Output diformat sebagai beberapa baris nilai string yang dipisahkan tab. Ini dapat berguna untuk meneruskan output ke prosesor teks, sepertigrep,sed, atauawk.

  • table— Output diformat sebagai tabel menggunakan karakter +|- untuk membentuk batas sel. Ini biasanya menyajikan informasi dalam format “ramah manusia” yang jauh lebih mudah dibaca daripada yang lain, tetapi tidak berguna secara terprogram.

Dapat diganti oleh variabel AWS_DEFAULT_OUTPUT lingkungan atau opsi --output baris perintah.

output = table
parameter_validation

Menentukan apakah AWS CLI klien mencoba untuk memvalidasi parameter sebelum mengirim mereka ke endpoint AWS layanan.

  • true - Ini adalah nilai default. Jika ditentukan, AWS CLI melakukan validasi lokal parameter baris perintah.

  • false — Jika ditentukan, AWS CLI tidak memvalidasi parameter baris perintah sebelum mengirimnya ke titik akhir AWS layanan.

Entri ini tidak memiliki variabel lingkungan yang setara atau opsi baris perintah.

parameter_validation = false
region

Menentukan Wilayah AWS untuk mengirim permintaan untuk perintah yang diminta menggunakan profil ini.

  • Anda dapat menentukan salah satu kode Wilayah yang tersedia untuk layanan yang dipilih seperti yang tercantum di AWS Wilayah dan Titik Akhir di Referensi Umum Amazon Web Services.

  • aws_globalmemungkinkan Anda menentukan titik akhir global untuk layanan yang mendukung titik akhir global selain titik akhir Regional, seperti AWS Security Token Service ()AWS STS dan Amazon Simple Storage Service (Amazon S3).

Anda dapat mengganti nilai ini dengan menggunakan variabel AWS_REGION lingkungan, variabel AWS_DEFAULT_REGION lingkungan, atau opsi baris --region perintah.

region = us-west-2
retry_mode

Menentukan modus AWS CLI coba lagi yang menggunakan. Ada tiga mode coba lagi yang tersedia: legacy (default), standar, dan adaptif. Untuk informasi lebih lanjut tentang pencobaan ulang, lihat AWS CLI mencoba lagi di AWS CLI.

Anda dapat mengganti nilai ini dengan menggunakan variabel AWS_RETRY_MODE lingkungan.

retry_mode = standard
role_arn

Menentukan Amazon Resource Name (ARN) IAM peran yang ingin Anda gunakan untuk menjalankan AWS CLI perintah. Anda juga harus menentukan salah satu parameter berikut untuk mengidentifikasi kredensil yang memiliki izin untuk mengambil peran ini:

  • source_profile

  • credential_source

role_arn = arn:aws:iam::123456789012:role/role-name

Variabel lingkungan AWS_ROLE_ARNmengesampingkan pengaturan ini.

Untuk informasi selengkapnya tentang penggunaan identitas web, lihatAsumsikan peran dengan identitas web.

role_session_name

Menentukan nama untuk melampirkan ke sesi peran. Nilai ini diberikan ke RoleSessionName parameter ketika AWS CLI memanggil AssumeRole operasi, dan menjadi bagian dari peran yang diasumsikan penggunaARN: arn:aws:sts::123456789012:assumed-role/role_name/role_session_name. Ini adalah parameter opsional. Jika Anda tidak memberikan nilai ini, nama sesi dihasilkan secara otomatis. Nama ini muncul di AWS CloudTrail log untuk entri yang terkait dengan sesi ini.

role_session_name = maria_garcia_role

Variabel lingkungan AWS_ROLE_SESSION_NAMEmengesampingkan pengaturan ini.

Untuk informasi selengkapnya tentang penggunaan identitas web, lihatAsumsikan peran dengan identitas web.

services

Menentukan konfigurasi layanan yang akan digunakan untuk profil Anda. 

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

Untuk informasi lebih lanjut tentang services bagian ini, lihatJenis bagian: services.

Variabel lingkungan AWS_ROLE_SESSION_NAMEmengesampingkan pengaturan ini.

Untuk informasi selengkapnya tentang penggunaan identitas web, lihatAsumsikan peran dengan identitas web.

sdk_ua_app_id

Satu Akun AWS dapat digunakan oleh beberapa aplikasi pelanggan untuk melakukan panggilan ke Layanan AWS. ID Aplikasi mengidentifikasi aplikasi sumber mana yang membuat serangkaian panggilan menggunakan file Layanan AWS. AWS SDKsdan layanan tidak menggunakan atau menafsirkan nilai ini selain untuk memunculkannya kembali dalam komunikasi pelanggan. Misalnya, nilai ini dapat dimasukkan dalam email operasional untuk mengidentifikasi secara unik aplikasi mana yang terkait dengan notifikasi.

ID Aplikasi adalah string dengan panjang maksimum 50 karakter. Huruf, angka, dan karakter khusus berikut diperbolehkan: Secara ! $ % & * + - . , ^ _ ` | ~ default, tidak ada nilai yang ditetapkan. 

sdk_ua_app_id = prod1

Pengaturan ini dapat ditimpa dengan menggunakan variabel AWS_SDK_UA_APP_IDlingkungan. Anda tidak dapat mengatur nilai ini sebagai parameter baris perintah.

source_profile

Menentukan profil bernama dengan kredensi jangka panjang yang AWS CLI dapat digunakan untuk mengambil peran yang Anda tentukan dengan parameter. role_arn Anda tidak dapat menentukan keduanya source_profile dan credential_source di profil yang sama.

source_profile = production-profile
sso_account_id

Menentukan ID AWS akun yang berisi IAM peran dengan izin yang ingin Anda berikan kepada pengguna Pusat IAM Identitas terkait.

Pengaturan ini tidak memiliki variabel lingkungan atau opsi baris perintah.

sso_account_id = 123456789012
sso_region

Menentukan AWS Wilayah yang berisi host portal AWS akses. Ini terpisah dari, dan dapat menjadi Wilayah yang berbeda dari CLI region parameter default.

Pengaturan ini tidak memiliki variabel lingkungan atau opsi baris perintah.

sso_region = us_west-2
sso_registration_scopes

Daftar cakupan yang dibatasi koma yang akan diotorisasi untuk. sso-session Cakupan mengotorisasi akses ke titik akhir resmi token pembawa IAM Identity Center. Lingkup yang valid adalah string, sepertisso:account:access. Pengaturan ini tidak berlaku untuk konfigurasi lama yang tidak dapat disegarkan.

sso_registration_scopes = sso:account:access
sso_role_name

Menentukan nama ramah IAM peran yang mendefinisikan izin pengguna saat menggunakan profil ini.

Pengaturan ini tidak memiliki variabel lingkungan atau opsi baris perintah.

sso_role_name = ReadAccess
sso_start_url

Menentukan URL yang menunjuk ke portal AWS akses organisasi. AWS CLI Penggunaan ini URL untuk membuat sesi dengan layanan Pusat IAM Identitas untuk mengautentikasi penggunanya. Untuk menemukan portal AWS akses AndaURL, gunakan salah satu dari berikut ini:

Pengaturan ini tidak memiliki variabel lingkungan atau opsi baris perintah. 

sso_start_url = https://my-sso-portal.awsapps.com/start
use_dualstack_endpoint

Mengaktifkan penggunaan titik akhir dual-stack untuk mengirim permintaan. AWS Untuk mempelajari lebih lanjut tentang titik akhir dual-stack, yang mendukung keduanya IPv4 dan IPv6 lalu lintas, lihat Menggunakan titik akhir tumpukan ganda Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Titik akhir dual-stack tersedia untuk beberapa layanan di beberapa wilayah. Jika titik akhir tumpukan ganda tidak ada untuk layanan atau Wilayah AWS, permintaan gagal. Ini dinonaktifkan secara default.

Ini saling eksklusif dengan use_accelerate_endpoint pengaturan.

Pengaturan konfigurasi titik akhir terletak di beberapa tempat, seperti variabel sistem atau lingkungan pengguna, file AWS konfigurasi lokal, atau secara eksplisit dideklarasikan pada baris perintah sebagai parameter. Pengaturan konfigurasi AWS CLI titik akhir diutamakan dalam urutan sebagai berikut:

  1. Opsi baris --endpoint-url perintah.

  2. Jika diaktifkan, variabel lingkungan endpoint AWS_IGNORE_CONFIGURED_ENDPOINT_URLS global atau pengaturan profil ignore_configure_endpoint_urls untuk mengabaikan endpoint kustom.

  3. Nilai yang diberikan oleh variabel lingkungan khusus layananAWS_ENDPOINT_URL_<SERVICE>, seperti. AWS_ENDPOINT_URL_DYNAMODB

  4. Nilai yang disediakan olehAWS_USE_DUALSTACK_ENDPOINT,AWS_USE_FIPS_ENDPOINT, dan variabel AWS_ENDPOINT_URL lingkungan.

  5. Nilai endpoint khusus layanan yang disediakan oleh endpoint_url pengaturan dalam services bagian file bersama. config

  6. Nilai yang diberikan oleh endpoint_url pengaturan profile dalam config file bersama.

  7. use_dualstack_endpoint,use_fips_endpoint, dan endpoint_url pengaturan.

  8. Setiap titik akhir default URL untuk masing-masing Layanan AWS digunakan terakhir. Untuk daftar titik akhir layanan standar yang tersedia di setiap Wilayah, lihat AWS Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services

use_fips_endpoint

Beberapa AWS layanan menawarkan titik akhir yang mendukung Federal Information Processing Standard (FIPS) 140-2 di beberapa. Wilayah AWS Ketika AWS layanan mendukungFIPS, pengaturan ini menentukan FIPS titik akhir apa yang AWS CLI harus digunakan. Tidak seperti AWS endpoint standar, FIPS endpoint menggunakan pustaka TLS perangkat lunak yang sesuai dengan 140-2. FIPS Titik akhir ini mungkin diperlukan oleh korporasi yang berinteraksi dengan pemerintah Amerika Serikat.

Jika pengaturan ini diaktifkan, tetapi FIPS titik akhir tidak ada untuk layanan di Anda Wilayah AWS, AWS perintah mungkin gagal. Dalam hal ini, tentukan secara manual titik akhir yang akan digunakan dalam perintah menggunakan --endpoint-url opsi atau gunakan titik akhir khusus layanan.

Untuk informasi selengkapnya tentang menentukan FIPS titik akhir menurut Wilayah AWS, lihat FIPSTitik Akhir menurut Layanan.

Pengaturan konfigurasi titik akhir terletak di beberapa tempat, seperti variabel sistem atau lingkungan pengguna, file AWS konfigurasi lokal, atau secara eksplisit dideklarasikan pada baris perintah sebagai parameter. Pengaturan konfigurasi AWS CLI titik akhir diutamakan dalam urutan sebagai berikut:

  1. Opsi baris --endpoint-url perintah.

  2. Jika diaktifkan, variabel lingkungan endpoint AWS_IGNORE_CONFIGURED_ENDPOINT_URLS global atau pengaturan profil ignore_configure_endpoint_urls untuk mengabaikan endpoint kustom.

  3. Nilai yang diberikan oleh variabel lingkungan khusus layananAWS_ENDPOINT_URL_<SERVICE>, seperti. AWS_ENDPOINT_URL_DYNAMODB

  4. Nilai yang disediakan olehAWS_USE_DUALSTACK_ENDPOINT,AWS_USE_FIPS_ENDPOINT, dan variabel AWS_ENDPOINT_URL lingkungan.

  5. Nilai endpoint khusus layanan yang disediakan oleh endpoint_url pengaturan dalam services bagian file bersama. config

  6. Nilai yang diberikan oleh endpoint_url pengaturan profile dalam config file bersama.

  7. use_dualstack_endpoint,use_fips_endpoint, dan endpoint_url pengaturan.

  8. Setiap titik akhir default URL untuk masing-masing Layanan AWS digunakan terakhir. Untuk daftar titik akhir layanan standar yang tersedia di setiap Wilayah, lihat AWS Wilayah dan Titik Akhir di. Referensi Umum Amazon Web Services

web_identity_token_file

Menentukan path ke file yang berisi token akses OAuth 2.0 atau token OpenID Connect ID yang disediakan oleh penyedia identitas. AWS CLI Memuat isi file ini dan meneruskannya sebagai WebIdentityToken argumen untuk AssumeRoleWithWebIdentity operasi.

Variabel lingkungan AWS_WEB_IDENTITY_TOKEN_FILE mengesampingkan pengaturan ini.

Untuk informasi selengkapnya tentang penggunaan identitas web, lihatAsumsikan peran dengan identitas web.

tcp_keepalive

Menentukan apakah AWS CLI klien menggunakan paket TCP keep-alive.

Entri ini tidak memiliki variabel lingkungan yang setara atau opsi baris perintah.

tcp_keepalive = false

Pengaturan perintah kustom S3

Amazon S3 mendukung beberapa pengaturan yang mengonfigurasi cara AWS CLI menjalankan operasi Amazon S3. Beberapa berlaku untuk semua perintah S3 di kedua s3api dan ruang s3 nama. Lainnya khusus untuk perintah “kustom” S3 yang mengabstraksikan operasi umum dan melakukan lebih dari sekedar one-to-one pemetaan ke suatu API operasi. Perintah aws s3 transfercp,, syncmv, dan rm memiliki pengaturan tambahan yang dapat Anda gunakan untuk mengontrol transfer S3.

Semua opsi ini dapat dikonfigurasi dengan menentukan pengaturan s3 bersarang di file Andaconfig. Setiap pengaturan kemudian menjorok pada garisnya sendiri.

catatan

Pengaturan ini sepenuhnya opsional. Anda harus berhasil menggunakan perintah aws s3 transfer tanpa mengonfigurasi pengaturan ini. Pengaturan ini disediakan untuk memungkinkan Anda menyetel kinerja atau memperhitungkan lingkungan tertentu tempat Anda menjalankan aws s3 perintah ini.

Pengaturan ini semua diatur di bawah s3 kunci tingkat atas dalam config file, seperti yang ditunjukkan pada contoh berikut untuk development profil.

[profile development]
s3 =
  max_concurrent_requests = 20
  max_queue_size = 10000
  multipart_threshold = 64MB
  multipart_chunksize = 16MB
  max_bandwidth = 50MB/s
  use_accelerate_endpoint = true
  addressing_style = path

Pengaturan berikut berlaku untuk perintah S3 apa pun di ruang s3api nama s3 atau.

addressing_style

Menentukan gaya pengalamatan yang akan digunakan. Ini mengontrol apakah nama bucket ada di nama host atau merupakan bagian dari. URL Nilai yang valid adalah:path,virtual, danauto. Nilai default-nya adalah auto.

Ada dua gaya membangun endpoint Amazon S3. Yang pertama dipanggil virtual dan menyertakan nama bucket sebagai bagian dari nama host. Sebagai contoh: https://bucketname.s3.amazonaws.com. Atau, dengan path gaya, Anda memperlakukan nama bucket seolah-olah itu adalah jalur diURI; misalnya,https://s3.amazonaws.com/bucketname. Nilai default dalam CLI adalah untuk menggunakanauto, yang mencoba menggunakan virtual gaya di mana ia bisa, tetapi akan kembali ke path gaya bila diperlukan. Misalnya, jika nama bucket Anda tidak DNS kompatibel, nama bucket tidak dapat menjadi bagian dari nama host dan harus berada di jalur. Denganauto, CLI akan mendeteksi kondisi ini dan secara otomatis beralih ke path gaya untuk Anda. Jika Anda menyetel gaya pengalamatanpath, Anda harus memastikan bahwa AWS Wilayah yang Anda konfigurasikan AWS CLI cocok dengan Wilayah bucket Anda.

payload_signing_enabled

Menentukan apakah akan SHA256 menandatangani muatan sigv4. Secara default, ini dinonaktifkan untuk streaming upload (UploadPartdanPutObject) saat menggunakanHTTPS. Secara default, ini diatur ke false untuk streaming upload (UploadPartdanPutObject), tetapi hanya jika ContentMD5 ada (dihasilkan secara default) dan titik akhir menggunakan. HTTPS

Jika disetel ke true, permintaan S3 menerima validasi konten tambahan dalam bentuk SHA256 checksum yang dihitung untuk Anda dan disertakan dalam tanda tangan permintaan. Jika disetel ke false, checksum tidak dihitung. Menonaktifkan ini dapat berguna untuk mengurangi overhead kinerja yang dibuat oleh perhitungan checksum.

use_accelerate_endpoint

Gunakan titik akhir Amazon S3 Accelerate untuk semua s3 dan perintah. s3api Nilai default adalah false. Ini saling eksklusif dengan use_dualstack_endpoint pengaturan.

Jika disetel ke true, akan AWS CLI mengarahkan semua permintaan Amazon S3 ke titik akhir S3 Accelerate di. s3-accelerate.amazonaws.com Untuk menggunakan endpoint ini, Anda harus mengaktifkan bucket untuk digunakanS3 Accelerate. Semua permintaan dikirim menggunakan gaya virtual pengalamatan bucket:my-bucket.s3-accelerate.amazonaws.com. DeleteBucket Permintaan apa pun ListBucketsCreateBucket,, dan tidak dikirim ke titik akhir S3 Accelerate karena titik akhir tersebut tidak mendukung operasi tersebut. Perilaku ini juga dapat diatur jika --endpoint-url parameter diatur ke https://s3-accelerate.amazonaws.com atau http://s3-accelerate.amazonaws.com untuk setiap s3 atau s3api perintah.

Pengaturan berikut hanya berlaku untuk perintah di set perintah s3 namespace.

max_bandwidth

Menentukan bandwidth maksimum yang dapat dikonsumsi untuk mengunggah dan mengunduh data ke dan dari Amazon S3. Defaultnya tidak ada batas.

Ini membatasi bandwidth maksimum yang dapat digunakan perintah S3 untuk mentransfer data ke dan dari Amazon S3. Nilai ini hanya berlaku untuk unggahan dan unduhan; itu tidak berlaku untuk salinan atau penghapusan. Nilai dinyatakan sebagai byte per detik. Nilai dapat ditentukan sebagai:

  • Sebuah bilangan bulat. Misalnya, 1048576 menetapkan penggunaan bandwidth maksimum menjadi 1 megabyte per detik.

  • Sebuah integer diikuti oleh sufiks tingkat. Anda dapat menentukan sufiks tingkat menggunakan:KB/s,MB/s, atau. GB/s Misalnya,300KB/s,10MB/s.

Secara umum, kami menyarankan Anda terlebih dahulu mencoba menurunkan konsumsi bandwidth dengan menurunkanmax_concurrent_requests. Jika itu tidak cukup membatasi konsumsi bandwidth ke tingkat yang diinginkan, Anda dapat menggunakan max_bandwidth pengaturan untuk membatasi konsumsi bandwidth lebih lanjut. Ini karena max_concurrent_requests mengontrol berapa banyak utas yang sedang berjalan. Jika Anda lebih dulu menurunkan max_bandwidth tetapi meninggalkan max_concurrent_requests pengaturan tinggi, itu dapat mengakibatkan utas harus menunggu yang tidak perlu. Hal ini dapat menyebabkan konsumsi sumber daya berlebih dan batas waktu koneksi.

max_concurrent_requests

Menentukan jumlah maksimum permintaan bersamaan. Nilai default adalah 10.

Perintah aws s3 transfer multithreaded. Pada waktu tertentu, beberapa permintaan Amazon S3 dapat berjalan. Misalnya, ketika Anda menggunakan perintah aws s3 cp localdir s3://bucket/ --recursive untuk mengunggah file ke bucket S3, AWS CLI dapat mengunggah filelocaldir/file1,localdir/file2, dan localdir/file3 secara paralel. Pengaturan max_concurrent_requests menentukan jumlah maksimum operasi transfer yang dapat berjalan pada saat yang sama.

Anda mungkin perlu mengubah nilai ini karena beberapa alasan:

  • Mengurangi nilai ini — Pada beberapa lingkungan, default dari 10 permintaan bersamaan dapat membanjiri sistem. Ini dapat menyebabkan batas waktu koneksi atau memperlambat respons sistem. Menurunkan nilai ini membuat perintah transfer S3 kurang intensif sumber daya. Tradeoff adalah bahwa transfer S3 bisa memakan waktu lebih lama untuk diselesaikan. Menurunkan nilai ini mungkin diperlukan jika Anda menggunakan alat untuk membatasi bandwidth.

  • Meningkatkan nilai ini — Dalam beberapa skenario, Anda mungkin ingin transfer Amazon S3 selesai secepat mungkin, menggunakan bandwidth jaringan sebanyak yang diperlukan. Dalam skenario ini, jumlah default permintaan bersamaan mungkin tidak cukup untuk menggunakan semua bandwidth jaringan yang tersedia. Meningkatkan nilai ini dapat meningkatkan waktu yang diperlukan untuk menyelesaikan transfer Amazon S3.

max_queue_size

Menentukan jumlah maksimum tugas dalam antrian tugas. Nilai default adalah 1000.

AWS CLI Secara internal menggunakan model di mana ia mengantri tugas Amazon S3 yang kemudian dijalankan oleh konsumen yang jumlahnya dibatasi oleh. max_concurrent_requests Sebuah tugas umumnya memetakan ke satu operasi Amazon S3. Misalnya, tugas bisa berupaPutObjectTask, atau aGetObjectTask, atauUploadPartTask. Tingkat di mana tugas ditambahkan ke antrian bisa jauh lebih cepat daripada tingkat di mana konsumen menyelesaikan tugas. Untuk menghindari pertumbuhan tak terbatas, ukuran antrian tugas dibatasi ke ukuran tertentu. Pengaturan ini mengubah nilai angka maksimum itu.

Anda biasanya tidak perlu mengubah pengaturan ini. Pengaturan ini juga sesuai dengan jumlah tugas yang AWS CLI disadari perlu dijalankan. Ini berarti bahwa secara default hanya AWS CLI dapat melihat 1000 tugas di depan. Meningkatkan nilai ini berarti bahwa AWS CLI dapat lebih cepat mengetahui jumlah total tugas yang dibutuhkan, dengan asumsi bahwa tingkat antrian lebih cepat daripada tingkat penyelesaian tugas. Penggantiannya adalah max_queue_size yang lebih besar membutuhkan lebih banyak memori.

multipart_chunksize

Menentukan ukuran potongan yang AWS CLI digunakan untuk transfer multipart file individual. Nilai default adalah 8 MB, dengan minimal 5 MB.

Ketika transfer file melebihimultipart_threshold, AWS CLI membagi file menjadi potongan-potongan ukuran ini. Nilai ini dapat ditentukan menggunakan sintaks yang sama sepertimultipart_threshold, baik sebagai jumlah byte sebagai integer, atau dengan menggunakan ukuran dan akhiran.

multipart_threshold

Menentukan ambang batas ukuran AWS CLI penggunaan untuk transfer multipart file individual. Nilai defaultnya adalah 8 MB.

Saat mengunggah, mengunduh, atau menyalin file, perintah Amazon S3 beralih ke operasi multibagian jika file melebihi ukuran ini. Anda dapat menentukan nilai ini dengan salah satu dari dua cara:

  • Ukuran file dalam byte. Misalnya, 1048576.

  • Ukuran file dengan akhiran ukuran. Anda dapat menggunakanKB,MB,GB, atauTB. Misalnya:10MB,1GB.

    catatan

    S3 dapat memaksakan kendala pada nilai valid yang dapat digunakan untuk operasi multipart. Untuk informasi selengkapnya, lihat dokumentasi Unggahan Multipart S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.