Impostazioni dei file di configurazione e credenziali in AWS CLI - AWS Command Line Interface
Formato dei file di configurazione e delle credenzialiDove vengono archiviate le impostazioni di configurazione?Utilizzo di profili denominatiImposta e visualizza le impostazioni di configurazione utilizzando i comandiImpostazione di nuovi esempi di comandi per la configurazione e le credenzialiImpostazioni supportate del file config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazioni dei file di configurazione e credenziali in AWS CLI

Puoi salvare le impostazioni di configurazione e le credenziali utilizzate di frequente nei file gestiti da AWS CLI.

I file sono suddivisi in profiles. Per impostazione predefinita, AWS CLI utilizza le impostazioni presenti nel profilo denominatodefault. Per usare impostazioni alternative, puoi creare profili aggiuntivi e farvi riferimento.

Puoi sostituire una singola impostazione configurando una delle variabili di ambiente supportate oppure utilizzando un parametro della riga di comando. Per ulteriori informazioni sulla precedenza delle impostazioni di configurazione, consulta Configurazione delle impostazioni per AWS CLI.

Nota

Per informazioni sulla configurazione delle credenziali, consultaCredenziali di autenticazione e accesso per AWS CLI.

Formato dei file di configurazione e delle credenziali

I credentials file config e sono organizzati in sezioni. Le sezioni includono profili, sessioni sso e servizi. Una sezione è una raccolta denominata di impostazioni e continua fino a quando non viene incontrata un'altra riga di definizione della sezione. È possibile memorizzare più profili e sezioni nei credentials file config and.

Questi file sono file di testo semplice che utilizzano il seguente formato:

  • I nomi delle sezioni sono racchiusi tra parentesi [] come, e[default]. [profile user1] [sso-session]

  • Tutte le voci di una sezione assumono il formato generale di. setting_name=value

  • Le righe possono essere commentate iniziando la riga con un carattere cancelletto ()#.

I credentials file config and contengono i seguenti tipi di sezione:

Tipo di sezione: profile

I AWS CLI negozi

A seconda del file, i nomi delle sezioni del profilo utilizzano il seguente formato:

  • File di configurazione: [default] [profile user1]

  • File di credenziali: [default] [user1]

    Non utilizzare la parola profile durante la creazione di una voce nel file credentials.

Ogni profilo può specificare credenziali diverse e può anche specificare AWS regioni e formati di output diversi. Quando assegnate un nome al profilo in un config file, includete la parola di prefisso "profile«, ma non includetela nel file. credentials

Gli esempi seguenti mostrano un config file credentials and con due profili, una regione e un output specificati. Il primo [predefinito] viene utilizzato quando si esegue un AWS CLI comando senza specificare alcun profilo. Il secondo viene utilizzato quando si esegue un AWS CLI comando con il --profile user1 parametro.

IAM Identity Center (SSO)

Questo esempio è per AWS IAM Identity Center. Per ulteriori informazioni, consulta Configurazione dell'autenticazione IAM Identity Center con AWS CLI.

File di credenziali

Il credentials file non viene utilizzato per questo metodo di autenticazione.

File di configurazione

[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
IAM Identity Center (Legacy SSO)

Questo esempio riguarda il metodo legacy di AWS IAM Identity Center. Per ulteriori informazioni, consulta Configurazione dell'autenticazione IAM Identity Center con AWS CLI.

File di credenziali

Il credentials file non viene utilizzato per questo metodo di autenticazione.

File di configurazione

[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
Short-term credentials

Questo esempio riguarda le credenziali a breve termine di. AWS Identity and Access Management Per ulteriori informazioni, consulta Autenticazione con credenziali a breve termine per AWS CLI.

File di credenziali

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

File di configurazione

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text
IAM role

Questo esempio serve per assumere un IAM ruolo. I profili che utilizzano IAM ruoli estraggono le credenziali da un altro profilo e quindi applicano le autorizzazioni di IAM ruolo. Negli esempi seguenti, default è il profilo di origine per le credenziali e prende in user1 prestito le stesse credenziali per poi assumere un nuovo ruolo. Per ulteriori informazioni, consulta Utilizzo di un IAM ruolo in AWS CLI.

File di credenziali

Il credentials file dipende dall'autenticazione utilizzata dal profilo di origine. Nell'esempio seguente, il profilo di origine utilizza credenziali a breve termine.

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

File di configurazione

[default]
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text
Amazon EC2 instance metadata credentials

Questo esempio riguarda le credenziali ottenute dai metadati dell'EC2istanza Amazon di hosting. Per ulteriori informazioni, consulta Utilizzo dei metadati delle EC2 istanze Amazon come credenziali nel AWS CLI.

File di credenziali

Il credentials file non viene utilizzato per questo metodo di autenticazione.

File di configurazione

[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text
Long-term credentials
avvertimento

Per evitare rischi per la sicurezza, non utilizzate IAM gli utenti per l'autenticazione quando sviluppate software appositamente creato o lavorate con dati reali. Utilizza invece la federazione con un provider di identità come AWS IAM Identity Center.

Questo esempio riguarda le credenziali a lungo termine di. AWS Identity and Access Management Per ulteriori informazioni, consulta Autenticazione tramite credenziali IAM utente per AWS CLI.

File di credenziali

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

File di configurazione

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

Per ulteriori informazioni e metodi di autorizzazione e credenziali aggiuntivi, vedere. Autenticazione tramite credenziali IAM utente per AWS CLI

Tipo di sezione: sso-session

La sso-session sezione del config file viene utilizzata per raggruppare le variabili di configurazione per SSO l'acquisizione di token di accesso, che possono quindi essere utilizzati per acquisire AWS le credenziali. Vengono utilizzate le seguenti impostazioni:

Definite una sso-session sezione e la associate a un profilo. sso_regione sso_start_url deve essere impostato all'interno della sso-session sezione. In genere, sso_account_id e sso_role_name deve essere impostato nella profile sezione in modo da SDK poter richiedere SSO le credenziali.

L'esempio seguente configura SDK per richiedere le SSO credenziali e supporta l'aggiornamento automatico dei token: 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Ciò consente inoltre di sso-session riutilizzare le configurazioni su più profili: 

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Tuttavia, sso_account_id sso_role_name non sono necessari per tutti gli scenari di configurazione dei SSO token. Se l'applicazione utilizza solo AWS servizi che supportano l'autenticazione al portatore, AWS le credenziali tradizionali non sono necessarie. L'autenticazione al portatore è uno schema di HTTP autenticazione che utilizza token di sicurezza denominati token al portatore. In questo scenario, sso_account_id e sso_role_name non sono obbligatori. Consulta la guida individuale del tuo AWS servizio per determinare se supporta l'autorizzazione del token al portatore.

Inoltre, gli ambiti di registrazione possono essere configurati come parte di un. sso-session Scope è un meccanismo della OAuth versione 2.0 per limitare l'accesso di un'applicazione all'account di un utente. Un'applicazione può richiedere uno o più ambiti e il token di accesso rilasciato all'applicazione sarà limitato agli ambiti concessi. Questi ambiti definiscono le autorizzazioni richieste per l'autorizzazione per il OIDC client registrato e i token di accesso recuperati dal client. L'esempio seguente consente di fornire l'accesso per sso_registration_scopes elencare account/ruoli: 

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Il token di autenticazione viene memorizzato nella cache su disco all'interno della ~/.aws/sso/cache directory con un nome di file basato sul nome della sessione.

Per ulteriori informazioni su questo tipo di configurazione, vedere. Configurazione dell'autenticazione IAM Identity Center con AWS CLI

Tipo di sezione: services

La services sezione è un gruppo di impostazioni che configura gli endpoint personalizzati per Servizio AWS le richieste. Un profilo viene quindi collegato a una services sezione. 

[profile dev]
services = my-services

La services sezione è separata in sottosezioni da <SERVICE> = linee, dove si <SERVICE> trova la chiave Servizio AWS identificativa. L' Servizio AWS identificatore si basa su quello del API modello serviceId sostituendo tutti gli spazi con caratteri di sottolineatura e tutte le lettere minuscole. Per un elenco di tutte le chiavi identificative dei servizi da utilizzare nella sezione, vedere. services Utilizzo degli endpoint in AWS CLI La chiave identificativa del servizio è seguita da impostazioni annidate, ciascuna sulla propria riga e rientrata da due spazi.

L'esempio seguente configura l'endpoint da utilizzare per le richieste effettuate al servizio in Amazon DynamoDB my-services sezione utilizzata in dev profilo. Tutte le righe immediatamente successive che sono rientrate sono incluse in tale sottosezione e si applicano a tale servizio. 

[profile dev]
services = my-services

[services my-services]
dynamodb = 
  endpoint_url = http://localhost:8000

Per ulteriori informazioni sugli endpoint specifici del servizio, vedere. Utilizzo degli endpoint in AWS CLI

Se il tuo profilo ha credenziali basate sui ruoli configurate tramite un source_profile parametro per IAM assumere la funzionalità del ruolo, utilizza SDK solo le configurazioni di servizio per il profilo specificato. Non utilizza profili concatenati a ruoli. Ad esempio, utilizzando il seguente config file condiviso: 

[profile A]
credential_source = Ec2InstanceMetadata
endpoint_url = https://profile-a-endpoint.aws/

[profile B]
source_profile = A
role_arn = arn:aws:iam::123456789012:role/roleB
services = profileB

[services profileB]
ec2 = 
  endpoint_url = https://profile-b-ec2-endpoint.aws

Se usi il profilo B ed effettui una chiamata nel tuo codice verso AmazonEC2, l'endpoint si risolve come. https://profile-b-ec2-endpoint.aws Se il codice invia una richiesta a qualsiasi altro servizio, la risoluzione dell'endpoint non seguirà alcuna logica personalizzata. L'endpoint non si risolve nell'endpoint globale definito nel profilo. A Affinché un endpoint globale abbia effetto sul profiloB, è necessario endpoint_url impostarlo direttamente all'interno del profilo. B

Dove vengono archiviate le impostazioni di configurazione?

AWS CLI Memorizza le informazioni riservate sulle credenziali specificate aws configure in un file locale denominatocredentials, in una cartella denominata .aws nella home directory. Le altre opzioni di configurazione meno riservate specificate con aws configure vengono archiviate in un file locale denominato config che è archiviato nella cartella .aws della home directory.

Archiviazione delle credenziali nel file di configurazione

Puoi conservare tutte le impostazioni del tuo profilo in un unico file in quanto AWS CLI possono leggere le credenziali dal config file. Se in entrambi i file sono presenti credenziali per un profilo che condivide lo stesso nome, le chiavi nel file delle credenziali hanno la precedenza. Ti consigliamo di conservare le credenziali nei file. credentials Questi file vengono utilizzati anche dai kit di sviluppo software in vari linguaggi ()SDKs. Se utilizzi uno di questi SDKs in aggiunta a AWS CLI, conferma se le credenziali devono essere archiviate nel loro file.

La posizione della home directory varia in base al sistema operativo, ma viene definita utilizzando le variabili di ambiente %UserProfile% in Windows e $HOME o ~ (tilde) nei sistemi basati su Unix. È possibile specificare una posizione non predefinita per i file impostando le variabili di AWS_SHARED_CREDENTIALS_FILE ambiente AWS_CONFIG_FILE e su un altro percorso locale. Per informazioni dettagliate, vedi Configurazione delle variabili di ambiente per AWS CLI.

Quando utilizzate un profilo condiviso che specifica un ruolo AWS Identity and Access Management (IAM), AWS CLI chiama l' AWS STS AssumeRoleoperazione per recuperare le credenziali temporanee. Queste credenziali vengono quindi archiviate (in ~/.aws/cli/cache). AWS CLI I comandi successivi utilizzano le credenziali temporanee memorizzate nella cache fino alla loro scadenza e, a quel punto, le aggiornano automaticamente. AWS CLI

Utilizzo di profili denominati

Se nessun profilo è definito in modo esplicito, viene utilizzato il profilo. default

Per usare un profilo denominato, aggiungi l'opzione --profile profile-name al comando. L'esempio seguente elenca tutte le tue EC2 istanze Amazon utilizzando le credenziali e le impostazioni definite nel user1 profilo.

$ aws ec2 describe-instances --profile user1

Per utilizzare un profilo denominato per più comandi, puoi evitare di specificare il profilo in ogni comando impostando la variabile di AWS_PROFILE ambiente come profilo predefinito. È possibile ignorare questa impostazione utilizzando il --profile parametro.

Linux or macOS
$ export AWS_PROFILE=user1
Windows
C:\> setx AWS_PROFILE user1

Se si utilizza set per impostare una variabile di ambiente, il valore utilizzato viene modificato fino al termine della sessione del prompt dei comandi corrente o finché non imposti la variabile su un valore diverso.

L'uso di setx per impostare una variabile di ambiente comporta la modifica del valore in tutte le shell di comando create dopo l'esecuzione del comando. Non influisce su alcuna shell di comando già in esecuzione nel momento in cui si esegue il comando. Chiudere e riavviare la shell dei comandi per visualizzare gli effetti della modifica.

L'impostazione della variabile di ambiente modifica il profilo di default fino al termine della sessione della shell o finché non si imposta la variabile su un valore diverso. Puoi rendere le variabili di ambiente persistenti per le sessioni future inserendole nello script di avvio della shell. Per ulteriori informazioni, consulta Configurazione delle variabili di ambiente per AWS CLI.

Imposta e visualizza le impostazioni di configurazione utilizzando i comandi

Esistono diversi modi per visualizzare e configurare le impostazioni di configurazione utilizzando i comandi.

aws configure

Esegui questo comando per impostare e visualizzare rapidamente le credenziali, la regione e il formato di output. L'esempio seguente illustra i valori di esempio.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
aws configure set

Puoi impostare le credenziali o le impostazioni di configurazione utilizzando aws configure set. Specifica il profilo che intendi visualizzare o modificare con l'impostazione --profile.

Ad esempio, il comando seguente configura l'impostazione region nel profilo denominato integ.

$ aws configure set region us-west-2 --profile integ

Per rimuovere un'impostazione, elimina manualmente l'impostazione nei credentials file config e in un editor di testo.

aws configure get

Puoi recuperare le credenziali o le impostazioni di configurazione impostate utilizzando aws configure get. Specifica il profilo che intendi visualizzare o modificare con l'impostazione --profile.

Ad esempio, il comando seguente recupera l'impostazione region nel profilo denominato integ.

$ aws configure get region --profile integ
us-west-2

Se l'output è vuoto, l'impostazione non è configurata esplicitamente e viene utilizzato il valore predefinito.

aws configure import

Importa CSV le credenziali generate dalla console IAM web. Non si tratta di credenziali generate da IAM Identity Center; i clienti che utilizzano IAM Identity Center devono utilizzare aws configure sso. Viene importato un CSV file con il nome del profilo corrispondente al nome utente. Il CSV file deve contenere le seguenti intestazioni.

  • Nome utente

  • ID chiave di accesso

  • Chiave di accesso segreta

Nota

Durante la creazione iniziale della coppia di chiavi, una volta chiusa la finestra di dialogo Scarica il file.csv, non è possibile accedere alla chiave di accesso segreta dopo aver chiuso la finestra di dialogo. Se hai bisogno di un .csv file, dovrai crearne uno tu stesso con le intestazioni richieste e le informazioni sulla key pair memorizzate. Se non hai accesso alle informazioni sulla tua coppia di chiavi, devi creare una nuova coppia di chiavi.

$ aws configure import --csv file://credentials.csv
aws configure list

Per elencare i dati di configurazione, utilizzare il aws configure list comando. Questo comando elenca le informazioni di configurazione del profilo, della chiave di accesso, della chiave segreta e della regione utilizzate per il profilo specificato. Per ogni elemento di configurazione, mostra il valore, dove è stato recuperato il valore di configurazione e il nome della variabile di configurazione.

Ad esempio, se fornite il Regione AWS in una variabile di ambiente, questo comando mostra il nome dell'area che avete configurato, che questo valore proviene da una variabile di ambiente e il nome della variabile di ambiente.

Per i metodi di credenziali temporanei come roles e IAM Identity Center, questo comando visualizza la chiave di accesso temporaneamente memorizzata nella cache e viene visualizzata la chiave di accesso segreta.

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION
aws configure list-profiles

Per elencare tutti i nomi del profilo, utilizzare il comando aws configure list-profiles.

$ aws configure list-profiles
default
test
aws configure sso

Esegui questo comando per impostare e visualizzare rapidamente AWS IAM Identity Center le credenziali, la regione e il formato di output. L'esempio seguente illustra i valori di esempio.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access
aws configure sso-session

Esegui questo comando per impostare e visualizzare rapidamente le AWS IAM Identity Center credenziali, la regione e il formato di output nella sezione sso-session dei file and. credentials config L'esempio seguente illustra i valori di esempio.

$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Impostazione di nuovi esempi di comandi per la configurazione e le credenziali

Gli esempi seguenti mostrano la configurazione di un profilo predefinito con credenziali, regione e output specificati per diversi metodi di autenticazione.

IAM Identity Center (SSO)

Questo esempio riguarda l' AWS IAM Identity Center utilizzo della aws configure sso procedura guidata. Per ulteriori informazioni, consulta Configurazione dell'autenticazione IAM Identity Center con AWS CLI.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

Attempting to automatically open the SSO authorization page in your default browser.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
IAM Identity Center (Legacy SSO)

Questo esempio riguarda il metodo precedente di AWS IAM Identity Center utilizzo della aws configure sso procedura guidata. Per utilizzare la versione precedenteSSO, lasciate vuoto il nome della sessione. Per ulteriori informazioni, consulta Configurazione dell'autenticazione IAM Identity Center con AWS CLI.

$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
Short-term credentials

Questo esempio riguarda le credenziali a breve termine di AWS Identity and Access Management. La procedura guidata aws configure viene utilizzata per impostare i valori iniziali e quindi il aws configure set comando assegna l'ultimo valore necessario. Per ulteriori informazioni, consulta Autenticazione con credenziali a breve termine per AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
IAM role

Questo esempio serve per assumere un ruolo. IAM I profili che utilizzano IAM ruoli estraggono le credenziali da un altro profilo e quindi applicano le autorizzazioni di IAM ruolo. Negli esempi seguenti, default è il profilo di origine per le credenziali e prende in user1 prestito le stesse credenziali per poi assumere un nuovo ruolo. Non esiste una procedura guidata per questo processo, pertanto ogni valore viene impostato utilizzando il comando. aws configure set Per ulteriori informazioni, consulta Utilizzo di un IAM ruolo in AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json
Amazon EC2 instance metadata credentials

Questo esempio riguarda le credenziali ottenute dai metadati dell'EC2istanza Amazon di hosting. Non esiste una procedura guidata per questo processo, pertanto ogni valore viene impostato utilizzando il comando. aws configure set Per ulteriori informazioni, consulta Utilizzo dei metadati delle EC2 istanze Amazon come credenziali nel AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json
Long-term credentials
avvertimento

Per evitare rischi per la sicurezza, non utilizzate IAM gli utenti per l'autenticazione quando sviluppate software appositamente creato o lavorate con dati reali. Utilizza invece la federazione con un provider di identità come AWS IAM Identity Center.

Questo esempio riguarda le credenziali a lungo termine di. AWS Identity and Access Management Per ulteriori informazioni, consulta Autenticazione tramite credenziali IAM utente per AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Impostazioni supportate del file config

Le seguenti impostazioni sono supportate nel file config. Vengono utilizzati i valori elencati nel profilo specificato (o nel profilo predefinito), a meno che non vengano sostituiti grazie alla presenza di una variabile di ambiente con lo stesso nome o di un'opzione della riga di comando con lo stesso nome. Per ulteriori informazioni sulle impostazioni di ordine che hanno la precedenza, consulta Configurazione delle impostazioni per AWS CLI

Impostazioni globali

aws_access_key_id

Speciifica la chiave di AWS accesso utilizzata come parte delle credenziali per autenticare la richiesta di comando. Sebbene tale impostazione possa essere archiviata nel file config, ti consigliamo di archiviarla nel file credentials.

Può essere sostituita dalla variabile di ambiente AWS_ACCESS_KEY_ID. Non è possibile specificare l'ID chiave di accesso come un'opzione della riga di comando.

aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key

Speciifica la chiave AWS segreta utilizzata come parte delle credenziali per autenticare la richiesta di comando. Sebbene tale impostazione possa essere archiviata nel file config, ti consigliamo di archiviarla nel file credentials.

Può essere sostituita dalla variabile di ambiente AWS_SECRET_ACCESS_KEY. Non è possibile specificare la chiave di accesso segreta come un'opzione della riga di comando.

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token

Specifica un token di sessione. AWS È richiesto un token di sessione solo se si specificano manualmente credenziali di sicurezza temporanee. Sebbene tale impostazione possa essere archiviata nel file config, ti consigliamo di archiviarla nel file credentials.

Può essere sostituita dalla variabile di ambiente AWS_SESSION_TOKEN. Non è possibile specificare il token di sessione come un'opzione della riga di comando.

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
ca_bundle

Speciifica un pacchetto di certificati CA (un file con .pem estensione) utilizzato per verificare i certificati. SSL

Può essere sostituita dalla variabile di ambiente AWS_CA_BUNDLE o dall'opzione della riga di comando --ca-bundle. 

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem
cli_auto_prompt

Abilita il prompt automatico per la AWS CLI versione 2. È possibile utilizzare due impostazioni:

  • onutilizza la modalità di prompt automatico completa ogni volta che si tenta di eseguire un aws comando. Ciò include ENTERla pressione dopo un comando completo o un comando incompleto.

    cli_auto_prompt = on

  • on-partialutilizza la modalità di richiesta automatica parziale. Se un comando è incompleto o non può essere eseguito a causa di errori di convalida lato client, viene utilizzato il prompt automatico. Questa modalità è particolarmente utile se si dispone di script e runbook preesistenti o se si desidera ricevere una richiesta automatica solo per i comandi che non si conoscono anziché essere richiesti per ogni comando.

    cli_auto_prompt = on-partial

È possibile ignorare questa impostazione utilizzando la variabile di ambiente o i parametri della riga di comando andaws_cli_auto_prompt. --cli-auto-prompt --no-cli-auto-prompt

Per informazioni sulla funzionalità di richiesta automatica della AWS CLI versione 2, vedere. Attivazione e utilizzo dei prompt dei comandi in AWS CLI

cli_binary_format

Specifica in che modo la AWS CLI versione 2 interpreta i parametri di input binari. Può essere uno dei seguenti valori:

  • base64 — Questo è il valore predefinito. Un parametro di input digitato come oggetto binario di grandi dimensioni (BLOB) accetta una stringa con codifica Base64. Per passare il contenuto binario vero, inserire il contenuto in un file e fornire il percorso e il nome del file con il prefisso fileb:// come valore del parametro. Per passare il testo codificato in base 64 contenuto in un file, specificare il percorso e il nome del file con il prefisso file:// come valore del parametro.

  • raw-in-base64-out: impostazione predefinita per la versione 1. AWS CLI Se il valore dell'impostazione èraw-in-base64-out, i file a cui si fa riferimento utilizzando il file:// prefisso vengono letti come testo e quindi i AWS CLI tentativi di codificarli in binario.

Questa voce non dispone di una variabile di ambiente equivalente. È possibile specificare il valore su un singolo comando utilizzando il parametro --cli-binary-format raw-in-base64-out.

cli_binary_format = raw-in-base64-out

Se si fa riferimento a un valore binario in un file utilizzando la notazione del fileb:// prefisso, si aspetta AWS CLI sempre che il file contenga contenuto binario non elaborato e non tenta di convertire il valore.

Se si fa riferimento a un valore binario in un file utilizzando la notazione del file:// prefisso, AWS CLI gestisce il file in base all'impostazione corrente. cli_binary_format Se il valore di tale impostazione è base64 (l'impostazione predefinita quando non è impostata in modo esplicito), si AWS CLI aspetta che il file contenga testo con codifica base64. Se il valore di tale impostazione èraw-in-base64-out, si AWS CLI aspetta che il file contenga contenuto binario non elaborato.

cli_history

Disabilitato per impostazione predefinita. Questa impostazione abilita la cronologia dei comandi per. AWS CLI Dopo aver abilitato questa impostazione, AWS CLI registra la cronologia dei aws comandi.

cli_history = enabled

È possibile elencare la cronologia utilizzando il aws history list comando e utilizzare il risultato command_ids del aws history show comando per i dettagli. Per ulteriori informazioni, consulta la guida AWS CLI di riferimento.

cli_pager

Specifica il programma pager utilizzato per l'output. Per impostazione predefinita, AWS CLI la versione 2 restituisce tutto l'output tramite il programma cercapersone predefinito del sistema operativo.

Può essere sovrascritto dalla variabile di ambiente. AWS_PAGER

cli_pager=less
cli_timestamp_format

Specifica il formato dei valori di timestamp inclusi nell'output. Puoi specificare uno dei seguenti valori:

  • iso8601 — Il valore predefinito per la versione 2. AWS CLI Se specificato, AWS CLI riformatta tutti i timestamp in base a 8601. ISO

    ISOI timestamp formattati 8601 sono simili agli esempi seguenti. Il primo esempio mostra l'ora in Coordinated Universal Time (UTC) includendo un Z valore dopo l'ora. La data e l'ora sono separati da una T.

    2019-10-31T22:21:41Z

    Per specificare un fuso orario diverso, anziché ilZ, specifica un + o - e il numero di ore in cui il fuso orario desiderato è anteriore o posterioreUTC, come valore a due cifre. L'esempio seguente mostra la stessa ora dell'esempio precedente ma adattata all'ora solare del Pacifico, che è indietro di otto ore. UTC

    2019-10-31T14:21:41-08

  • wire — Il valore predefinito per la AWS CLI versione 1. Se specificato, AWS CLI visualizza tutti i valori del timestamp esattamente come ricevuti nella risposta alla HTTP query.

Questa voce non dispone di una variabile di ambiente o di un'opzione della riga di comando equivalente.

cli_timestamp_format = iso8601
credential_process

Speciifica un comando esterno da eseguire per generare o recuperare le AWS CLI credenziali di autenticazione da utilizzare per questo comando. Il comando deve restituire le credenziali in un formato specifico. Per ulteriori informazioni sull'utilizzo di questa impostazione, consulta Acquisizione di credenziali con un processo esterno in AWS CLI.

Questa voce non dispone di una variabile di ambiente o di un'opzione della riga di comando equivalente.

credential_process = /opt/bin/awscreds-retriever --username susan
credential_source

Utilizzato all'interno di EC2 istanze o contenitori Amazon per specificare dove AWS CLI trovare le credenziali da utilizzare per assumere il ruolo specificato con il role_arn parametro. Non è possibile specificare sia source_profile sia credential_source nello stesso profilo.

Questo parametro può avere uno dei seguenti tre valori:

  • Ambiente: specifica che deve recuperare le AWS CLI credenziali di origine dalle variabili di ambiente.

  • Ec2 InstanceMetadata: specifica che deve essere utilizzato il IAM ruolo AWS CLI associato al profilo dell'EC2istanza per ottenere le credenziali di origine.

  • EcsContainer— Speciifica che deve essere utilizzato AWS CLI il IAM ruolo associato al ECS contenitore come credenziali di origine.

credential_source = Ec2InstanceMetadata
duration_seconds

Specifica la durata massima della sessione del ruolo, in secondi. Questo valore può variare da 900 secondi (15 minuti) fino alla durata massima della sessione per il ruolo (massimo 43200 minuti). Si tratta di un parametro facoltativo e, per impostazione predefinita, il valore è impostato su 3600 secondi.

endpoint_url

Speciifica l'endpoint utilizzato per tutte le richieste di servizio. Se questa impostazione viene utilizzata nella servicessezione del config file, l'endpoint viene utilizzato solo per il servizio specificato.

L'esempio seguente utilizza l'endpoint globale http://localhost:1234 e un endpoint specifico del servizio di per Amazon http://localhost:4567 S3.

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

Le impostazioni di configurazione degli endpoint si trovano in più posizioni, ad esempio le variabili di sistema o di ambiente utente, i file di AWS configurazione locali o sono dichiarate esplicitamente nella riga di comando come parametro. Le impostazioni di configurazione AWS CLI degli endpoint hanno la precedenza nell'ordine seguente:

  1. L'opzione della --endpoint-url riga di comando.

  2. Se abilitata, la variabile di ambiente AWS_IGNORE_CONFIGURED_ENDPOINT_URLS globale dell'endpoint o l'impostazione del profilo ignore_configure_endpoint_urls per ignorare gli endpoint personalizzati.

  3. Il valore fornito da una variabile AWS_ENDPOINT_URL_<SERVICE> di ambiente specifica del servizio, ad esempio. AWS_ENDPOINT_URL_DYNAMODB

  4. I valori forniti dalle variabili AWS_USE_DUALSTACK_ENDPOINTAWS_USE_FIPS_ENDPOINT, e di AWS_ENDPOINT_URL ambiente.

  5. Il valore dell'endpoint specifico del servizio fornito dall'endpoint_urlimpostazione all'interno di una services sezione del file condiviso. config

  6. Il valore fornito dall'endpoint_urlimpostazione all'interno di uno profile dei file condivisi. config

  7. use_dualstack_endpointuse_fips_endpointe endpoint_url impostazioni.

  8. Qualsiasi endpoint predefinito URL per il rispettivo dispositivo Servizio AWS viene utilizzato per ultimo. Per un elenco degli endpoint del servizio standard disponibili in ogni regione, consulta Regioni ed endpoint AWS nella Riferimenti generali di Amazon Web Services.

ignore_configure_endpoint_urls

Se abilitato, AWS CLI ignora tutte le configurazioni personalizzate degli endpoint specificate nel file. config I valori validi sono true e false.

ignore_configure_endpoint_urls = true

Le impostazioni di configurazione degli endpoint si trovano in più posizioni, ad esempio le variabili di sistema o di ambiente utente, i file di AWS configurazione locali o sono dichiarate esplicitamente nella riga di comando come parametro. Le impostazioni di configurazione AWS CLI degli endpoint hanno la precedenza nell'ordine seguente:

  1. L'opzione della --endpoint-url riga di comando.

  2. Se abilitata, la variabile di ambiente AWS_IGNORE_CONFIGURED_ENDPOINT_URLS globale dell'endpoint o l'impostazione del profilo ignore_configure_endpoint_urls per ignorare gli endpoint personalizzati.

  3. Il valore fornito da una variabile AWS_ENDPOINT_URL_<SERVICE> di ambiente specifica del servizio, ad esempio. AWS_ENDPOINT_URL_DYNAMODB

  4. I valori forniti dalle variabili AWS_USE_DUALSTACK_ENDPOINTAWS_USE_FIPS_ENDPOINT, e di AWS_ENDPOINT_URL ambiente.

  5. Il valore dell'endpoint specifico del servizio fornito dall'endpoint_urlimpostazione all'interno di una services sezione del file condiviso. config

  6. Il valore fornito dall'endpoint_urlimpostazione all'interno di uno profile dei file condivisi. config

  7. use_dualstack_endpointuse_fips_endpointe endpoint_url impostazioni.

  8. Qualsiasi endpoint predefinito URL per il rispettivo dispositivo Servizio AWS viene utilizzato per ultimo. Per un elenco degli endpoint del servizio standard disponibili in ogni regione, consulta Regioni ed endpoint AWS nella Riferimenti generali di Amazon Web Services.

external_id

Specifica un identificatore univoco che viene utilizzato da terze parti per assumere un ruolo negli account dei relativi clienti. Questo è mappato al parametro ExternalId nell'operazione AssumeRole. Questo parametro è necessario solo se la policy di attendibilità per il ruolo specifica un valore per ExternalId. Per ulteriori informazioni, consulta Come utilizzare un ID esterno per concedere l'accesso alle AWS risorse a terzi nella Guida per l'IAMutente.

max_attempts

Specificate il valore massimo di tentativi utilizzato dal gestore dei tentativi, in AWS CLI base al quale la chiamata iniziale viene conteggiata ai fini del max_attempts valore fornito.

È possibile sovrascrivere questo valore utilizzando la variabile di ambiente. AWS_MAX_ATTEMPTS

max_attempts = 3
mfa_serial

Il numero di identificazione di un MFA dispositivo da utilizzare quando si assume un ruolo. Questo è obbligatorio solo se la politica di fiducia del ruolo assunto include una condizione che richiede MFA l'autenticazione. Il valore può essere un numero di serie per un dispositivo hardware (comeGAHT12345678) o un Amazon Resource Name (ARN) per un MFA dispositivo virtuale (comearn:aws:iam::123456789012:mfa/user).

output

Specifica il formato di output predefinito per i comandi richiesti utilizzando questo profilo. Puoi specificare uno qualsiasi dei valori seguenti:

  • json— L'output è formattato come JSONstringa.

  • yaml— L'output è formattato come stringa YAML.

  • yaml-stream— L'output viene trasmesso in streaming e formattato come stringa. YAML Lo streaming consente una gestione più rapida di tipi di dati di grandi dimensioni.

  • text— L'output è formattato come più righe di valori di stringa separati da tabulazioni. Questo può essere utile per passare l'output a un elaboratore di testi, ad esempiogrep, sed o. awk

  • table— L'output viene formattato come tabella utilizzando i caratteri +|- per formare i bordi delle celle. In genere presenta le informazioni in un formato comprensibile molto più semplice da leggere rispetto ad altri, ma non altrettanto utile a livello programmatico.

Può essere sostituita dalla variabile di ambiente AWS_DEFAULT_OUTPUT o dall'opzione della riga di comando --output.

output = table
parameter_validation

Speciifica se il AWS CLI client tenta di convalidare i parametri prima di inviarli all'endpoint del servizio. AWS

  • true — Questo è il valore predefinito. Se specificato, AWS CLI esegue la convalida locale dei parametri della riga di comando.

  • false — Se specificato, AWS CLI non convalida i parametri della riga di comando prima di inviarli all'endpoint del AWS servizio.

Questa voce non dispone di una variabile di ambiente o di un'opzione della riga di comando equivalente.

parameter_validation = false
region

Speciifica a chi Regione AWS inviare le richieste per i comandi richiesti utilizzando questo profilo.

  • È possibile specificare uno qualsiasi dei codici regionali disponibili per il servizio scelto, elencati in AWS Regioni ed endpoint in. Riferimenti generali di Amazon Web Services

  • aws_globalconsente di specificare l'endpoint globale per i servizi che supportano un endpoint globale oltre agli endpoint regionali, come AWS Security Token Service ()AWS STS e Amazon Simple Storage Service (Amazon S3).

Puoi sovrascrivere questo valore utilizzando la variabile di ambiente, la variabile di AWS_REGION ambiente o AWS_DEFAULT_REGION l'opzione della riga di comando. --region

region = us-west-2
retry_mode

Specificate la modalità di riprova utilizzata. AWS CLI Sono disponibili tre modalità di riprova: legacy (predefinita), standard e adattiva. Per ulteriori informazioni sui tentativi, consultare AWS CLI nuovi tentativi nel AWS CLI.

È possibile sovrascrivere questo valore utilizzando la AWS_RETRY_MODE variabile di ambiente.

retry_mode = standard
role_arn

Speciifica l'Amazon Resource Name (ARN) di un IAM ruolo che desideri utilizzare per eseguire i AWS CLI comandi. Puoi anche specificare uno dei seguenti parametri per identificare le credenziali che dispongono dell'autorizzazione per assumere questo ruolo:

  • source_profile

  • credential_source

role_arn = arn:aws:iam::123456789012:role/role-name

La variabile di ambiente AWS_ROLE_ARNsostituisce questa impostazione.

Per ulteriori informazioni sull'utilizzo delle identità Web, vedere. Assunzione di un ruolo con un'identità Web

role_session_name

Specifica il nome da associare alla sessione del ruolo. Questo valore viene fornito al RoleSessionName parametro quando AWS CLI chiama l'AssumeRoleoperazione e diventa parte del ruolo assunto userARN: arn:aws:sts::123456789012:assumed-role/role_name/role_session_name. Si tratta di un parametro facoltativo. Se non fornisci questo valore, viene automaticamente generato un nome della sessione. Questo nome viene visualizzato nei log di AWS CloudTrail per le voci associate a questa sessione.

role_session_name = maria_garcia_role

La variabile di ambiente ha la AWS_ROLE_SESSION_NAMEprecedenza su questa impostazione.

Per ulteriori informazioni sull'utilizzo delle identità Web, vedere. Assunzione di un ruolo con un'identità Web

services

Speciifica la configurazione del servizio da utilizzare per il profilo. 

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

Per ulteriori informazioni sulla services sezione, vedereTipo di sezione: services.

La variabile di ambiente ha la AWS_ROLE_SESSION_NAMEprecedenza su questa impostazione.

Per ulteriori informazioni sull'utilizzo delle identità Web, vedere. Assunzione di un ruolo con un'identità Web

sdk_ua_app_id

Una singola Account AWS può essere utilizzata da più applicazioni del cliente a cui effettuare Servizi AWS chiamate. L'ID dell'applicazione identifica quale applicazione di origine ha effettuato una serie di chiamate utilizzando un Servizio AWS. AWS SDKse i servizi non utilizzano o interpretano questo valore se non per riemergere nelle comunicazioni con i clienti. Ad esempio, questo valore può essere incluso nelle e-mail operative per identificare in modo univoco quale delle applicazioni è associata alla notifica.

L'ID dell'applicazione è una stringa con una lunghezza massima di 50 caratteri. Sono consentite lettere, numeri e i seguenti caratteri speciali: Per ! $ % & * + - . , ^ _ ` | ~ impostazione predefinita, non viene assegnato alcun valore. 

sdk_ua_app_id = prod1

Questa impostazione può essere sovrascritta utilizzando la variabile di ambiente AWS_SDK_UA_APP_ID. Non è possibile impostare questo valore come parametro della riga di comando.

source_profile

Specifica un profilo denominato con credenziali a lungo termine che l' AWS CLI può utilizzare per assumere un ruolo specificato con il parametro role_arn. Non è possibile specificare sia source_profile sia credential_source nello stesso profilo.

source_profile = production-profile
sso_account_id

Speciifica l'ID dell' AWS account che contiene il IAM ruolo con l'autorizzazione che si desidera concedere all'utente dell'IAMIdentity Center associato.

Questa impostazione non dispone di una variabile di ambiente o opzione della riga di comando.

sso_account_id = 123456789012
sso_region

Speciifica la AWS regione che contiene l'host del portale di AWS accesso. È distinto da e può essere una regione diversa dal CLI region parametro predefinito.

Questa impostazione non dispone di una variabile di ambiente o opzione della riga di comando.

sso_region = us_west-2
sso_registration_scopes

Un elenco di ambiti delimitato da virgole da autorizzare per. sso-session Gli ambiti autorizzano l'accesso agli endpoint autorizzati con token Identity Center BearerIAM. Un ambito valido è una stringa, ad esempio. sso:account:access Questa impostazione non è applicabile alla configurazione precedente non aggiornabile.

sso_registration_scopes = sso:account:access
sso_role_name

Specifica il nome IAM descrittivo del ruolo che definisce le autorizzazioni dell'utente quando utilizza questo profilo.

Questa impostazione non dispone di una variabile di ambiente o opzione della riga di comando.

sso_role_name = ReadAccess
sso_start_url

Speciifica URL quello che rimanda al portale di accesso dell' AWS organizzazione. Lo AWS CLI utilizza URL per stabilire una sessione con il servizio IAM Identity Center per autenticare i suoi utenti. Per trovare il tuo portale di AWS accessoURL, usa uno dei seguenti:

Questa impostazione non dispone di una variabile di ambiente o opzione della riga di comando. 

sso_start_url = https://my-sso-portal.awsapps.com/start
use_dualstack_endpoint

Abilita l'uso di endpoint dual-stack per inviare richieste. AWS Per ulteriori informazioni sugli endpoint dual-stack, che supportano sia il traffico che il IPv6 traffico, consulta Using IPv4 Using Amazon S3 dual-stack endpoint nella Amazon Simple Storage Service User Guide. Gli endpoint dual-stack sono disponibili per alcuni servizi in alcune regioni. Se non esiste un endpoint dual-stack per il servizio o se la richiesta ha esito negativo. Regione AWS Questa opzione è disabilitata per impostazione predefinita.

Questa impostazione e l'impostazione use_accelerate_endpoint si escludono a vicenda.

Le impostazioni di configurazione degli endpoint si trovano in più posizioni, ad esempio nelle variabili di sistema o di ambiente utente, nei file di AWS configurazione locali o sono dichiarate esplicitamente nella riga di comando come parametro. Le impostazioni di configurazione AWS CLI degli endpoint hanno la precedenza nell'ordine seguente:

  1. L'opzione della --endpoint-url riga di comando.

  2. Se abilitata, la variabile di ambiente AWS_IGNORE_CONFIGURED_ENDPOINT_URLS globale dell'endpoint o l'impostazione del profilo ignore_configure_endpoint_urls per ignorare gli endpoint personalizzati.

  3. Il valore fornito da una variabile AWS_ENDPOINT_URL_<SERVICE> di ambiente specifica del servizio, ad esempio. AWS_ENDPOINT_URL_DYNAMODB

  4. I valori forniti dalle variabili AWS_USE_DUALSTACK_ENDPOINTAWS_USE_FIPS_ENDPOINT, e di AWS_ENDPOINT_URL ambiente.

  5. Il valore dell'endpoint specifico del servizio fornito dall'endpoint_urlimpostazione all'interno di una services sezione del file condiviso. config

  6. Il valore fornito dall'endpoint_urlimpostazione all'interno di uno profile dei file condivisi. config

  7. use_dualstack_endpointuse_fips_endpointe endpoint_url impostazioni.

  8. Qualsiasi endpoint predefinito URL per il rispettivo dispositivo Servizio AWS viene utilizzato per ultimo. Per un elenco degli endpoint del servizio standard disponibili in ogni regione, consulta Regioni ed endpoint AWS nella Riferimenti generali di Amazon Web Services.

use_fips_endpoint

Alcuni AWS servizi offrono endpoint che supportano il Federal Information Processing Standard (FIPS) 140-2, in altri. Regioni AWS Se il AWS servizio supportaFIPS, questa impostazione specifica l'FIPSendpoint da utilizzare. AWS CLI A differenza degli AWS endpoint standard, gli FIPS endpoint utilizzano una libreria TLS software conforme a 140-2. FIPS Questi endpoint potrebbero essere necessari ad aziende che interagiscono con il governo degli Stati Uniti.

Se questa impostazione è abilitata, ma non esiste un FIPS endpoint per il servizio in uso Regione AWS, il comando potrebbe avere esito negativo. AWS In questo caso, specifica manualmente l'endpoint da utilizzare nel comando utilizzando l'--endpoint-urlopzione o utilizza endpoint specifici del servizio.

Per ulteriori informazioni sulla specificazione degli endpoint in base al servizio, FIPS consulta Endpoints by Service Regione AWS. FIPS

Le impostazioni di configurazione degli endpoint si trovano in più posizioni, ad esempio le variabili di sistema o di ambiente utente, i file di AWS configurazione locali o sono dichiarate esplicitamente nella riga di comando come parametro. Le impostazioni di configurazione AWS CLI degli endpoint hanno la precedenza nell'ordine seguente:

  1. L'opzione della --endpoint-url riga di comando.

  2. Se abilitata, la variabile di ambiente AWS_IGNORE_CONFIGURED_ENDPOINT_URLS globale dell'endpoint o l'impostazione del profilo ignore_configure_endpoint_urls per ignorare gli endpoint personalizzati.

  3. Il valore fornito da una variabile AWS_ENDPOINT_URL_<SERVICE> di ambiente specifica del servizio, ad esempio. AWS_ENDPOINT_URL_DYNAMODB

  4. I valori forniti dalle variabili AWS_USE_DUALSTACK_ENDPOINTAWS_USE_FIPS_ENDPOINT, e di AWS_ENDPOINT_URL ambiente.

  5. Il valore dell'endpoint specifico del servizio fornito dall'endpoint_urlimpostazione all'interno di una services sezione del file condiviso. config

  6. Il valore fornito dall'endpoint_urlimpostazione all'interno di uno profile dei file condivisi. config

  7. use_dualstack_endpointuse_fips_endpointe endpoint_url impostazioni.

  8. Qualsiasi endpoint predefinito URL per il rispettivo dispositivo Servizio AWS viene utilizzato per ultimo. Per un elenco degli endpoint del servizio standard disponibili in ogni regione, consulta Regioni ed endpoint AWS nella Riferimenti generali di Amazon Web Services.

web_identity_token_file

Speciifica il percorso di un file che contiene un token di accesso OAuth 2.0 o un token ID OpenID Connect fornito da un provider di identità. L' AWS CLI carica il contenuto di questo file e lo passa come argomento WebIdentityToken all'operazione AssumeRoleWithWebIdentity.

La variabile di ambiente ha la precedenza AWS_WEB_IDENTITY_TOKEN_FILE su questa impostazione.

Per ulteriori informazioni sull'utilizzo delle identità Web, vedere. Assunzione di un ruolo con un'identità Web

tcp_keepalive

Speciifica se il AWS CLI client utilizza pacchetti TCP keep-alive.

Questa voce non dispone di una variabile di ambiente o di un'opzione della riga di comando equivalente.

tcp_keepalive = false

Impostazioni dei comandi S3 personalizzati

Amazon S3 supporta diverse impostazioni che configurano il modo in cui AWS CLI esegue le operazioni di Amazon S3. Alcune si applicano a tutti i comandi S3 in entrambi gli spazi dei nomi s3api e s3. Altre sono specifiche per i comandi «personalizzati» di S3 che astraggono le operazioni comuni e fanno più di una one-to-one mappatura a un'operazione. API I comandi di trasferimento aws s3 cp, sync, mv e rm dispongono di impostazioni aggiuntive che puoi utilizzare per controllare i trasferimenti S3.

Tutte queste opzioni possono essere configurate specificando l'impostazione nidificata s3 nel file config. A ogni impostazione viene quindi applicato il rientro nella riga.

Nota

Queste impostazioni sono completamente facoltative. Dovresti essere in grado di utilizzare i comandi di trasferimento aws s3 senza configurare tali impostazioni, le quali vengono rese disponibili per consentirti di ottenere prestazioni ottimizzate o prendere in considerazione l'ambiente specifico in cui esegui questi comandi aws s3.

Queste impostazioni vengono tutte configurate in una chiave s3 di livello superiore nel file config, come mostrato nell'esempio seguente per il profilo development:

[profile development]
s3 =
  max_concurrent_requests = 20
  max_queue_size = 10000
  multipart_threshold = 64MB
  multipart_chunksize = 16MB
  max_bandwidth = 50MB/s
  use_accelerate_endpoint = true
  addressing_style = path

Le impostazioni seguenti si applicano a qualsiasi comando S3 negli spazi dei nomi s3 o s3api.

addressing_style

Specifica quale stile di indirizzamento utilizzare. Questo controlla se il nome del bucket è nel nome host o fa parte di. URL I valori validi sonopath, virtual e auto. Il valore predefinito è auto.

Esistono due stili di creazione di un endpoint Amazon S3. Il primo è denominato virtual e include il nome del bucket come parte del nome host. Ad esempio: https://bucketname.s3.amazonaws.com. In alternativa, con lo path stile, si tratta il nome del bucket come se fosse un percorso inURI; ad esempio,. https://s3.amazonaws.com/bucketname Il valore predefinito in CLI è useauto, che tenta di utilizzare lo virtual stile dove possibile, ma ricorre allo path stile quando necessario. Ad esempio, se il nome del bucket non è DNS compatibile, il nome del bucket non può far parte del nome host e deve essere nel percorso. Conauto, CLI rileverà questa condizione e passerà automaticamente path allo stile per te. Se imposti lo stile di indirizzamento supath, devi quindi assicurarti che la AWS regione che hai configurato AWS CLI corrisponda alla regione del tuo bucket.

payload_signing_enabled

Specifica se SHA256 firmare i payload sigv4. Per impostazione predefinita, questa opzione è disabilitata per i caricamenti in streaming (UploadParte) durante l'utilizzo. PutObject HTTPS Per impostazione predefinita, è impostato su false per i caricamenti in streaming (UploadPartePutObject), ma solo se ContentMD5 è presente a (viene generato per impostazione predefinita) e l'endpoint lo utilizza. HTTPS

Se impostato su true, le richieste S3 ricevono un'ulteriore convalida del contenuto sotto forma di un SHA256 checksum calcolato automaticamente e incluso nella firma della richiesta. Se impostata su false, il checksum non viene calcolato. Può essere utile disabilitare questa impostazione per ridurre il sovraccarico in termini di prestazioni dovuto al calcolo del checksum.

use_accelerate_endpoint

Usa l'endpoint Amazon S3 Accelerate per tutti i s3 comandi. s3api Il valore predefinito è false. Questa impostazione e l'impostazione use_dualstack_endpoint si escludono a vicenda.

Se impostato su true, AWS CLI indirizza tutte le richieste Amazon S3 S3 Accelerate all'endpoint a. s3-accelerate.amazonaws.com Per usare questo endpoint, dovrai abilitare l'utilizzo di S3 Accelerate per il bucket. Tutte le richieste vengono inviate utilizzando lo stile virtuale di indirizzamento al bucket: my-bucket.s3-accelerate.amazonaws.com. Le richieste ListBuckets, CreateBucket e DeleteBucket non verranno inviate all'endpoint di accelerazione S3 in quanto tale endpoint non supporta queste operazioni. Questo comportamento può essere configurato anche se il parametro --endpoint-url è impostato su https://s3-accelerate.amazonaws.com o http://s3-accelerate.amazonaws.com per qualsiasi comando s3 o s3api.

Le impostazioni seguenti si applicano solo ai comandi nel set di comandi dello spazio dei nomi s3:

max_bandwidth

Speciifica la larghezza di banda massima che può essere consumata per caricare e scaricare dati da e verso Amazon S3. Il valore predefinito è senza limiti.

Ciò limita la larghezza di banda massima che i comandi S3 possono utilizzare per trasferire dati da e verso Amazon S3. Tale valore viene applicato solo ai caricamenti e ai download, non alle operazioni di copia o eliminazione. Il valore viene espresso in byte al secondo. Il valore può essere specificato come segue:

  • Come un intero, 1048576 imposta ad esempio l'utilizzo massimo della larghezza di banda su 1 MB al secondo.

  • Come un intero seguito da un suffisso di velocità, che può essere specificato utilizzando KB/s, MB/s o GB/s. Ad esempio, 300KB/s, 10MB/s.

In generale, ti consigliamo di provare in primo luogo a ridurre il consumo di larghezza di banda riducendo max_concurrent_requests. Se ciò non è sufficiente per limitare il consumo di larghezza di banda in modo appropriato alle tue esigenze, puoi utilizzare l'impostazione max_bandwidth per limitarlo ulteriormente. Ciò accade perché max_concurrent_requests controlla il numero di thread attualmente in esecuzione. Se invece prima si abbassa max_bandwidth ma si lascia un'impostazione max_concurrent_requests alta, ciò può comportare che i thread debbano attendere inutilmente. Ciò può portare a un consumo eccessivo di risorse e a timeout di connessione.

max_concurrent_requests

Specifica il numero massimo di richieste simultanee. Il valore predefinito è 10.

I comandi di trasferimento aws s3 sono a più thread. In qualsiasi momento, possono essere eseguite più richieste Amazon S3. Ad esempio, quando usi il comando aws s3 cp localdir s3://bucket/ --recursive per caricare file in un bucket S3, AWS CLI possono caricare i file localdir/file1 e in localdir/file3 parallelo. localdir/file2 L'impostazione max_concurrent_requests specifica il numero massimo di operazioni di trasferimento che possono essere eseguite nello stesso momento.

Potrebbe essere necessario modificare questo valore per vari motivi:

  • Riduzione di questo valore: in alcuni ambienti, l'impostazione predefinita di 10 richieste simultanee può sovraccaricare il sistema. Questo può causare un timeout di connessione o una riduzione della velocità di risposta del sistema. Se si riduce questo valore, i comandi di trasferimento S3 utilizzano un numero minore di risorse. Il completamento dei trasferimenti S3 può tuttavia richiedere più tempo. La riduzione di questo valore potrebbe essere necessaria se utilizzi uno strumento per limitare la larghezza di banda.

  • Aumento di questo valore: in alcuni scenari, potresti desiderare che i trasferimenti di Amazon S3 vengano completati il più rapidamente possibile, utilizzando tutta la larghezza di banda di rete necessaria. In questo scenario, il numero predefinito di richieste simultanee potrebbe non essere sufficiente per utilizzare tutta la larghezza di banda di rete disponibile. L'aumento di questo valore può ridurre il tempo necessario per completare un trasferimento Amazon S3.

max_queue_size

Specifica il numero massimo di attività nella coda. Il valore predefinito è 1000.

AWS CLI Internamente utilizza un modello in cui mette in coda le attività di Amazon S3 che vengono poi eseguite da consumatori il cui numero è limitato a. max_concurrent_requests Un'attività è generalmente associata a una singola operazione di Amazon S3. Un'attività potrebbe ad esempio essere PutObjectTask, GetObjectTask o UploadPartTask. La velocità con cui le attività vengono aggiunte alla coda può essere molto maggiore rispetto a quella con cui i consumatori terminano le attività. Per evitare la crescita illimitata, esiste un limite specifico per la dimensione della coda delle attività. Questa impostazione consente di modificare il valore del numero massimo.

In generale, non è necessario modificare questa impostazione, Questa impostazione corrisponde anche al numero di attività di cui AWS CLI è a conoscenza e che devono essere eseguite. Ciò significa che per impostazione predefinita AWS CLI possono visualizzare solo 1000 attività future. L'aumento di questo valore significa che AWS CLI può conoscere più rapidamente il numero totale di attività necessarie, supponendo che la velocità di attesa sia superiore alla velocità di completamento delle attività. Il compromesso è che un valore max_queue_size maggiore richiede più memoria.

multipart_chunksize

Speciifica la dimensione del blocco AWS CLI utilizzata per i trasferimenti multiparte di singoli file. Il valore predefinito è 8 MB, con un minimo di 5 MB.

Quando un trasferimento di file supera ilmultipart_threshold, AWS CLI divide il file in blocchi di questa dimensione. Questo valore può essere specificato utilizzando la stessa sintassi di multipart_threshold, come numero di byte sotto forma di intero o utilizzando una dimensione e un suffisso.

multipart_threshold

Speciifica la soglia di dimensione AWS CLI utilizzata per i trasferimenti multiparte di singoli file. Il valore predefinito è 8 MB.

Quando si carica, si scarica o si copia un file, i comandi di Amazon S3 passano a operazioni in più parti se il file supera tale dimensione. Puoi specificare questo valore in uno dei due modi seguenti:

  • Dimensione dei file in byte. Ad esempio 1048576.

  • Dimensione dei file con un suffisso per la dimensione. Puoi utilizzare KB, MB, GB o TB. Ad esempio, 10MB, 1GB.

    Nota

    S3 può imporre vincoli per i valori validi che possono essere utilizzati per operazioni in più parti. Per ulteriori informazioni, consulta la documentazione di S3 Multipart Upload nella Guida per l'utente di Amazon Simple Storage Service.