AWS CLI の設定を構成する - AWS Command Line Interface
設定と認証情報の優先順位このセクションのその他のトピック

AWS CLI の設定を構成する

このセクションでは、AWS Command Line Interface (AWS CLI) が AWS と対話するために使用する設定を指定する方法について説明します。これには以下が含まれます。

  • API の呼び出し元を識別する認証情報。アクセス認証情報は、AWS サーバーへのリクエストを暗号化して ID を確認し、関連するアクセス許可ポリシーを取得するために使用します。これらのアクセス許可によって、実行できるアクションが決まります。認証情報の設定の詳細については、「AWS CLI の認証とアクセス認証情報」を参照してください。

  • その他の設定の詳細。デフォルトの出力形式やデフォルトの AWS リージョンなど、リクエストの処理方法を AWS CLI に指示します。

注記

AWS では、すべての着信リクエストは暗号で署名される必要があります。これは、AWS CLI によって行われます。「署名」には日時スタンプが含まれます。したがって、コンピュータの日付と時刻が正しく設定されていることを確認する必要があります。日時が正しく設定されていない場合、署名の日時が AWS サービスによって認識された日間と大きく異なることがあり、その場合は AWS によってリクエストが却下されます。

設定と認証情報の優先順位

認証情報と構成設定は、システム環境変数、ユーザー環境変数、ローカルの AWS 設定ファイルなど複数の場所にあり、コマンドラインでパラメータとして明示的に宣言される場合もあります。特定の場所が他の場所よりも優先されます。AWS CLI 認証情報と構成設定は、次の順序で優先されます。

  1. コマンドラインオプション - --region--output--profile パラメータなど、他の任意の場所にある設定を上書きします。

  2. 環境変数 - システムの環境変数に値を保存できます。

  3. ロールの継承 - 設定または assume-role コマンドを通じて IAM ロールのアクセス許可を継承します。

  4. ウェブ ID によるロールの継承 - 設定または assume-role-with-web-identity コマンドを通じてウェブ ID を使用して IAM ロールのアクセス許可を継承します。

  5. AWS IAM Identity Centerconfig ファイルに保存された IAM ID センターの設定は、aws configure sso コマンド実行時に更新されます。そうすると、aws sso login コマンドを実行すると認証情報が認証されます。「config」ファイルは、Linux または macOS では「~/.aws/config」、Windows では「C:\Users\USERNAME\.aws\config」にあります。

  6. 認証情報ファイル – コマンド aws configure を実行すると、credentials ファイルと config ファイルが更新されます。「credentials」ファイルは、Linux または macOS では「~/.aws/credentials」、Windows では「C:\Users\USERNAME\.aws\credentials」にあります。

  7. カスタムプロセス — 外部ソースから認証情報を取得します。

  8. 設定ファイル - コマンド aws configure を実行すると、credentials ファイルと config ファイルが更新されます。「config」ファイルは、Linux または macOS では「~/.aws/config」、Windows では「C:\Users\USERNAME\.aws\config」にあります。

  9. コンテナ認証情報 - IAM ロールを各 Amazon Elastic コンテナサービス (Amazon ECS) タスク定義に関連付けることができます。関連付けられると、そのロールの一時認証情報は、そのタスクのコンテナで使用できるようになります。詳細については、Amazon Elastic Container Service 開発者ガイドの「タスク用の IAM ロール」を参照してください。

  10. Amazon EC2 インスタンスプロファイルの認証情報 - IAM ロールを各 Amazon Elastic コンピュートクラウド (Amazon EC2) インスタンスに関連付けることができます。関連付けられると、そのロールの一時認証情報は、インスタンスで実行中のコードで使用できるようになります。認証情報は、Amazon EC2 メタデータサービスを通じて配信されます。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 の IAM ロール」および「IAM ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。

このセクションのその他のトピック