の外部プロセスを使用して認証情報を調達する AWS CLI - AWS Command Line Interface

このドキュメントは、 のバージョン 1 AWS CLI 専用です。のバージョン 2 に関連するドキュメントについては AWS CLI、バージョン 2 ユーザーガイド を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の外部プロセスを使用して認証情報を調達する AWS CLI

警告

このトピックでは、外部プロセスからの認証情報の調達について説明します。認証情報を生成するコマンドが非承認のプロセスやユーザーからアクセスできることは、セキュリティ上のリスクにつながります。認証情報を侵害するリスクを軽減 AWS するために、 AWS CLI および が提供する、サポートされている安全な代替手段を使用することをお勧めします。漏洩を防ぐために、config ファイルおよびサポートされたファイルとツールの安全を確保します。

SDKs および はそのような情報をキャプチャしてログに記録し AWS CLI 、許可されていないユーザーに公開する可能性があるStdErrため、カスタム認証情報ツールが機密情報を に書き込まないようにしてください。

で直接サポートされていない認証情報を生成または検索する方法がある場合は AWS CLI、 config ファイルでcredential_process設定を設定することで、それを使用する AWS CLI ように を設定できます。

例えば、config ファイルに次のようなエントリを含めることができます。

[profile developer] credential_process = /opt/bin/awscreds-custom --username helen
構文

任意のオペレーティングシステムと互換性のある方法でこの文字列を作成するには、以下のルールに従います。

  • パスまたはファイル名にスペースが含まれている場合は、完全なパスとファイル名を二重引用符 (" ") で囲みます。パスとファイル名は A 〜 Z、a 〜 z、0 〜 9、- _ . の文字、スペースのみで構成できます。

  • パラメータ名またはパラメータ値にスペースが含まれている場合は、その要素を二重引用符 (" ") で囲みます。囲むのは、名前または値のみであり、そのペアではありません。

  • 文字列に環境変数を含めないでください。例えば、$HOME または %USERPROFILE% を含めることはできません。

  • ホームフォルダを ~ として指定しないでください。完全パスを指定する必要があります。

Windows の例

credential_process = "C:\Path\To\credentials.cmd" parameterWithoutSpaces "parameter with spaces"

Linux または macOS の例

credential_process = "/Users/Dave/path/to/credentials.sh" parameterWithoutSpaces "parameter with spaces"

認証情報プログラムからの想定される出力

は、 プロファイルで指定されたコマンド AWS CLI を実行し、 からデータを読み込みますSTDOUT。指定するコマンドはSTDOUT、次の構文に一致するJSON出力を生成する必要があります。

{ "Version": 1, "AccessKeyId": "an AWS access key", "SecretAccessKey": "your AWS secret access key", "SessionToken": "the AWS session token for temporary credentials", "Expiration": "ISO8601 timestamp when the credentials expire" }
注記

本文書の執筆時点では、Version キーは 1 に設定する必要があります。構造が進化するため、時間の経過と共に増えていく可能性があります。

Expiration キーは ISO8601 形式のタイムスタンプです。Expiration キーがツールの出力に存在しない場合、 は、認証情報が更新しない長期的な認証情報であることをCLI前提としています。それ以外の認証情報は一時的な認証情報と見なされ、有効期限が切れる前に credential_process を再実行して自動的に更新されます。

注記

AWS CLI は、外部プロセス認証情報を、引き受けロール認証情報のようにキャッシュしません。キャッシュが必要な場合は、外部プロセス内で実装する必要があります。

外部プロセスはゼロ以外のリターンコードを返して、認証情報の取得時にエラーが発生したことを示すことができます。