Instalar e configurar a AWS CLI - AWS OpsWorks
Usar uma função de IAMUsar credenciais instaladas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Instalar e configurar a AWS CLI

Importante

O AWS OpsWorks Stacks serviço chegou ao fim da vida útil em 26 de maio de 2024 e foi desativado para clientes novos e existentes. É altamente recomendável que os clientes migrem suas cargas de trabalho para outras soluções o mais rápido possível. Se você tiver dúvidas sobre migração, entre em contato com a AWS Support equipe no AWS re:POST ou por meio do Premium AWS Support.

Antes de registrar sua primeira instância, você deve estar executando a versão 1.16.180 AWS CLI ou mais recente no computador a partir do qual você executa. register Os detalhes da instalação dependem do sistema operacional da sua estação de trabalho. Para obter mais informações sobre a instalação do AWS CLI, consulte Instalação da interface da linha de comando da AWS e configuração da interface da linha de comando da AWS. Para verificar a versão da AWS CLI que você está executando, insira aws --version em uma sessão de shell.

nota

Embora o AWS Tools for PowerShell inclua o Register-OpsInstancecmdlet, que chama a ação da register API, recomendamos que você use o AWS CLI para executar o register comando em vez disso.

É necessário executar o register com as permissões adequadas. Você pode obter as permissões usando um perfil do IAM ou, de forma menos ideal, instalando as credenciais do usuário com as permissões adequadas na estação de trabalho ou instância que será registrada. Você poderá executar o register com essas credenciais conforme descrito posteriormente. Especifique as permissões anexando uma política do IAM ao usuário ou perfil. Em register, use as políticas AWSOpsWorksRegisterCLI_EC2 ou AWSOpsWorksRegisterCLI_OnPremises, que concedem permissões para registrar o Amazon EC2 ou as instâncias on-premises, respectivamente.

nota

Se você executar register em uma instância Amazon EC2, é necessário usar um perfil do IAM para fornecer as credenciais. Para obter mais informações sobre como anexar um perfil do IAM a uma instância existente, consulte Anexar um perfil do IAM a uma instância ou Substituir um perfil do IAM no Guia do usuário Amazon EC2.

Para trechos de exemplo das políticas AWSOpsWorksRegisterCLI_EC2 e AWSOpsWorksRegisterCLI_OnPremises, consulte Políticas de registro de instância. Para obter mais informações sobre como criar e gerenciar credenciais da AWS, consulte Credenciais de segurança da AWS.

Usar uma função de IAM

Se você estiver executando o comando na instância Amazon EC2 que pretende registrar, a estratégia preferencial para fornecer credenciais ao register é usar um perfil do IAM que tenha a política AWSOpsWorksRegisterCLI_EC2 ou permissões equivalentes associadas. Essa abordagem permite que você evite instalar suas credenciais na instância. Uma maneira de fazer isso é usando o comando Attach/Replace IAM Role (Anexar/Substituir função do IAM) no console do EC2, conforme mostrado na imagem a seguir.

AWS EC2 console showing Instance Settings menu with Attach/Replace IAM Role option highlighted.

Para obter mais informações sobre como anexar um perfil do IAM a uma instância existente, consulte Anexar um perfil do IAM a uma instância ou Substituir um perfil do IAM no Guia do usuário Amazon EC2. Para instâncias que foram executadas com um perfil de instância (recomendado), adicione a opção --use-instance-profile ao comando register para fornecer credenciais. Não use o parâmetro --profile.

Se a instância estiver em execução e tiver uma função, você poderá conceder as permissões necessárias anexando a política AWSOpsWorksRegisterCLI_EC2 à função. A função fornece um conjunto de credenciais padrão para a instância. Contanto que você não tiver instalado qualquer credencial na instância, o register considera automaticamente a função e é executado com suas permissões.

Importante

Recomendamos que você não instale credenciais na instância. Além de criar um risco de segurança, a função da instância está no final da cadeia de provedores padrão que ela AWS CLI usa para localizar as credenciais padrão. As credenciais instaladas podem ter precedência sobre a função e, portanto, register pode não ter as permissões necessárias. Para obter mais informações, consulte Conceitos básicos do AWS CLI.

Se uma instância em execução não tem uma função, é necessário instalar credenciais com as permissões necessárias na instância, conforme descrito em Usar credenciais instaladas. Um procedimento recomendável, mais fácil e menos propenso a erros é usar instâncias que são iniciadas com um perfil de instância.

Usar credenciais instaladas

Há várias maneiras de instalar as credenciais do usuário em um sistema e fornecê-las a um AWS CLI comando. O conteúdo a seguir descreve uma abordagem que não é mais recomendada, mas que poderá ser usada se você estiver registrando instâncias do EC2 que foram executadas sem um perfil de instância. Também é possível usar as credenciais existentes do usuário do , contanto que as políticas anexadas concedam as permissões necessárias. Para obter mais informações, incluindo uma descrição de outras formas de instalar credenciais, consulte Arquivos de configuração e credenciais.

Para usar as credenciais instaladas

  1. Crie um usuário do IAM e salve o ID da chave de acesso e a chave de acesso secreta em um local seguro.

    Atenção

    Os usuários do IAM têm credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.

  2. Anexe a AWSOpsWorksRegisterCLI_OnPremises política ao usuário. Se preferir, você poderá anexar uma política que conceda permissões mais amplas, contanto que ela inclua as permissões AWSOpsWorksRegisterCLI_OnPremises.

  3. Crie um perfil para o usuário no arquivo credentials do sistema. O arquivo está localizado em ~/.aws/credentials (Linux, Unix e OS X) ou C:\Users\User_Name\.aws\credentials (sistema Windows). O arquivo contém um ou mais perfis no seguinte formato, cada um com uma ID de chave de acesso e uma chave de acesso secreta. 

    
[profile_name]
aws_access_key_id = access_key_id
aws_secret_access_key = secret_access_key

    Substitua as credenciais IAM salvas anteriormente para os valores access_key_id e secret_access_key. Você pode especificar qualquer nome de sua preferência para um nome de perfil, com duas limitações: o nome deve ser exclusivo e o perfil padrão deve se chamar default. Também é possível usar um perfil existente, contanto que ele tenha as permissões necessárias.

  4. Use o parâmetro --profile do comando register para especificar o nome do perfil. O comando register é executado com as permissões concedidas às credenciais associadas.

    Também é possível omitir --profile. Nesse caso, register é executado com as credenciais padrão. Lembre-se de que não são necessariamente as credenciais do perfil padrão, portanto, verifique se as credenciais padrão têm as permissões necessárias. Para obter mais informações sobre como AWS CLI determina as credenciais padrão, consulte Configurando a interface de linha de comando da AWS.