从 Amazon Elastic Compute Cloud (Amazon EC2) 实例中运行 AWS CLI 时,可以简化向命令提供凭证的过程。每个 Amazon EC2 实例都包含 AWS CLI 能够直接查询临时凭证的元数据。向实例附加 IAM 角色后,AWS CLI 可以自动并且安全地从实例元数据检索凭证。
要禁用此服务,请使用 AWS_EC2_METADATA_DISABLED 环境变量。
先决条件
要将 Amazon EC2 凭证与 AWS CLI 结合使用,您需要完成以下操作:
-
安装和配置 AWS CLI。有关更多信息,请参阅安装或更新最新版本的 AWS CLI 和AWS CLI 身份验证和访问凭证。
-
您了解配置文件和命名配置文件。有关更多信息,请参阅 AWS CLI 中的配置和凭证文件设置。
-
您已创建一个对所需资源有访问权限的 AWS Identity and Access Management (IAM) 角色,然后在 Amazon EC2 实例启动时向其附加了该角色。有关更多信息,请参阅《Amazon EC2 用户指南》中的 Amazon EC2 的 IAM 策略和《IAM 用户指南》中的向在 Amazon EC2 实例上运行的应用程序授予访问 AWS 资源的权限。
配置 Amazon EC2 元数据的配置文件
要指定需要使用在托管 Amazon EC2 实例配置文件中提供的凭证,请在配置文件的命名配置文件中使用以下语法。有关更多说明,请参阅以下步骤。
[profileprofilename] role_arn =arn:aws:iam::123456789012:role/rolenamecredential_source = Ec2InstanceMetadata region =region
-
在配置文件中创建配置文件。
[profileprofilename] -
添加有权访问所需资源的 IAM arn 角色。
role_arn =arn:aws:iam::123456789012:role/rolename -
指定
Ec2InstanceMetadata作为凭证源。credential_source = Ec2InstanceMetadata -
设置您的区域。
region =region
示例
以下示例代入 marketingadminrolemarketingadminus-west-2
[profilemarketingadmin] role_arn =arn:aws:iam::123456789012:role/marketingadminrolecredential_source = Ec2InstanceMetadata region =us-west-2
