本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon EC2 实例元数据作为凭证 AWS CLI
当您在亚马逊弹性计算云 (AmazonEC2) 实例 AWS CLI 中运行时,可以简化为命令提供凭证的过程。每个 Amazon EC2 实例都包含 AWS CLI 可以直接查询临时证书的元数据。将IAM角色附加到实例后, AWS CLI 会自动安全地从实例元数据中检索证书。
要禁用此服务,请使用 AWS_EC2 METADATA _ DISABLED 环境变量。
先决条件
要将 Amazon EC2 凭证与一起使用 AWS CLI,您需要完成以下操作:
-
安装和配置 AWS CLI。有关更多信息,请参阅安装或更新到最新版本的 AWS CLI 和的身份验证和访问凭证 AWS CLI。
-
您了解配置文件和命名配置文件。有关更多信息,请参阅 中的配置和凭据文件设置 AWS CLI。
-
您已经创建了一个可以访问所需资源的 AWS Identity and Access Management (IAM) 角色,并在启动该EC2实例时将该角色附加到 Amazon 实例。有关更多信息,请参阅亚马逊用户指南EC2中的亚马逊IAM政策以及EC2用户指南中的授予在亚马逊EC2实例上运行的IAM应用程序访问 AWS 资源的权限。
为 Amazon EC2 元数据配置配置文件
要指定您要使用托管 Amazon EC2 实例配置文件中提供的证书,请在配置文件的命名配置文件中使用以下语法。有关更多说明,请参阅以下步骤。
[profileprofilename] role_arn =arn:aws:iam::123456789012:role/rolenamecredential_source = Ec2InstanceMetadata region =region
-
在配置文件中创建配置文件。
[profileprofilename] -
添加有权访问所需资源的 IAM arn 角色。
role_arn =arn:aws:iam::123456789012:role/rolename -
指定
Ec2InstanceMetadata作为凭证源。credential_source = Ec2InstanceMetadata -
设置您的区域。
region =region
示例
以下示例假设 营销管理员角色us-west-2marketingadmin
[profilemarketingadmin] role_arn =arn:aws:iam::123456789012:role/marketingadminrolecredential_source = Ec2InstanceMetadata region =us-west-2
