的身份验证和访问凭证 AWS CLI - AWS Command Line Interface
配置和凭证优先顺序此部分中的其他主题

本文档 AWS CLI 仅适用于版本 1。有关版本 2 的文档 AWS CLI,请参阅版本 2 用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的身份验证和访问凭证 AWS CLI

当你使用 AWS 服务 AWS CLI 进行开发 AWS 时,你必须确定如何进行身份验证。要为的编程访问配置凭证 AWS CLI,请选择以下选项之一。这些选项按推荐顺序排列。

哪个用户需要编程式访问权限? 用途 说明
IAM 使用短期凭证。 使用短期凭证进行身份验证 AWS CLI
IAM 使用角色作为凭证。 在中使用IAM角色 AWS CLI
IAM (不推荐)使用长期凭证。 使用IAM用户凭据进行身份验证 AWS CLI

配置和凭证优先顺序

凭据和配置设置位于多个位置,例如系统或用户环境变量、本地 AWS 配置文件或在命令行中明确声明为参数。某些位置优先于其他位置。 AWS CLI 凭证和配置设置的优先顺序如下:

  1. 命令行选项 – 覆盖任何其他位置的设置,例如 --region--output--profile 参数。

  2. 环境变量 – 您可以在系统的环境变量中存储值。

  3. 代入@@ 角色-通过配置或aws sts assume-role命令假设IAM角色的权限。

  4. 使用 Web 身份代入角色-通过配置或aws sts assume-role命令假设使用 Web 身份的IAM角色的权限。

  5. 凭证文件 – 在运行命令 aws configure 时,将更新 credentialsconfig 文件。credentials 文件位于 ~/.aws/credentials(在 Linux 或 macOS 上)或 C:\Users\USERNAME\.aws\credentials(在 Windows 上)。

  6. 自定义流程 – 从外部来源获取您的凭证。

  7. 配置文件 – 在运行命令 aws configure 时,将更新 credentialsconfig 文件。config 文件位于 ~/.aws/config(在 Linux 或 macOS 上)或 C:\Users\USERNAME\.aws\config(在 Windows 上)。

  8. 容器凭证 — 您可以将IAM角色与您的每个亚马逊弹性容器服务 (AmazonECS) 任务定义相关联。之后,该任务的容器就可以使用该角色的临时凭证。有关更多信息,请参阅 Amazon 弹性容器服务开发者指南中的任务IAM角色

  9. 亚马逊EC2实例配置文件凭证 — 您可以将IAM角色与您的每个亚马逊弹性计算云 (AmazonEC2) 实例关联起来。之后,在该实例上运行的代码就可以使用该角色的临时凭证。凭证通过 Amazon EC2 元数据服务提供。有关更多信息,请参阅亚马逊用户指南EC2中的亚马逊IAM角色和EC2用户指南中的IAM使用实例配置文件

此部分中的其他主题