AWS CLI 中的配置和凭证文件设置

运行此命令可快速设置和查看 凭证、区域和输出格式。以下示例显示了示例值。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

您可以使用 aws configure set 设置任何凭证或配置设置。使用 --profile 设置指定要查看或修改的配置文件。

例如，以下命令设置名为 region 的配置文件中的 integ。

$ aws configure set region us-west-2 --profile integ

要删除某个设置，可在文本编辑器中从 config 和 credentials 文件中手动删除该设置。

您可以检索已使用 aws configure get 设置的任何凭证或配置设置。使用 --profile 设置指定要查看或修改的配置文件。

例如，以下命令检索名为 region 的配置文件中的 integ 设置。

$ aws configure get region --profile integ
us-west-2

如果输出为空，不会显式设置该设置，并将使用默认值。

要列出配置数据，请使用 aws configure list 命令。此命令列出配置文件以及用于指定的配置文件的访问密钥、密钥和区域配置信息。对于每个配置项目，它会显示值、检索配置值的位置以及配置变量名称。

例如，如果您在环境变量中提供 AWS 区域，则此命令会显示您配置的区域的名称、该值来自环境变量以及环境变量的名称。

对于角色和 IAM Identity Center 等临时凭证方法，此命令显示临时缓存的访问密钥并显示秘密访问密钥。

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

某些 AWS 服务维护多个 API 版本以支持向后兼容性。默认情况下，AWS CLI 命令使用最新的可用 API 版本。您可以通过在 config 文件中包含 api_versions 设置来指定要用于配置文件的 API 版本。

这是一个“嵌套”设置，后跟一个或多个缩进行，每行标识一个 AWS服务和要使用的 API 版本。请参阅每项服务的文档以了解可用的 API 版本。

以下示例显示如何为两种 AWS 服务指定 API 版本。这些 API 版本仅用于在包含这些设置的配置文件下运行的命令。

api_versions =
    ec2 = 2015-03-01
    cloudfront = 2015-09-017

此设置没有等效的环境变量或命令行参数。

指定用作凭证一部分的对命令请求进行身份验证的 AWS 访问密钥。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_ACCESS_KEY_ID 环境变量覆盖。您不能将访问密钥 ID 指定为命令行选项。

aws_access_key_id = AKIAIOSFODNN7EXAMPLE

指定用作凭证一部分的对命令请求进行身份验证的 AWS 私有密钥。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_SECRET_ACCESS_KEY 环境变量覆盖。您不能将私有访问密钥指定为命令行选项。

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

指定 AWS 会话令牌。只有在手动指定临时安全凭证时才需要会话令牌。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_SESSION_TOKEN 环境变量覆盖。您不能将会话令牌指定为命令行选项。

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

指定用于验证 SSL 证书的 CA 证书捆绑包（具有 .pem 扩展名的文件）。

可以被 AWS_CA_BUNDLE 环境变量或 --ca-bundle 命令行选项覆盖。

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem

指定 AWS CLI 是否尝试跟踪命令行参数中以 http:// 或 https:// 开头的 URL 链接。启用后，将检索到的内容而不是 URL 用作参数值。

该条目没有等效的环境变量或命令行选项。

cli_follow_urlparam = false

默认情况下禁用。此设置启用 AWS CLI 的命令历史记录。启用此设置后，AWS CLI 记录 aws 命令的历史记录。

cli_history = enabled

您可以使用 aws history list 命令列出您的历史记录，然后使用 aws history show 命令中生成的 command_ids 获取详细信息。有关更多信息，请参阅《AWS CLI 参考指南》中的 aws history。

指定输出中包含的时间戳值的格式。可以指定以下任一值：

该条目没有等效的环境变量或命令行选项。

cli_timestamp_format = iso8601

指定 AWS CLI 运行的外部命令，以生成或检索用于该命令的身份验证凭证。命令必须以特定格式返回凭证。有关如何使用该设置的更多信息，请参阅在 AWS CLI 中使用外部进程获取凭证。

该条目没有等效的环境变量或命令行选项。

credential_process = /opt/bin/awscreds-retriever --username susan

在 Amazon EC2 实例或容器中使用，指定 AWS CLI 在何处可以找到要用于代入通过 role_arn 参数指定的角色的凭证。不能在同一配置文件中同时指定 source_profile 和 credential_source。

此参数具有三个值：

credential_source = Ec2InstanceMetadata

指定角色会话的最大持续时间（以秒为单位）。该值的范围在 900 秒（15 分钟）到角色的最大会话持续时间设置之间。此参数为可选参数，默认情况下，该值设置为 3600 秒。

指定用于所有服务请求的端点。如果在 config 文件的 services 节中使用此设置，则该端点仅用于指定的服务。

以下示例使用全局端点 http://localhost:1234 和用于 Amazon S3 的特定于服务的端点 http://localhost:4567。

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

端点配置设置位于多个位置（例如，系统变量或用户环境变量、本地 AWS 配置文件），或者在命令行上显式声明为参数。AWS CLI 端点配置设置的优先顺序如下：

如果启用，则 AWS CLI 会忽略 config 文件中指定的所有自定义端点配置。有效值为 true 和 false。

ignore_configure_endpoint_urls = true

端点配置设置位于多个位置（例如，系统变量或用户环境变量、本地 AWS 配置文件），或者在命令行上显式声明为参数。AWS CLI 端点配置设置的优先顺序如下：

指定第三方用于在其客户账户中代入角色的唯一标识符。这将映射到 AssumeRole 操作中的 ExternalId 参数。仅当角色的信任策略为 ExternalId 指定值时，才需要此参数。有关更多信息，请参阅《IAM 用户指南》中的如何在向第三方授予对 AWS 资源的访问权限时使用外部 ID。

指定 AWS CLI 重试处理程序使用的最大重试次数值，其中初始调用计入您提供的 max_attempts 值。

您可以使用 AWS_MAX_ATTEMPTS 环境变量覆盖此值。

max_attempts = 3

代入角色时要使用的 MFA 设备的标识号。仅当代入角色的信任策略包含需要 MFA 身份验证的条件，此值才是必需的。该值可以是硬件设备（例如 GAHT12345678）的序列号，也可以是虚拟 MFA 设备（例如 arn:aws:iam::123456789012:mfa/user）的 Amazon Resource Name (ARN)。

指定使用该配置文件请求的命令的默认输出格式。您可以指定以下任意值：

可以被 AWS_DEFAULT_OUTPUT 环境变量或 --output 命令行选项覆盖。

output = table

指定 AWS CLI 客户端在将参数发送到 AWS 服务端点之前是否尝试验证参数。

该条目没有等效的环境变量或命令行选项。

parameter_validation = false

对于使用该配置文件请求的命令，指定要将请求发送到的 AWS 区域。

您可以使用 、AWS_DEFAULT_REGION 环境变量或 --region 命令行选项覆盖此值。

region = us-west-2

指定 AWS CLI 使用哪种重试模式。有三种重试模式可用：旧模式（默认模式）、标准模式和自适应模式。有关重试的更多信息，请参阅AWS CLI 中的 AWS CLI 重试次数 。

您可以使用 AWS_RETRY_MODE 环境变量覆盖此值。

retry_mode = standard

指定要用于运行 AWS CLI 命令的 IAM 角色的 Amazon Resource Name (ARN)。此外，还必须指定以下参数之一以标识有权代入此角色的凭证：

role_arn = arn:aws:iam::123456789012:role/role-name

环境变量 AWS_ROLE_ARN 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定要附加到角色会话的名称。此值在 RoleSessionName 调用 AWS CLI 操作时将提供给 AssumeRole 参数，并成为代入角色用户 ARN 的一部分： arn:aws:sts::123456789012:assumed-role/role_name/role_session_name。此参数为可选参数。如果未提供此值，则将自动生成会话名称。此名称显示在与此会话关联的条目的 AWS CloudTrail 日志中。

role_session_name = maria_garcia_role

环境变量 AWS_ROLE_SESSION_NAME 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定要用于您的配置文件的服务配置。

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

有关更多信息，请参阅 节类型：services 中的 services 节。

环境变量 AWS_ROLE_SESSION_NAME 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

一个 AWS 账户可以供多个客户应用程序来调用 AWS 服务。应用程序 ID 标识哪个源应用程序使用 AWS 服务进行了一组调用。AWSSDK 和服务不会使用或解释此值，除非将其显示在客户通信中。例如，此值可以包含在操作电子邮件中，以唯一标识您的哪个应用程序与通知相关联。

应用程序 ID 是一个字符串，最大长度为 50 个字符。允许使用字母、数字和以下特殊字符：! $ % & * + - . , ^ _ ` | ~。默认情况下，不分配任何值。

sdk_ua_app_id = prod1

使用 AWS_SDK_UA_APP_ID 环境变量可以覆盖此设置。您不能将此值设置为命令行参数。

指定包含长期凭证的命名配置文件，AWS CLI 可使用这些凭证代入通过 role_arn 参数指定的角色。不能在同一配置文件中同时指定 source_profile 和 credential_source。

source_profile = production-profile

指定 AWS CLI 如何确定 AWS CLI 客户端用于与 AWS Security Token Service (AWS STS) 通信的 AWS 服务端点。AWS CLI 版本 1 的默认值为 legacy。

您可以指定以下两个值之一：

使用 AWS_STS_REGIONAL_ENDPOINTS 环境变量可以覆盖此设置。您不能将此值设置为命令行参数。

允许使用双堆栈端点发送 AWS 请求。要详细了解支持 IPv4 和 IPv6 流量的双堆栈端点，请参阅 Amazon Simple Storage Service 用户指南中的使用 Amazon S3 双堆栈端点。双堆栈端点适用于某些区域。如果不存在适用于服务和/或 AWS 区域的双堆栈端点，则请求将失败。默认情况下，将禁用该功能。

该设置与 use_accelerate_endpoint 设置互斥。

端点配置设置位于多个位置（例如，系统变量或用户环境变量、本地 AWS 配置文件），或者在命令行上显式声明为参数。AWS CLI 端点配置设置的优先顺序如下：

在某些 AWS 区域，部分 AWS 服务提供支持美国联邦信息处理标准 (FIPS) 140-2 的端点。当 AWS 服务支持 FIPS 时，此设置指定 AWS CLI 应使用哪个 FIPS 端点。与标准 AWS 端点不同，FIPS 端点使用符合 FIPS 140-2 的 TLS 软件库。与美国政府有业务来往的企业可能需要使用这些端点。

如果启用此设置，但不存在适用于您所在 AWS 区域中的服务的 FIPS 端点，则 AWS 命令可能会失败。在这种情况下，请使用 --endpoint-url 选项手动指定要在命令中使用的端点，或者使用特定于服务的端点。

有关按 AWS 区域指定 FIPS 端点的更多信息，请参阅按服务列出的 FIPS 端点。

端点配置设置位于多个位置（例如，系统变量或用户环境变量、本地 AWS 配置文件），或者在命令行上显式声明为参数。AWS CLI 端点配置设置的优先顺序如下：

指定一个文件的路径，该文件包含由身份提供者提供的 OAuth 2.0 访问令牌或 OpenID Connect ID 令牌。AWS CLI 加载此文件的内容，并将其作为 WebIdentityToken 参数传递给 AssumeRoleWithWebIdentity 操作。

环境变量 AWS_WEB_IDENTITY_TOKEN_FILE 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定 AWS CLI 客户端是否使用 TCP keep-alive 数据包。

该条目没有等效的环境变量或命令行选项。

tcp_keepalive = false

指定要使用的寻址样式。这将控制存储桶名称是位于主机名还是 URL 中。有效值包括 path、virtual 和 auto。默认值为 auto。

构造 Amazon S3 端点的样式有两种。第一种称为 virtual，它将存储桶名称包含为主机名的一部分。例如：https://bucketname.s3.amazonaws.com。另一种为 path 样式，您将存储桶名称视为 URI 中的路径，例如 https://s3.amazonaws.com/bucketname。CLI 中的默认值是使用 auto，它尝试尽可能使用 virtual 样式，但在需要时回退到 path 样式。例如，如果您的存储桶名称与 DNS 不兼容，则存储桶名称不能是主机名的一部分，而必须位于路径中。使用 auto 时，CLI 将检测这种情况并自动切换到 path 样式。如果将寻址方式设置为 path，您必须确保在 AWS CLI 中配置的 AWS 区域与存储桶的区域匹配。

指定是否对 sigv4 负载进行 SHA256 签名。默认情况下，使用 HTTPS 时，将对流式上传（UploadPart 和 PutObject）禁用该设置。默认情况下，对于流式上传（UploadPart 和 PutObject），此设置为 false，但仅限存在 ContentMD5（默认生成）并且端点使用 HTTPS 时。

如果设置为 true，则 S3 请求接收 SHA256 校验和形式的额外内容验证（替您计算并包含在请求签名中）。如果设置为 false，则不计算校验和。禁用该设置可减少校验和计算产生的性能开销。

为所有 s3 和 s3api 命令使用 Amazon S3 加速端点。默认值为 False。该设置与 use_dualstack_endpoint 设置互斥。

如果设置为 true，AWS CLI 会将所有 Amazon S3 请求定向到 s3-accelerate.amazonaws.com 的 S3 Accelerate 端点。要使用该端点，您必须让您的存储桶使用 S3 Accelerate。使用存储桶寻址的虚拟样式发送所有请求：my-bucket.s3-accelerate.amazonaws.com。不会将任何 ListBuckets、CreateBucket 和 DeleteBucket 请求发送到 S3 加速端点，因为该端点不支持这些操作。如果将任何 --endpoint-url 或 https://s3-accelerate.amazonaws.com 命令的 http://s3-accelerate.amazonaws.com 参数设置为 s3 或 s3api，也可以设置该行为。

指定向 Amazon S3 上传数据和从其下载数据可使用的最大带宽。默认为无限制。

这限制了 S3 命令可用于向 Amazon S3 传输数据和从 Amazon S3 传输数据的最大带宽。该值仅适用于上传和下载；它不适用于复制或删除。值以每秒字节数表示。该值可以指定为：

通常，我们建议您先尝试通过降低 max_concurrent_requests 来降低带宽使用率。如果这样做没有充分地将带宽使用率限制到所需速率，您可以使用 max_bandwidth 设置进一步限制带宽使用率。这是因为 max_concurrent_requests 控制当前运行的线程数。如果您先降低 max_bandwidth 但保持较高的 max_concurrent_requests 设置，则可能导致线程不得不进行不必要的等待。这可能造成过多的资源消耗和连接超时。

指定最大并发请求数。默认值是 10。

aws s3 传输命令是多线程的。在任意给定时间，都可以运行多个 Amazon S3 请求。例如，当您使用命令 aws s3 cp localdir s3://bucket/ --recursive 将文件上传到 S3 存储桶时，AWS CLI 可以并行上传文件 localdir/file1、localdir/file2 和 localdir/file3。设置 max_concurrent_requests 指定可同时运行的最大传输操作数。

您可能由于以下原因而需要更改该值：

指定作业队列中的最大任务数。默认值是 1000。

AWS CLI 在内部使用这样一种模型：将 Amazon S3 任务排队，然后由数量受 max_concurrent_requests 限制的使用者执行。任务通常映射到单个 Amazon S3 操作。例如，任务可以是 PutObjectTask、GetObjectTask 或 UploadPartTask。任务添加到队列的速度可能比使用者完成任务的速度快得多。为避免无限制增长，作业队列大小设置了特定大小的上限。该设置用于更改该最大数量的值。

您通常不需要更改该设置。该设置还对应于 AWS CLI 知道需要运行的任务数。这意味着，默认情况下 AWS CLI 只能查看前 1000 个任务。增大该值意味着 AWS CLI 可更快得知所需任务的总数（假设排队速度快于任务完成速度）。但不利后果是更大的 max_queue_size 需要更多的内存。

指定 AWS CLI 用于单个文件的分段传输的块大小。默认值为 8 MB，最少为 5 MB。

当文件传输超出 multipart_threshold 时，AWS CLI 将文件分成该大小的块。可以使用与 multipart_threshold 相同的语法指定该值，即整数形式的字节数，或使用大小和后缀。

指定 AWS CLI 用于单个文件的分段传输的大小阈值。默认值为 8 MB。

上传、下载或复制文件时，如果文件超出该大小，Amazon S3 命令将切换到分段操作。您可以通过以下两种方式之一指定该值：