本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的 IAM 使用者登入資料進行驗證 AWS CLI
<a name="cli-authentication-user"></a>

**警告**  
為避免安全風險，在開發專用軟體或使用真實資料時，請勿使用 IAM 使用者進行身分驗證。相反地，搭配使用聯合功能和身分提供者，例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。

本節說明如何以 IAM 使用者進行基本設定。其中包含使用 `config` 和 `credentials` 檔案的安全憑證。要改為查看 AWS IAM Identity Center的配置說明，請參閱 [使用 設定 IAM Identity Center 身分驗證 AWS CLI](cli-configure-sso.md)。

**Contents**
+ [

## 步驟 1：建立 IAM 使用者
](#cli-authentication-user-create)
+ [

## 步驟 2：取得您的存取金鑰
](#cli-authentication-user-get)
+ [

## 步驟 3：設定 AWS CLI
](#cli-authentication-user-configure.title)
  + [

### 使用 `aws configure`
](#cli-authentication-user-configure-wizard)
  + [

### 透過 .CSV 檔案匯入存取金鑰
](#cli-authentication-user-configure-csv)
  + [

### 直接編輯 `config` 和 `credentials` 檔案
](#cli-authentication-user-configure-csv.titlecli-authentication-user-configure-file)
+ [

## （選用） 搭配 IAM 使用者憑證使用多重驗證
](#cli-authentication-user-configure-csv.titlecli-authentication-user-mfa)

## 步驟 1：建立 IAM 使用者
<a name="cli-authentication-user-create"></a>

按照 *IAM 使用者指南*中的[建立 IAM 使用者 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) 程序來建立 IAM 使用者。
+ 針對**權限選項**，請選擇**直接連接政策**做為您指派權限給此使用者的方式。
+ 多數「入門」SDK 教學都使用 Amazon S3 服務做為範例。若要讓應用程式能夠完整存取 Amazon S3，請選取要連接至此使用者的 `AmazonS3FullAccess` 政策。

## 步驟 2：取得您的存取金鑰
<a name="cli-authentication-user-get"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選取**使用者**，然後選取您先前建立使用者的 **`User name`**。

1. 在使用者頁面上，選取**安全憑證**頁面。接著，在**存取金鑰**下，選取**建立存取金鑰**。

1.  針對**建立存取金鑰步驟 1**，請選擇**命令列界面 (CLI)**。

1. 在**建立存取金鑰步驟 2** 中，輸入選用標籤並選取**下一步**。

1. 在**建立存取金鑰步驟 3** 中，選取**下載 .csv 檔案**，以儲存包含 IAM 使用者存取金鑰和私密存取金鑰的 `.csv` 檔案。您之後將會用到此資訊。

1. 選取完成。

## 步驟 3：設定 AWS CLI
<a name="cli-authentication-user-configure.title"></a>

針對一般用途， AWS CLI 需要下列資訊：
+ 存取金鑰 ID
+ 私密存取金鑰
+ AWS 區域
+ 輸出格式

會將此資訊 AWS CLI 儲存在 `credentials` 檔案中名為 的*設定檔* （設定集合） `default`中。根據預設，當您執行未明確指定要使用之設定檔的 AWS CLI 命令時，會使用此設定檔中的資訊。如需有關 `credentials` 檔案的詳細資訊，請參閱[中的組態和登入資料檔案設定 AWS CLI](cli-configure-files.md)。

若要設定 AWS CLI，請使用下列其中一個程序：

**Topics**
+ [

### 使用 `aws configure`
](#cli-authentication-user-configure-wizard)
+ [

### 透過 .CSV 檔案匯入存取金鑰
](#cli-authentication-user-configure-csv)
+ [

### 直接編輯 `config` 和 `credentials` 檔案
](#cli-authentication-user-configure-csv.titlecli-authentication-user-configure-file)

### 使用 `aws configure`
<a name="cli-authentication-user-configure-wizard"></a>

對於一般用途， `aws configure`命令是設定 AWS CLI 安裝的最快方式。此設定精靈會針對您要使用的每項資訊給予提示。除非使用 `--profile`選項另有指定，否則 會將此資訊 AWS CLI 存放在 `default` 設定檔中。

下列範例使用範例值來設定 `default` 設定檔。將範本值取代為您自己的值，如下列章節所述。

```
$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
```

下列範例使用範例值來設定名為 `userprod` 的設定檔。將範本值取代為您自己的值，如下列章節所述。

```
$ aws configure --profile userprod
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
```

### 透過 .CSV 檔案匯入存取金鑰
<a name="cli-authentication-user-configure-csv"></a>

您可以匯入建立存取金鑰後下載的純文字 `.csv` 檔案，而非使用 `aws configure` 來輸入存取金鑰。

`.csv` 檔案必須包含以下標頭。
+ User Name (使用者名稱) - 此欄必須加入您的 `.csv`。這是用來在匯入時建立 `config` 與 `credentials` 檔案中使用的設定檔名稱。
+ 存取金鑰 ID
+ 私密存取金鑰

**注意**  
在初始存取金鑰建立過程中，一旦關閉**下載 .csv 檔案**對話方塊中，您將無法在關閉對話方塊之後存取私密存取金鑰。如果您需要 `.csv` 檔案，您必須自己建立一個包含所需標頭和您所儲存存取金鑰資訊的檔案。如果您無法存取您的存取金鑰資訊，則必須建立新的存取金鑰。

若要匯入 `.csv` 檔案，請使用 `aws configure import` 命令與 `--csv` 選項，如以下所示：

```
$ aws configure import --csv file://credentials.csv
```

如需詳細資訊，請參閱 `aws\$1configure\$1import`。

### 直接編輯 `config` 和 `credentials` 檔案
<a name="cli-authentication-user-configure-csv.titlecli-authentication-user-configure-file"></a>

若要直接編輯 `config` 和 `credentials` 檔案，請執行下列動作。

1. 建立或開啟共用的 AWS `credentials` 檔案。這個檔案是位於 Linux 和 macOS 系統上的 `~/.aws/credentials` 和 Windows 上的 `%USERPROFILE%\.aws\credentials`。如需詳細資訊，請參閱 [中的組態和登入資料檔案設定 AWS CLI](cli-configure-files.md)。

1. 將以下文字新增至共用的 `credentials` 檔案。取代您先前下載 `.csv` 檔案中的範例值，然後儲存檔案。

   ```
   [default] 
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE 
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   ```

## （選用） 搭配 IAM 使用者憑證使用多重驗證
<a name="cli-authentication-user-configure-csv.titlecli-authentication-user-mfa"></a>

為了提高安全性，您可以在嘗試撥打電話時，使用從多重驗證 (MFA) 裝置、U2F 裝置或行動應用程式產生的一次性金鑰。

使用已啟用 MFA 的 IAM 使用者，執行 [https://docs.aws.amazon.com/cli/latest/reference/configure/mfa-login.html](https://docs.aws.amazon.com/cli/latest/reference/configure/mfa-login.html)命令來設定新設定檔，以搭配指定設定檔的多重要素驗證 (MFA) 使用。如果未指定設定檔，則 MFA 是以`default`設定檔為基礎。如果未設定預設設定檔，`mfa-login`命令會在要求 MFA 資訊之前提示您輸入 AWS 登入資料。下列命令範例使用您的預設組態並建立 MFA 設定檔。

```
$ aws configure mfa-login
MFA serial number or ARN: arn:aws:iam::123456789012:mfa/MFADeviceName
MFA token code: 123456
Profile to update [session-MFADeviceName]:
Temporary credentials written to profile 'session-MFADeviceName'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile session-MFADeviceName when running AWS CLI commands
```

若要更新現有的設定檔，請使用 `--update-profile` 參數。

```
$ aws configure mfa-login --profile myprofile --update-profile mfaprofile
MFA token code: 123456
Temporary credentials written to profile 'mfaprofile'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile mfaprofile when running AWS CLI commands
```

此命令目前僅支援硬體或軟體型一次性密碼 (OTP) 驗證器。此命令目前不支援通行金鑰和 U2F 裝置。

若要使用您的 MFA 設定檔，請搭配 命令使用 `--profile`選項。

```
$ aws s3 ls --profile mfaprofile
```

如需搭配 IAM 使用 MFA 的詳細資訊，包括如何將 MFA 指派給 IAM 使用者，請參閱*AWS Identity and Access Management 《 使用者指南*》中的 [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)。