本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的身分驗證和存取憑證 AWS CLI
當您使用 服務開發 AWS 時,您必須建立 的 AWS CLI AWS 身分驗證方式。若要為 設定程式設計存取的憑證 AWS CLI,請選擇下列其中一個選項。選項是按照建議順序排列的。
| 哪個使用者需要程式設計存取權? | 用途 | 指示 |
|---|---|---|
|
人力資源身分 (AWS IAM Identity Center 使用者) |
(建議) 使用短期憑證。 | 使用 設定 IAM Identity Center 身分驗證 AWS CLI |
| IAM | 使用短期憑證。 | 使用 的短期憑證進行驗證 AWS CLI |
|
IAM
或 人力資源身分 (AWS IAM Identity Center 使用者) |
使用 Amazon EC2執行個體中繼資料作為憑證。 | 使用 Amazon EC2執行個體中繼資料作為 中的憑證 AWS CLI |
|
IAM
或 人力資源身分 (AWS IAM Identity Center 使用者) |
配對其他憑證方法,並擔任角色以獲得許可權。 | 在 中使用IAM角色 AWS CLI |
| IAM | (不建議) 使用長期憑證。 | 使用 IAM的使用者憑證進行驗證 AWS CLI |
|
IAM
或 人力資源身分 (AWS IAM Identity Center 使用者) |
(不建議) 配對其他憑證方法,但使用非儲存於 AWS CLI的憑證值。 | 在 中使用外部程序來來源憑證 AWS CLI |
組態和憑證優先順序
憑證和組態設定位於多個位置,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為 參數。某些身分驗證優先於其他身分驗證。驗證 AWS CLI 設定優先順序如下:
-
命令列選項 – 覆寫任何其他位置 (例如
--region、--output和--profile參數) 的設定。 -
環境變數 – 您可以將數值存放在環境變數中。
-
擔任角色 – 透過組態或
aws sts assume-role命令擔任IAM角色的許可。 -
使用 Web 身分擔任角色 – 透過組態或
aws sts assume-role命令使用 Web 身分擔任IAM角色的許可。 -
AWS IAM Identity Center – 當您執行
aws configure sso命令時,會更新儲存在config檔案中的 IAM Identity Center 組態設定。然後,在您執行aws sso login命令時驗證憑證。config檔案在 Linux 或 macOS 上位於~/.aws/config,在 Windows 上位於C:\Users\。USERNAME\.aws\config -
憑證檔案 – 當您執行
aws configure命令時,會更新credentials和config檔案。credentials檔案在 Linux 或 macOS 上位於~/.aws/credentials,在 Windows 上位於C:\Users\。USERNAME\.aws\credentials -
自訂程序—從外部來源取得憑證。
-
組態檔 – 當您執行
aws configure命令時,會更新credentials和config檔案。config檔案在 Linux 或 macOS 上位於~/.aws/config,在 Windows 上位於C:\Users\。USERNAME\.aws\config -
容器憑證 – 您可以將IAM角色與每個 Amazon Elastic Container Service (AmazonECS) 任務定義建立關聯。然後,該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊,請參閱 Amazon Elastic Container Service 開發人員指南 中的IAM任務角色。
-
Amazon EC2執行個體設定檔憑證 – 您可以將IAM角色與每個 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體建立關聯。然後,該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2中繼資料服務交付。如需詳細資訊,請參閱 IAMAmazon 使用者指南中的 Amazon 角色EC2,以及 IAM 使用者指南 中的使用執行個體設定檔。 EC2
本區段的其他主題
