中的組態和登入資料檔案設定 AWS CLI

執行此命令以快速設定和檢視您的 憑證、區域和輸出格式。下列範例顯示範本值。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

您可以使用 aws configure set 來設定任何憑證或組態設定。使用 --profile 設定來指定您想要檢視或修改的設定檔。

例如，以下命令會在名為 integ 的設定檔中進行 region 設定。

$ aws configure set region us-west-2 --profile integ

若要移除設定，請在文字編輯器中手動刪除 config和 credentials 檔案中的設定。

您可以擷取已使用 aws configure get 設定的任何憑證或組態設定。使用 --profile 設定來指定您想要檢視或修改的設定檔。

例如，以下命令會在名為 region 的設定檔中擷取 integ 設定。

$ aws configure get region --profile integ
us-west-2

如果輸出是空的，則設定未明確設定，將會使用預設值。

匯入從 IAM Web 主控台產生的 CSV 憑證。這不適用於從 IAM Identity Center 產生的憑證；使用 IAM Identity Center 的客戶應使用 aws 來設定 sso。CSV 檔案將會匯入，且設定檔名稱與使用者名稱相符。CSV 檔案必須包含以下標頭。

$ aws configure import --csv file://credentials.csv

若要列出組態資料，請使用 aws configure list 命令。此命令會列出設定檔、存取金鑰、私密金鑰，以及用於所指定設定檔的區域組態資訊。對於每個組態項目，它會顯示值、擷取組態值的位置，以及組態變數名稱。

例如，如果您在 環境變數 AWS 區域 中提供 ，此命令會顯示您已設定的區域名稱、此值來自 環境變數，以及 環境變數的名稱。

若採用臨時憑證方法 (例如，角色和 IAM Identity Center)，此命令會顯示臨時快取的存取金鑰，並顯示私密存取金鑰。

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

若要列出所有設定檔名稱，請使用 aws configure list-profiles 命令。

$ aws configure list-profiles
default
test

執行此命令以快速設定和檢視您的 AWS IAM Identity Center 登入資料、區域和輸出格式。下列範例顯示範本值。

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

執行此命令，在 和 config 檔案的 sso-session 區段中快速設定和檢視您的 AWS IAM Identity Center 登入資料、區域credentials和輸出格式。下列範例顯示範本值。

$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

指定做為登入資料一部分的 AWS 存取金鑰，以驗證命令請求。雖然這可以存放在 config 檔案中，但建議您存放在 credentials 檔案中。

可由 AWS_ACCESS_KEY_ID 環境變數所覆寫。您不能將存取金鑰 ID 指定為命令列選項。

aws_access_key_id = AKIAIOSFODNN7EXAMPLE

指定做為登入資料一部分的 AWS 私密金鑰，以驗證命令請求。雖然這可以存放在 config 檔案中，但建議您存放在 credentials 檔案中。

可由 AWS_SECRET_ACCESS_KEY 環境變數所覆寫。您不能將私密存取金鑰指定為命令列選項。

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

指定 AWS 工作階段字符。只有當您手動指定臨時的安全憑證時，才需要工作階段字符。雖然這可以存放在 config 檔案中，但建議您存放在 credentials 檔案中。

可由 AWS_SESSION_TOKEN 環境變數所覆寫。您不能將工作階段字符指定為命令列選項。

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

指定用於驗證 SSL 憑證的憑證授權機構憑證套件 (副檔名為 .pem 的檔案)。

可由 AWS_CA_BUNDLE 環境變數或 --ca-bundle 命令列選項所覆寫。

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem

啟用 第 2 AWS CLI 版的自動提示。有兩種設定可以使用：

您可以使用 aws_cli_auto_prompt 環境變數或 --cli-auto-prompt 及 --no-cli-auto-prompt 命令列參數來覆寫此設定。

如需第 2 AWS CLI 版自動提示功能的資訊，請參閱 在 中啟用和使用命令提示 AWS CLI。

指定 AWS CLI 版本 2 如何解譯二進位輸入參數。它可能是以下其中一個數值：

此項目沒有同等環境變數。您可以使用 --cli-binary-format raw-in-base64-out 參數，在單一命令上指定數值。

cli_binary_format = raw-in-base64-out

如果您使用fileb://字首表示法參考檔案中的二進位值，則 AWS CLI 一律會預期檔案包含原始二進位內容，而不會嘗試轉換該值。

如果您使用file://字首標記法參考檔案中的二進位值， 會根據目前的cli_binary_format設定 AWS CLI 處理檔案。如果該設定的值為 base64（未明確設定時為預設值），則 AWS CLI 預期檔案包含 base64 編碼的文字。如果該設定的值為 raw-in-base64-out，則 AWS CLI 預期檔案包含原始二進位內容。

預設為停用。此設定會啟用 AWS CLI命令歷史記錄。啟用此設定後， 會 AWS CLI 記錄aws命令的歷史記錄。

cli_history = enabled

您可以使用 aws history list 命令來列出歷史記錄，並且在 aws history show 命令中使用產生的 command_ids 取得詳細資訊。如需詳細資訊，請參閱 AWS CLI 參考指南中的 aws history。

指定用於輸出的分頁程式。根據預設，第 2 AWS CLI 版會透過作業系統的預設分頁程式傳回所有輸出。

可以由 AWS_PAGER 環境變數所覆寫。

cli_pager=less

指定輸出包含的時間戳記值格式。您可以指定下列任一數值：

此項目沒有同等環境變數或命令列選項。

cli_timestamp_format = iso8601

指定 AWS CLI 執行的外部命令，以產生或擷取要用於此命令的身分驗證憑證。命令必須以特定格式傳回憑證。如需有關如何使用此設定的詳細資訊，請參閱 在 中使用外部程序來取得登入資料 AWS CLI。

此項目沒有同等環境變數或命令列選項。

credential_process = /opt/bin/awscreds-retriever --username susan

在 Amazon EC2 執行個體或容器中使用，以指定 AWS CLI 可以找到用於擔任您使用 role_arn 參數所指定角色的憑證。您無法在同一個描述檔中同時指定 source_profile 和 credential_source。

此參數可以有下列三個數值中的一個：

credential_source = Ec2InstanceMetadata

指定角色工作階段的最大持續時間 (以秒為單位)。此數值的範圍可以從 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定的數值 (其最大值為 43200)。這是選用參數，並且依預設，此數值會設為 3600 秒。

指定用於所有服務要求的端點。如果在 config 檔案的 services 區段中使用此設定，則端點僅用於指定的服務。如需詳細資訊，請參閱設定所有 的全域端點 AWS 服務。

以下範例使用 Amazon S3 的全域端點 http://localhost:1234 和服務特定端點 http://localhost:4567。

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

如果啟用， 會 AWS CLI 忽略 config 檔案中指定的所有自訂端點組態。有效值為 true 和 false。

ignore_configure_endpoint_urls = true

指定一個唯一識別符，第三方用來在其客戶帳戶擔任角色。這映射到 ExternalId 操作的 AssumeRole 參數。只有在角色的信任政策指定 ExternalId 的數值時，才需要此參數。如需詳細資訊，請參閱《IAM 使用者指南》中的如何在將 AWS 資源的存取權授予第三方時使用外部 ID。

指定重試 AWS CLI 處理常式使用的最大重試次數值，其中初始呼叫會計入您提供的max_attempts值。

您可以使用 AWS_MAX_ATTEMPTS 環境變數來覆寫此數值。

max_attempts = 3

擔任角色時使用的 MFA 裝置識別碼。只有在所擔任角色的信任政策包含要求 MFA 身分驗證的條件時才具強制性。此數值可以是硬體裝置的序號 (例如 GAHT12345678) 或虛擬 MFA 裝置的 Amazon Resource Name (ARN) (例如 arn:aws:iam::123456789012:mfa/user)。

對於請求使用此描述檔的命令，指定預設輸出格式。您可以指定下列任何數值：

可由 AWS_DEFAULT_OUTPUT 環境變數或 --output 命令列選項所覆寫。

output = table

指定 AWS CLI 用戶端是否在將參數傳送至 AWS 服務端點之前嘗試驗證參數。

此項目沒有同等環境變數或命令列選項。

parameter_validation = false

指定 AWS 區域 要針對使用此設定檔請求的命令傳送請求的 。

您可以使用 AWS_REGION 環境變數、 AWS_DEFAULT_REGION 環境變數或 --region 命令列選項來覆寫此數值。

region = us-west-2

指定何時計算請求承載的檢查總和，並具有下列選項：

request_checksum_calculation = when_supported

環境變數 AWS_REQUEST_CHECKSUM_CALCULATION 會覆寫此設定。

指定對回應承載執行檢查總和驗證的時間，並具有下列選項：

response_checksum_validation = when_supported

環境變數 AWS_RESPONSE_CHECKSUM_VALIDATION 會覆寫此設定。

指定使用哪種重試模式 AWS CLI 。有三種可用的重試模式：傳統 (預設)、標準和自適應。如需有關重試的詳細資訊，請參閱 AWS CLI 中的重試 AWS CLI。

您可以使用 AWS_RETRY_MODE 環境變數來覆寫此數值。

retry_mode = standard

指定您要用來執行 AWS CLI 命令之 IAM 角色的 Amazon Resource Name (ARN)。您還必須指定下列其中一個參數，以識別具有許可能擔任此角色的憑證：

role_arn = arn:aws:iam::123456789012:role/role-name

環境變數 AWS_ROLE_ARN 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

指定要連接到角色工作階段的名稱。此數值會在 RoleSessionName 呼叫 AWS CLI 操作時提供給 AssumeRole 參數，並成為所擔任角色使用者 ARN 的一部分： arn:aws:sts::123456789012:assumed-role/role_name/role_session_name。這是選擇性的參數。若您未提供此數值，將會自動產生工作階段名稱。此名稱會出現在與此工作階段相關聯之項目的 AWS CloudTrail 日誌中。

role_session_name = maria_garcia_role

環境變數 AWS_ROLE_SESSION_NAME 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

指定要用於設定檔的服務組態。

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

如需 services 區段的詳細資訊，請參閱 區段類型：services。

環境變數 AWS_ROLE_SESSION_NAME 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

單一 AWS 帳戶 可供多個客戶應用程式用來呼叫 AWS 服務。應用程式 ID 識別哪些來源應用程式使用 AWS 服務. AWS SDKs和服務進行一組呼叫，不使用或解譯此值，而不是將其呈現在客戶通訊中。例如，此值可以包含在操作電子郵件中，以唯一識別哪些應用程式與通知相關聯。

應用程式 ID 是長度上限為 50 個字元的字串。允許使用字母、數字和下列特殊字元：! $ % & * + - . , ^ _ ` | ~根據預設，不會指派任何值。

sdk_ua_app_id = prod1

此設定可透過使用 AWS_SDK_UA_APP_ID 環境變數來覆寫。您無法將此數值設為命令列參數。

指定使用逗號分隔清單與 SigV4a 簽署時要使用的區域。如果未設定此變數， AWS CLI 會使用 所使用的預設值 AWS 服務。如果 AWS 服務 沒有預設值，則請求簽章在所有使用 值的區域中都有效*。

sigv4a_signing_region_set = us-west-2, us-east-1

如需 SigV4a 的詳細資訊，請參閱《IAM 使用者指南》中的 AWS API 請求的 Signature 第 4 版

此設定可透過使用 AWS_SIGV4A_SIGNING_REGION_SET 環境變數來覆寫。您無法將此數值設為命令列參數。

指定具有長期憑證、 AWS CLI 可用來擔任您使用 role_arn 參數所指定角色的具名描述檔。您無法在同一個描述檔中同時指定 source_profile 和 credential_source。

source_profile = production-profile

指定包含 IAM 角色 AWS 的帳戶 ID，其中包含您要授予相關聯 IAM Identity Center 使用者的許可。

此設定沒有環境變數或命令列選項。

sso_account_id = 123456789012

指定 AWS 包含 AWS 存取入口網站主機的區域。這與預設的 CLI region 參數不同，且可以是與其不同的區域。

此設定沒有環境變數或命令列選項。

sso_region = us_west-2

要針對 sso-session 授權的逗號分隔清單範圍。範圍授權對 IAM Identity Center 承載字符授權端點的存取。有效範圍是一個字串，例如 sso:account:access。這個設定不適用於舊版不可重新整理的組態設定。

sso_registration_scopes = sso:account:access

使用此設定檔時，指定定義使用者權限的 IAM 角色的易記名稱。

此設定沒有環境變數或命令列選項。

sso_role_name = ReadAccess

指定指向組織 AWS 存取入口網站的 URL。 AWS CLI 使用此 URL 與 IAM Identity Center 服務建立工作階段，以驗證其使用者。若要尋找您的 AWS 存取入口網站 URL，請使用下列其中一項：

此設定沒有環境變數或命令列選項。

sso_start_url = https://my-sso-portal.awsapps.com/start

允許使用雙堆疊端點傳送 AWS 請求。若要進一步了解支援 IPv4 和 IPv6 流量的雙堆疊端點，請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 雙堆疊端點。雙堆疊端點適用於部分區域的某些服務。如果服務或 不存在雙堆疊端點 AWS 區域，則請求會失敗。有效設定為 true和 false。此選項根據預設為停用。如需詳細資訊，請參閱設定為所有 AWS 服務使用雙堆疊端點。

這與 use_accelerate_endpoint 設定互斥。

某些 AWS 服務提供端點，支援聯邦資訊處理標準 (FIPS) 140-2 AWS 區域。當 AWS 服務支援 FIPS 時，此設定會指定 AWS CLI 應使用的 FIPS 端點。與標準 AWS 端點不同，FIPS 端點使用符合 FIPS 140-2 的 TLS 軟體程式庫。會與美國政府互動的企業可能需要這些端點。如需詳細資訊，請參閱 設定為對所有 AWS 服務使用 FIP 端點。

如果啟用此設定，但 服務不存在 FIPS 端點 AWS 區域，則 AWS 命令可能會失敗。在此情況下，請使用 --endpoint-url 選項或使用服務特定端點手動指定要在命令中使用的端點。

指定檔案的路徑，其包含由身分提供者提供的 OAuth 2.0 存取字符或 OpenID Connect ID 字符。 AWS CLI 會載入此檔案的內容，並將其作為 WebIdentityToken 引數傳遞至 AssumeRoleWithWebIdentity 操作。

環境變數 AWS_WEB_IDENTITY_TOKEN_FILE 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

指定 AWS CLI 用戶端是否使用 TCP 保持連線封包。

此項目沒有同等環境變數或命令列選項。

tcp_keepalive = false

指定要使用的定址樣式。這控制儲存貯體名稱是否位於主機名稱或為 URL 的一部分。有效值為：path、virtual 和 auto。預設值為 auto。

建構 Amazon S3 端點有兩種樣式。第一種稱為 virtual，並且在主機名稱中包含儲存貯體名稱。例如：https://bucketname.s3.amazonaws.com。或者，如果使用 path 樣式，則儲存貯體名稱就如同 URI 中的路徑，例如 https://s3.amazonaws.com/bucketname。CLI 中的預設值是使用 auto，將會儘可能嘗試使用 virtual 樣式，但在需要時會回復為 path 樣式。例如，如果您的儲存貯體名稱與 DNS 不相容，則儲存貯體名稱不能作為主機名稱的一部分，而必須在路徑中。使用 auto 時，CLI 會偵測到這個情況，並自動切換到 path 樣式。如果您將定址樣式設定為 path，則必須確保您在 中 AWS CLI 設定的 AWS 區域符合儲存貯體的區域。

指定是否以 SHA256 簽署 sigv4 承載。在預設情況下，使用 HTTPS 來串流上傳時 (UploadPart 和 PutObject) 會停用此參數。根據預設，在串流上傳時 (UploadPart 和 PutObject)，這會設定為 false，但僅限於 ContentMD5 存在 (依預設會產生) 且端點使用 HTTPS 的情況。

如果設定為 true，S3 請求會收到 SHA256 檢查總和形式的額外內容驗證，這是為您計算並且包含在請求簽章中。如果設定為 false，則不計算檢查總和。停用此參數有助於降低檢查總和計算所造成的效能負荷。

對所有 s3 和 s3api 命令使用 Amazon S3 加速端點。預設值為 false。這與 use_dualstack_endpoint 設定互斥。

如果設定為 true， 會將所有 Amazon S3 請求 AWS CLI 導向至位於 的S3 Accelerate端點s3-accelerate.amazonaws.com。若要使用這個端點，您必須啟用儲存貯體來使用 S3 Accelerate。所有請求都是使用虛擬樣式的儲存貯體定址所傳送：my-bucket.s3-accelerate.amazonaws.com。不會將任何 ListBuckets、CreateBucket 和 DeleteBucket 請求傳送至 S3 加速端點，因為該端點不支援這些操作。如果將任何 s3 或 s3api 命令的 --endpoint-url 參數設為 https://s3-accelerate.amazonaws.com 或 http://s3-accelerate.amazonaws.com，也可以設定此行為。

允許使用雙堆疊端點傳送 s3和 s3api請求。若要進一步了解支援 IPv4 和 IPv6 流量的雙堆疊端點，請參閱《Amazon Simple Storage Service 使用者指南》中的使用 Amazon S3 雙堆疊端點。雙堆疊端點適用於部分區域的某些服務。如果服務或 不存在雙堆疊端點 AWS 區域，則請求會失敗。有效設定為 true和 false。此選項根據預設為停用。如需詳細資訊，請參閱設定為所有 AWS 服務使用雙堆疊端點。

這與 use_accelerate_endpoint 設定互斥。

指定往返於 Amazon S3 上傳和下載資料時可消耗的最大頻寬。預設值是無限制。

這會限制 S3 命令在往返於 Amazon S3 傳輸資料時可使用的最大頻寬。這個數值僅適用於上傳和下載，不適用於複製或刪除。數值以每秒位元組數為單位。數值可以指定為：

一般而言，我們建議您先降低 max_concurrent_requests，以嘗試降低頻寬耗用量。如果這還無法將限制頻寬耗用量調到所需的速率，您可以使用 max_bandwidth 設定來進一步限制頻寬耗用量。這是因為 max_concurrent_requests 控制目前執行多少個執行緒。如果您先降低 max_bandwidth 但保留較高的 max_concurrent_requests 設置，則可能導致執行緒必須等待不必要的等待。這可能會導致過多的資源消耗和連線逾時。

指定並行請求數量上限。預設值為 10。

aws s3 傳輸命令是多執行緒。隨時可以執行多個 Amazon S3 請求。例如，當您使用 命令aws s3 cp localdir s3://bucket/ --recursive將檔案上傳至 S3 儲存貯體時， AWS CLI 可以localdir/file3平行上傳檔案 localdir/file1、 localdir/file2和 。設定 max_concurrent_requests 會指定可同時執行的傳輸操作數量上限。

由於幾個原因，您可能需要變更這個數值：

指定任務佇列中的任務數量上限。預設值為 1000。

AWS CLI 內部使用模型，其會將佇列排入佇列，然後由編號受限於 的消費者執行的 Amazon S3 任務max_concurrent_requests。任務通常會映射到單一 Amazon S3 操作。例如，任務可能是 PutObjectTask、GetObjectTask 或 UploadPartTask。任務新增到佇列的速率可比消費者完成任務的速率快很多。為了避免無限制成長，任務佇列大小會受限於特定大小。這個設定會變更該數量的上限值。

您通常不需要變更此設定。此設定也對應於 AWS CLI 知道需要執行的任務數量。這表示根據預設， AWS CLI 只能看到 1000 個任務。增加此值表示 AWS CLI 可以更快地知道所需的任務總數，假設佇列率比任務完成率更快。缺點是較大的 max_queue_size 需要更多記憶體。

指定 AWS CLI 用於分段傳輸個別檔案的區塊大小。預設值為 8 MB，下限為 5 MB。

當檔案傳輸超過 multipart_threshold 時， AWS CLI 會將檔案分割成此大小的區塊。指定這個數值所使用的語法與 multipart_threshold 相同，包括以整數指定位元組數量，或使用大小和尾碼。

指定 AWS CLI 用於分段傳輸個別檔案的大小閾值。預設值為 8 MB。

當上傳、下載或複製檔案時，如果檔案超過該大小，Amazon S3 命令會切換到分段操作。您有兩種方式可以指定此數值：