中的組態和憑證檔案設定 AWS CLI

執行此命令以快速設定和檢視您的 憑證、區域和輸出格式。下列範例顯示範本值。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

您可以使用 aws configure set 來設定任何憑證或組態設定。使用 --profile 設定來指定您想要檢視或修改的設定檔。

例如，以下命令會在名為 integ 的設定檔中進行 region 設定。

$ aws configure set region us-west-2 --profile integ

若要移除設定，請在文字編輯器中手動刪除 config和 credentials 檔案中的設定。

您可以擷取已使用 aws configure get 設定的任何憑證或組態設定。使用 --profile 設定來指定您想要檢視或修改的設定檔。

例如，以下命令會在名為 region 的設定檔中擷取 integ 設定。

$ aws configure get region --profile integ
us-west-2

如果輸出是空的，則設定未明確設定，將會使用預設值。

匯入從 IAM Web 主控台產生的CSV憑證。這不適用於從 IAM Identity Center 產生的憑證；使用 IAM Identity Center 的客戶應使用 aws 設定 sso。檔案CSV會匯入與使用者名稱相符的設定檔名稱。CSV 檔案必須包含下列標頭。

$ aws configure import --csv file://credentials.csv

若要列出組態資料，請使用 aws configure list 命令。此命令會列出設定檔、存取金鑰、私密金鑰，以及用於所指定設定檔的區域組態資訊。對於每個組態項目，它會顯示值、擷取組態值的位置，以及組態變數名稱。

例如，如果您在環境變數 AWS 區域 中提供 ，此命令會顯示您設定的區域名稱、此值來自環境變數，以及環境變數的名稱。

對於角色和 IAM Identity Center 等臨時憑證方法，此命令會顯示暫時快取的存取金鑰，並顯示秘密存取金鑰。

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

若要列出所有設定檔名稱，請使用 aws configure list-profiles 命令。

$ aws configure list-profiles
default
test

執行此命令以快速設定和檢視您的 AWS IAM Identity Center 憑證、區域和輸出格式。下列範例顯示範本值。

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

執行此命令可在 和 config 檔案的 sso-session 區段中快速設定和檢視您的 AWS IAM Identity Center 憑證、區域credentials和輸出格式。下列範例顯示範本值。

$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

指定用作憑證一部分的 AWS 存取金鑰，以驗證命令請求。雖然這可以存放在 config 檔案中，但建議您存放在 credentials 檔案中。

可由 AWS_ACCESS_KEY_ID 環境變數所覆寫。您不能將存取金鑰 ID 指定為命令列選項。

aws_access_key_id = AKIAIOSFODNN7EXAMPLE

指定作為憑證的一部分用來驗證命令請求的 AWS 秘密金鑰。雖然這可以存放在 config 檔案中，但建議您存放在 credentials 檔案中。

可由 AWS_SECRET_ACCESS_KEY 環境變數所覆寫。您不能將私密存取金鑰指定為命令列選項。

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

指定 AWS 工作階段權杖。只有當您手動指定臨時的安全憑證時，才需要工作階段字符。雖然這可以存放在 config 檔案中，但建議您存放在 credentials 檔案中。

可由 AWS_SESSION_TOKEN 環境變數所覆寫。您不能將工作階段字符指定為命令列選項。

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

指定用於驗證憑證的 CA SSL憑證套件 （具有.pem副檔名的檔案）。

可由 AWS_CA_BUNDLE 環境變數或 --ca-bundle 命令列選項所覆寫。

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem

啟用 AWS CLI 版本 2 的自動提示。有兩種設定可以使用：

您可以使用 aws_cli_auto_prompt 環境變數或 --cli-auto-prompt 及 --no-cli-auto-prompt 命令列參數來覆寫此設定。

如需第 2 AWS CLI 版自動提示功能的資訊，請參閱 在 中啟用和使用命令提示字元 AWS CLI。

指定 AWS CLI 版本 2 如何解譯二進位輸入參數。它可能是以下其中一個數值：

此項目沒有同等環境變數。您可以使用 --cli-binary-format raw-in-base64-out 參數，在單一命令上指定數值。

cli_binary_format = raw-in-base64-out

如果您使用fileb://字首符號參考檔案中的二進位值， AWS CLI 一律會預期檔案包含原始二進位內容，而不會嘗試轉換該值。

如果您使用file://字首符號參考檔案中的二進位值， 會根據目前的cli_binary_format設定 AWS CLI 處理檔案。如果該設定的值為 base64（未明確設定時為預設值）， AWS CLI 預期檔案會包含 base64 編碼的文字。如果該設定的值為 raw-in-base64-out， AWS CLI 預期檔案會包含原始二進位內容。

預設為停用。此設定會啟用 AWS CLI命令歷史記錄。啟用此設定後， 會 AWS CLI 記錄aws命令的歷史記錄。

cli_history = enabled

您可以使用 aws history list 命令來列出歷史記錄，並且在 aws history show 命令中使用產生的 command_ids 取得詳細資訊。如需詳細資訊，請參閱 AWS CLI 參考指南中的 aws history。

指定用於輸出的分頁程式。根據預設， AWS CLI 版本 2 會透過作業系統的預設呼叫器程式傳回所有輸出。

可以由AWS_PAGER環境變數覆寫。

cli_pager=less

指定輸出包含的時間戳記值格式。您可以指定下列任一數值：

此項目沒有同等環境變數或命令列選項。

cli_timestamp_format = iso8601

指定外部命令，讓 AWS CLI 執行以產生或擷取要用於此命令的身分驗證憑證。命令必須以特定格式傳回憑證。如需有關如何使用此設定的詳細資訊，請參閱 在 中使用外部程序來來源憑證 AWS CLI。

此項目沒有同等環境變數或命令列選項。

credential_process = /opt/bin/awscreds-retriever --username susan

在 Amazon EC2執行個體或容器內使用，以指定 AWS CLI 可以尋找憑證的位置，以使用 role_arn 參數擔任您指定的角色。您無法在同一個描述檔中同時指定 source_profile 和 credential_source。

此參數可以有下列三個數值中的一個：

credential_source = Ec2InstanceMetadata

指定角色工作階段的最大持續時間 (以秒為單位)。此數值的範圍可以從 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定的數值 (其最大值為 43200)。這是選用參數，並且依預設，此數值會設為 3600 秒。

指定用於所有服務要求的端點。如果在 config 檔案的 services 區段中使用此設定，則端點僅用於指定的服務。

以下範例使用 Amazon S3 的全域端點 http://localhost:1234 和服務特定端點 http://localhost:4567。

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

端點組態設定位於多個位置，例如系統或使用者環境變數、本機 AWS 組態檔案，或在命令列上明確宣告為 參數。 AWS CLI 端點組態設定的優先順序如下：

如果啟用， 會 AWS CLI 忽略config檔案中指定的所有自訂端點組態。有效值為 true 和 false。

ignore_configure_endpoint_urls = true

端點組態設定位於多個位置，例如系統或使用者環境變數、本機 AWS 組態檔案，或在命令列上明確宣告為 參數。 AWS CLI 端點組態設定的優先順序如下：

指定一個唯一識別符，第三方用來在其客戶帳戶擔任角色。這映射到 ExternalId 操作的 AssumeRole 參數。只有在角色的信任政策指定 ExternalId 的數值時，才需要此參數。如需詳細資訊，請參閱 IAM 使用者指南 中的如何在將 AWS 資源的存取權授予第三方時使用外部 ID。

指定重試 AWS CLI 處理常式使用的最大重試次數值，其中初始呼叫會計入您提供的max_attempts值。

您可以使用 AWS_MAX_ATTEMPTS 環境變數來覆寫此數值。

max_attempts = 3

擔任角色時要使用MFA的裝置識別號碼。只有在要擔任的角色的信任政策包含需要MFA身分驗證的條件時，才必須執行此操作。此值可以是硬體裝置的序號 （例如 GAHT12345678），也可以是虛擬MFA裝置的 Amazon Resource Name （ARN） （例如 ）arn:aws:iam::123456789012:mfa/user。

對於請求使用此描述檔的命令，指定預設輸出格式。您可以指定下列任何數值：

可由 AWS_DEFAULT_OUTPUT 環境變數或 --output 命令列選項所覆寫。

output = table

指定 AWS CLI 用戶端是否嘗試在將參數傳送至 AWS 服務端點之前驗證參數。

此項目沒有同等環境變數或命令列選項。

parameter_validation = false

指定 AWS 區域 要針對使用此設定檔請求的命令傳送請求的 。

您可以使用 AWS_REGION 環境變數、 AWS_DEFAULT_REGION 環境變數或 --region 命令列選項來覆寫此數值。

region = us-west-2

指定重試模式 AWS CLI 使用哪個。有三種可用的重試模式：傳統 (預設)、標準和自適應。如需有關重試的詳細資訊，請參閱 AWS CLI 中的重試 AWS CLI。

您可以使用 AWS_RETRY_MODE 環境變數來覆寫此數值。

retry_mode = standard

指定您要用來執行 AWS CLI 命令之IAM角色的 Amazon Resource Name （ARN）。您還必須指定下列其中一個參數，以識別具有許可能擔任此角色的憑證：

role_arn = arn:aws:iam::123456789012:role/role-name

環境變數 AWS_ROLE_ARN 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

指定要連接到角色工作階段的名稱。當 AWS CLI 呼叫 AssumeRole 操作時，此值會提供給 RoleSessionName 參數，並成為擔任角色使用者 ARN： 的一部分 arn:aws:sts::123456789012:assumed-role/role_name/role_session_name。這是選擇性的參數。若您未提供此數值，將會自動產生工作階段名稱。此名稱會出現在與此工作階段相關聯之項目的 AWS CloudTrail 日誌中。

role_session_name = maria_garcia_role

環境變數 AWS_ROLE_SESSION_NAME 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

指定要用於設定檔的服務組態。

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

如需 services 區段的詳細資訊，請參閱 區段類型：services。

環境變數 AWS_ROLE_SESSION_NAME 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

單一 AWS 帳戶 可由多個客戶應用程式用來呼叫 AWS 服務。應用程式 ID 會識別使用 進行一組呼叫的來源應用程式 AWS 服務。 AWS SDKs 和 服務不使用或解釋此值，但 會在客戶通訊中使其恢復。例如，此值可以包含在操作電子郵件中，以唯一識別哪些應用程式與通知相關聯。

應用程式 ID 是長度上限為 50 個字元的字串。允許使用字母、數字和下列特殊字元：! $ % & * + - . , ^ _ ` | ~預設情況下，不會指派任何值。

sdk_ua_app_id = prod1

此設定可透過使用 AWS_SDK_UA_APP_ID 環境變數來覆寫。您無法將此數值設為命令列參數。

指定具有長期憑證、 AWS CLI 可用來擔任您使用 role_arn 參數所指定角色的具名描述檔。您無法在同一個描述檔中同時指定 source_profile 和 credential_source。

source_profile = production-profile

指定包含IAM角色 AWS 的帳戶 ID，其中包含您要授予相關聯 IAM Identity Center 使用者的權限。

此設定沒有環境變數或命令列選項。

sso_account_id = 123456789012

指定 AWS 包含 AWS 存取入口網站主機的區域。這與預設CLIregion參數分開，並且可以是不同的區域。

此設定沒有環境變數或命令列選項。

sso_region = us_west-2

要針對 sso-session 授權的逗號分隔清單範圍。範圍會授權對 IAM Identity Center 承載符字符授權端點的存取。有效範圍是一個字串，例如 sso:account:access。這個設定不適用於舊版不可重新整理的組態設定。

sso_registration_scopes = sso:account:access

指定角色的易記名稱，該IAM角色定義使用者使用此設定檔時的許可。

此設定沒有環境變數或命令列選項。

sso_role_name = ReadAccess

指定URL指向組織 AWS 存取入口網站的 。 AWS CLI 使用此功能與 IAM Identity Center 服務URL建立工作階段，以驗證其使用者。若要尋找您的 AWS 存取入口網站 URL，請使用下列其中一項：

此設定沒有環境變數或命令列選項。

sso_start_url = https://my-sso-portal.awsapps.com/start

啟用雙堆疊端點傳送 AWS 請求。若要進一步了解支援 IPv4和 IPv6流量的雙堆疊端點，請參閱Amazon Simple Storage Service 使用者指南中的使用 Amazon S3 雙堆疊端點。雙堆疊端點適用於部分區域的某些服務。如果 服務或 不存在雙堆疊端點 AWS 區域，則請求會失敗。此選項根據預設為停用。

這與 use_accelerate_endpoint 設定互斥。

端點組態設定位於多個位置，例如系統或使用者環境變數、本機 AWS 組態檔案，或在命令列上明確宣告為 參數。 AWS CLI 端點組態設定的優先順序如下：

某些 AWS 服務提供某些 中支援聯邦資訊處理標準 （FIPS） 140-2 的端點 AWS 區域。當 AWS 服務支援 時FIPS，此設定會指定 AWS CLI 應使用 的FIPS端點。與標準 AWS 端點不同，FIPS端點使用符合 140-2 FIPS TLS的軟體程式庫。會與美國政府互動的企業可能需要這些端點。

如果啟用此設定，但 中的服務不存在FIPS端點 AWS 區域，則 AWS 命令可能會失敗。在此情況下，請使用 --endpoint-url 選項或使用服務特定端點手動指定要在命令中使用的端點。

如需依 指定FIPS端點的詳細資訊 AWS 區域，請參閱依FIPS服務區分的端點。

端點組態設定位於多個位置，例如系統或使用者環境變數、本機 AWS 組態檔案，或在命令列上明確宣告為 參數。 AWS CLI 端點組態設定的優先順序如下：

指定檔案的路徑，其中包含身分提供者提供的 OAuth 2.0 存取權杖或 OpenID Connect ID 權杖。 AWS CLI 會載入此檔案的內容，並將其作為 WebIdentityToken 引數傳遞至 AssumeRoleWithWebIdentity 操作。

環境變數 AWS_WEB_IDENTITY_TOKEN_FILE 會覆寫此設定。

如需使用 Web 身分的詳細資訊，請參閱 擔任具有 Web 身分的角色。

指定 AWS CLI 用戶端是否使用TCP保持連線封包。

此項目沒有同等環境變數或命令列選項。

tcp_keepalive = false

指定要使用的定址樣式。這可控制儲存貯體名稱是否位於主機名稱中，或是否屬於 的一部分URL。有效值為：path、virtual 和 auto。預設值為 auto。

建構 Amazon S3 端點有兩種樣式。第一種稱為 virtual，並且在主機名稱中包含儲存貯體名稱。例如：https://bucketname.s3.amazonaws.com。或者，使用 path 樣式，您可以將儲存貯體名稱視為 中的路徑URI；例如 https://s3.amazonaws.com/bucketname。中的預設值CLI是使用 auto，其會嘗試使用可以使用的virtual樣式，但會在需要時回復為path樣式。例如，如果您的儲存貯體名稱DNS不相容，則儲存貯體名稱不能是主機名稱的一部分，而且必須在路徑中。使用 時auto， CLI會偵測此條件，並自動為您切換至path樣式。如果您將定址樣式設定為 path，則必須確保您在 AWS CLI 中設定的 AWS 區域符合儲存貯體的區域。

指定是否要SHA256簽署 sigv4 承載。根據預設，使用 時，串流上傳 （UploadPart 和 PutObject） 會停用此功能HTTPS。根據預設，串流上傳 false （UploadPart 和 PutObject） 會設為 ，但只有在ContentMD5存在 （預設為產生） 且端點使用 時才會設為 HTTPS。

如果設定為 true，S3 請求會以總和SHA256檢查碼的形式接收額外的內容驗證，該檢查總和會為您計算並包含在請求簽章中。如果設定為 false，則不計算檢查總和。停用此參數有助於降低檢查總和計算所造成的效能負荷。

對所有 s3 和 s3api 命令使用 Amazon S3 加速端點。預設值為 false。這與 use_dualstack_endpoint 設定互斥。

如果設定為 true， 會將所有 Amazon S3 請求 AWS CLI 導向至位於 的S3 Accelerate端點s3-accelerate.amazonaws.com。若要使用這個端點，您必須啟用儲存貯體來使用 S3 Accelerate。所有請求都是使用虛擬樣式的儲存貯體定址所傳送：my-bucket.s3-accelerate.amazonaws.com。不會將任何 ListBuckets、CreateBucket 和 DeleteBucket 請求傳送至 S3 加速端點，因為該端點不支援這些操作。如果將任何 s3 或 s3api 命令的 --endpoint-url 參數設為 https://s3-accelerate.amazonaws.com 或 http://s3-accelerate.amazonaws.com，也可以設定此行為。

指定往返於 Amazon S3 上傳和下載資料時可消耗的最大頻寬。預設值是無限制。

這會限制 S3 命令在往返於 Amazon S3 傳輸資料時可使用的最大頻寬。這個數值僅適用於上傳和下載，不適用於複製或刪除。數值以每秒位元組數為單位。數值可以指定為：

一般而言，我們建議您先降低 max_concurrent_requests，以嘗試降低頻寬耗用量。如果這還無法將限制頻寬耗用量調到所需的速率，您可以使用 max_bandwidth 設定來進一步限制頻寬耗用量。這是因為 max_concurrent_requests 控制目前執行多少個執行緒。如果您先降低 max_bandwidth 但保留較高的 max_concurrent_requests 設置，則可能導致執行緒必須等待不必要的等待。這可能會導致過多的資源消耗和連線逾時。

指定並行請求數量上限。預設值為 10。

aws s3 傳輸命令是多執行緒。隨時可以執行多個 Amazon S3 請求。例如，當您使用 命令aws s3 cp localdir s3://bucket/ --recursive將檔案上傳到 S3 儲存貯體時， AWS CLI 可以localdir/file3並行上傳檔案 localdir/file1、 localdir/file2和 。設定 max_concurrent_requests 會指定可同時執行的傳輸操作數量上限。

由於幾個原因，您可能需要變更這個數值：

指定任務佇列中的任務數量上限。預設值為 1000。

AWS CLI 內部 會使用模型，在該模型中，它會佇列 Amazon S3 任務，然後由編號受 限制的取用者執行max_concurrent_requests。任務通常會映射到單一 Amazon S3 操作。例如，任務可能是 PutObjectTask、GetObjectTask 或 UploadPartTask。任務新增到佇列的速率可比消費者完成任務的速率快很多。為了避免無限制成長，任務佇列大小會受限於特定大小。這個設定會變更該數量的上限值。

您通常不需要變更此設定。此設定也對應於 AWS CLI 知道需要執行的任務數量。這表示依預設， AWS CLI 只能看到 1000 個未來的任務。增加此值意味著 AWS CLI 可以更快地知道所需的任務總數，假設佇列率比任務完成率更快。缺點是較大的 max_queue_size 需要更多記憶體。

指定 AWS CLI 用於個別檔案分段傳輸的區塊大小。預設值為 8 MB，下限為 5 MB。

當檔案傳輸超過 multipart_threshold 時， AWS CLI 會將檔案分割成此大小的區塊。指定這個數值所使用的語法與 multipart_threshold 相同，包括以整數指定位元組數量，或使用大小和尾碼。

指定用於個別檔案 AWS CLI 分段傳輸的大小閾值。預設值為 8 MB。

當上傳、下載或複製檔案時，如果檔案超過該大小，Amazon S3 命令會切換到分段操作。您有兩種方式可以指定此數值：