的身分驗證和存取憑證 AWS CLI - AWS Command Line Interface
組態和憑證優先順序本區段的其他主題

本文件 AWS CLI 僅適用於 第 1 版。如需 第 2 版的相關文件 AWS CLI,請參閱 第 2 版使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的身分驗證和存取憑證 AWS CLI

當您使用 服務開發 AWS 時,您必須建立 與 的 AWS CLI AWS 身分驗證方式。若要為 設定程式設計存取的登入資料 AWS CLI,請選擇下列其中一個選項。選項是按照建議順序排列的。

身分驗證類型 用途 指示
IAM 使用者短期憑證 使用 IAM 使用者短期憑證,這比長期憑證更安全。如果您的登入資料遭到入侵,在過期之前,可以使用這些登入資料的時間有限。 使用 的短期登入資料進行驗證 AWS CLI
Amazon EC2 執行個體上的 IAM 。 使用 Amazon EC2 執行個體中繼資料,使用指派給 Amazon EC2 執行個體的角色來查詢臨時憑證。 在 中使用 Amazon EC2 執行個體中繼資料做為登入資料 AWS CLI
擔任 許可的角色 配對另一個登入資料方法,並擔任角色以暫時存取 AWS 服務 您的使用者,可能無法存取 。 在 中使用 IAM 角色 AWS CLI
IAM 使用者長期憑證 (不建議) 使用沒有過期的長期登入資料。 使用 的 IAM 使用者登入資料進行驗證 AWS CLI
IAM 外部儲存 (不建議) 配對其他登入資料方法,但將登入資料值存放在 外部的位置 AWS CLI。此方法僅與存放憑證的外部位置一樣安全。 在 中使用外部程序來採購登入資料 AWS CLI

組態和憑證優先順序

登入資料和組態設定位於多個位置,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些位置的優先順序高於其他位置。 AWS CLI 憑證和組態設定的優先順序如下:

  1. 命令列選項 – 覆寫任何其他位置 (例如 --region--output--profile 參數) 的設定。

  2. 環境變數 – 您可以將數值存放在環境變數中。

  3. 擔任角色—透過組態或 assume-role 命令,獲得 IAM 角色許可。

  4. 擔任具有 Web 身分的角色—透過組態或 assume-role-with-web-identity 命令,使用 Web 身分獲得 IAM 角色許可。

  5. 憑證檔案 – 當您執行 aws configure 命令時,會更新 credentialsconfig 檔案。credentials 檔案在 Linux 或 macOS 上位於 ~/.aws/credentials,在 Windows 上位於 C:\Users\USERNAME\.aws\credentials

  6. 自訂程序—從外部來源取得憑證。

  7. 組態檔 – 當您執行 aws configure 命令時,會更新 credentialsconfig 檔案。config 檔案在 Linux 或 macOS 上位於 ~/.aws/config,在 Windows 上位於 C:\Users\USERNAME\.aws\config

  8. 容器憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義關聯起來。然後,該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》中的任務 IAM 角色

  9. Amazon EC2 執行個體設定檔憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體關聯起來。然後,該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的 Amazon EC2 的 IAM 角色和》IAM 使用者指南》中的使用執行個體設定檔Amazon EC2

本區段的其他主題