Authentifizierungs- und Zugangsdaten für die AWS CLI - AWS Command Line Interface
Vorrang der Konfiguration und der AnmeldeinformationenWeitere Themen in diesem Abschnitt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierungs- und Zugangsdaten für die AWS CLI

Sie müssen AWS bei der Entwicklung mit Diensten festlegen, wie AWS CLI sich das authentifiziert. AWS Wählen Sie eine der folgenden Optionen AWS CLI, um Anmeldeinformationen für den programmatischen Zugriff auf zu konfigurieren. Die Optionen sind in der Reihenfolge aufgeführt, in der sie empfohlen werden.

Authentifizierungstyp Zweck Anweisungen

Kurzfristige Anmeldedaten von IAM Identity Center-Mitarbeitern

 (Empfohlen) Verwenden Sie kurzfristige Anmeldeinformationen für einen IAM Identity Center Workforce-Benutzer.

Die bewährte Sicherheitsmethode ist die Verwendung AWS Organizations mit IAM Identity Center. Es kombiniert kurzfristige Anmeldeinformationen mit einem Benutzerverzeichnis, z. B. dem integrierten IAM Identity Center-Verzeichnis oder Active Directory.

 Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI
Kurzfristige Anmeldeinformationen für IAM-Benutzer Verwenden Sie kurzfristige Anmeldeinformationen von IAM-Benutzern, die sicherer sind als langfristige Anmeldeinformationen. Wenn Ihre Anmeldeinformationen gefährdet sind, können sie nur für einen begrenzten Zeitraum verwendet werden, bevor sie ablaufen. Authentifizierung mit kurzfristigen Zugangsdaten für den AWS CLI
IAM - oder IAM Identity Center-Benutzer auf einer EC2 Amazon-Instance. Verwenden Sie EC2 Amazon-Instance-Metadaten, um mithilfe der der EC2 Amazon-Instance zugewiesenen Rolle temporäre Anmeldeinformationen abzufragen. Verwendung von EC2 Amazon-Instanz-Metadaten als Anmeldeinformationen in der AWS CLI
Übernehmen Sie Rollen für Berechtigungen Kombinieren Sie eine andere Methode mit Anmeldeinformationen und nehmen Sie eine Rolle für den temporären Zugriff an, auf die AWS-Services Ihr Benutzer möglicherweise keinen Zugriff hat. Verwenden einer IAM-Rolle in der AWS CLI
Langfristige Anmeldeinformationen von IAM-Benutzern (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, die nicht ablaufen. Authentifizierung mit IAM-Benutzeranmeldedaten für AWS CLI
Externer Speicher für IAM - oder IAM Identity Center-Workforce-Benutzer (Nicht empfohlen) Kombinieren Sie eine andere Anmeldeinformationsmethode, speichern Sie die Anmeldeinformationen jedoch an einem Ort außerhalb von. AWS CLI Diese Methode ist nur so sicher wie der externe Ort, an dem die Anmeldeinformationen gespeichert werden. Beschaffung von Referenzen mit einem externen Prozess in der AWS CLI

Vorrang der Konfiguration und der Anmeldeinformationen

Anmeldeinformationen und Konfigurationseinstellungen befinden sich an mehreren Stellen, z. B. in den System- oder Benutzerumgebungsvariablen, in lokalen AWS Konfigurationsdateien, oder werden explizit in der Befehlszeile als Parameter deklariert. Bestimmte Authentifizierungen haben Vorrang vor anderen. Die AWS CLI Authentifizierungseinstellungen haben in der folgenden Reihenfolge Vorrang:

  1. Befehlszeilenoptionen – überschreiben Einstellungen an jedem anderen Speicherort, z. B. die Parameter --region, --output und --profile.

  2. Umgebungsvariablen – Sie können Werte in den Umgebungsvariablen Ihres Systems speichern.

  3. Rolle übernehmen – übernehmen Sie die Berechtigungen einer IAM-Rolle durch die Konfiguration oder den Befehl assume-role.

  4. Rolle mit Webidentität übernehmen – übernehmen Sie die Berechtigungen einer IAM-Rolle mit Webidentität durch die Konfiguration oder den Befehl assume-role-with-web-identity.

  5. AWS IAM Identity Center— Die in der config Datei gespeicherten IAM Identity Center-Konfigurationseinstellungen werden aktualisiert, wenn Sie den aws configure sso Befehl ausführen. Die Anmeldeinformationen werden dann authentifiziert, wenn Sie den aws sso login Befehl ausführen. Die Datei config befindet sich in ~/.aws/config unter Linux und in macOS oder in C:\Users\USERNAME\.aws\config unter Windows.

  6. Anmeldeinformationsdatei – die Dateien credentials und config werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei credentials befindet sich in ~/.aws/credentials unter Linux und in macOS oder in C:\Users\USERNAME\.aws\credentials unter Windows.

  7. Benutzerdefinierter Prozess – rufen Sie Ihre Anmeldeinformationen von einer externen Quelle ab.

  8. Konfigurationsdatei – die Dateien credentials und config werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei config befindet sich in ~/.aws/config unter Linux und in macOS oder in C:\Users\USERNAME\.aws\config unter Windows.

  9. Container Anmeldeinformationen Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Container-Service-(Amazon-ECS)-Aufgabendefinitionen verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für die Container dieser Aufgabe zur Verfügung. Weitere Informationen finden Sie unter IAM-Rollen für Aufgaben im Entwicklerhandbuch zum Amazon Elastic Container Service.

  10. Anmeldeinformationen für das EC2 Amazon-Instance-Profil — Sie können jeder Ihrer Amazon Elastic Compute Cloud (Amazon EC2) -Instances eine IAM-Rolle zuordnen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für den Code zur Verfügung, der in dieser Instance ausgeführt wird. Die Anmeldeinformationen werden über den EC2 Amazon-Metadatenservice bereitgestellt. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2 im EC2 Amazon-Benutzerhandbuch und Verwenden von Instance-Profilen im IAM-Benutzerhandbuch.

Weitere Themen in diesem Abschnitt