AWS-Dokumentation » AWS Command Line Interface » Benutzerhandbuch » Konfigurieren der AWS CLI

Konfigurieren der AWS CLI

In diesem Abschnitt wird erläutert, wie Sie die Einstellungen konfigurieren, die die AWS Command Line Interface (AWS CLI) für die Interaktion mit AWS verwendet, zum Beispiel Ihre Sicherheitsanmeldeinformationen, das Standardausgabeformat und die AWS-Standardregion.

Anmerkung

AWS setzt voraus, dass alle eingehenden Anforderungen kryptografisch signiert sind. Die AWS CLI erledigt das für Sie. Die "Signatur" enthält einen Datums-/Zeitstempel. Aus diesem Grund müssen Sie sicherstellen, dass das Datum und die Uhrzeit des Computers korrekt eingestellt sind. Wenn nicht, weichen Datum/Uhrzeit in der Signatur zu stark von dem Datum und der Uhrzeit ab, die vom AWS-Service erkannt werden, sodass AWS die Anforderung ablehnt.

Abschnitte

• Schnelles Konfigurieren der AWS CLI
• Konfigurationseinstellungen und Vorrang
• Konfigurations- und Anmeldeinformationsdateien
• Benannte Profile
• Umgebungsvariablen
• Befehlszeilenoptionen
• Beschaffung von Anmeldeinformationen über einen externen Process
• Instance-Metadaten
• Verwenden eines HTTP-Proxys
• Annehmen einer IAM-Rolle in der AWS CLI
• Automatische Vervollständigung von Befehlen

Schnelles Konfigurieren der AWS CLI

Für den allgemeinen Gebrauch ist der Befehl aws configure die schnellste Möglichkeit, eine AWS CLI-Installation einzurichten.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Wenn Sie diesen Befehl eingeben, fordert die AWS CLI Sie auf, vier Informationen bereitzustellen (Zugriffsschlüssel, geheimer Zugriffsschlüssel, AWS-Region und Ausgabeformat) und speichert diese in einem Profil (eine Sammlung von Einstellungen) mit dem Namen default. Dieses Profil wird anschließend immer dann verwendet, wenn Sie einen AWS CLI-Befehl ausführen, der nicht explizit ein zu verwendendes Profil angibt.

Zugriffsschlüssel und geheimer Zugriffsschlüssel

Der AWS Access Key ID und der AWS Secret Access Key bilden Ihre AWS-Anmeldeinformationen. Sie sind mit einem AWS Identity and Access Management (IAM)-Benutzer oder -Rolle verknüpft, die bestimmt, welche Berechtigungen Sie haben. Ein Tutorial für das Erstellen eines Benutzers mit dem IAM-Service finden Sie unter Erstellen Ihres ersten IAM-Administratorbenutzers und der Gruppe im IAM-Benutzerhandbuch.

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diese werden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWS verwendet. Wenn Sie noch keine Zugriffsschlüssel besitzen, können Sie diese über die AWS Management Console erstellen. Verwenden Sie als bewährte Methode nicht die Stammbenutzer des AWS-Kontos-Zugriffsschlüssel für Aufgaben, für die dies nicht erforderlich ist. Erstellen Sie stattdessen einen neuen IAM-Benutzer mit Administratorrechten und mit Zugriffschlüsseln für Sie selbst.

Beim Erstellen der geheimen Zugriffschlüssel besteht die einzige Möglichkeit, diese anzuzeigen oder herunterzuladen. Später lassen sie sich nicht wieder wiederherstellen. Sie können jedoch jederzeit neue Zugriffsschlüssel erstellen. Sie müssen auch über Berechtigungen verfügen, um die benötigten IAM-Aktionen durchzuführen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen im IAM-Benutzerhandbuch.

So erstellen Sie Zugriffsschlüssel für einen IAM-Benutzer

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users.

3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie erstellen möchten, und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.

4. Wählen Sie im Bereich Access keys (Zugriffsschlüssel) die Option Create access key (Zugriffsschlüssel erstellen).

5. Um das neue Zugriffsschlüsselpaar anzuzeigen, wählen Sie Show (Anzeigen). Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Ihre Anmeldeinformationen sehen etwa folgendermaßen aus:

   • Zugriffsschlüssel-ID: AKIAIOSFODNN7EXAMPLE

   • Geheimer Zugriffsschlüssel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

6. Wählen Sie zum Herunterladen des Schlüsselpaares Download .csv file aus. Speichern Sie die Schlüssel an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird.

   Behandeln Sie die Schlüssel vertraulich, um Ihr AWS-Konto zu schützen, und senden Sie die Schlüssel niemals per E-Mail. Geben Sie die Schlüssel nicht außerhalb Ihrer Organisation weiter, auch nicht im Falle von Anfragen, die von AWS oder Amazon.com zu kommen scheinen. Niemand, der Amazon legitim vertritt, wird Sie nach dem geheimen Schlüssel fragen.

7. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen). Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofort verwenden.

Verwandte Themen

• Was ist IAM? im IAM-Benutzerhandbuch

• AWS-Sicherheitsanmeldeinformationen in der AWS General Reference

Region

Der Default region name identifiziert die AWS-Region, an deren Server Sie Ihre Anfragen standardmäßig senden möchten. Dies ist in der Regel die nächstgelegene Region, aber jede Region ist zulässig. Sie können beispielsweise us-west-2 eingeben, um USA West (Oregon) zu verwenden. Dies ist die Region, an die alle späteren Anfragen gesendet werden, es sei denn, Sie geben in einem Befehl etwas anderes an.

Anmerkung

Sie müssen eine AWS-Region angeben, wenn Sie die AWS CLI verwenden, entweder explizit oder durch das Festlegen einer Standardregion. Eine Liste der verfügbaren Regionen finden Sie unter Regionen und Endpunkte. Die von der AWS CLI verwendeten Regionsangaben entsprechen den Namen, die Sie in AWS Management Console-URLs und Service-Endpunkten sehen.

Ausgabeformat

Das Default output format gibt an, wie die Ergebnisse formatiert werden. Bei dem Wert kann es sich um einen aus der folgenden Liste handeln. Wenn Sie kein Ausgabeformat angeben, wird standardmäßig json verwendet.

• json: Die Ausgabe erfolgt im JSON-Format.

• text: Die Ausgabe erfolgt in Form von mehrere Zeilen mit durch Tabstopps getrennten Zeichenfolgewerten, was nützlich sein kann, wenn Sie die Ausgabe an ein Textverarbeitungsprogramm wie grep, sed oder awk senden möchten.

• table: Die Ausgabe erfolgt in Form einer Tabelle mit den Zeichen +|-, um die Zellenrahmen zu bilden. Normalerweise wird die Information in einem benutzerfreundlichen Format wiedergegeben, das viel einfacher zu lesen ist als die anderen, jedoch programmatisch nicht so nützlich ist.

Schnellkonfiguration und mehrere Profile

Wenn Sie den Befehl wie oben gezeigt verwenden, erhalten Sie ein einzelnes Profil namens default. Sie können auch zusätzliche Konfigurationen erstellen, indem Sie den Namen eines Profils mit der Option --profile angeben.

$ aws configure --profile user2
AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE
AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]: text

Wenn Sie dann einen Befehl ausführen, können Sie entweder die Option --profile weglassen und die Einstellungen verwenden, die im default-Profil gespeichert sind.

$ aws s3 ls

Oder Sie können einen --profile profilename angeben und die Einstellungen verwenden, die unter diesem Namen gespeichert sind.

$ aws s3 ls --profile myuser

Zum Aktualisieren Ihrer Einstellungen führen Sie einfach aws configure erneut aus (mit oder ohne den --profile-Parameter, je nachdem, welches Profil Sie aktualisieren möchten) und geben nach Bedarf neue Werte ein. In den nächsten Abschnitten finden Sie Informationen über die von aws configure erstellten Dateien sowie über zusätzliche Einstellungen und benannte Profile.

Konfigurationseinstellungen und Vorrang

Die AWS CLI verwendet eine Reihe von Anmeldeinformationsanbietern, um AWS-Anmeldeinformationen zu finden. Jeder Anmeldeinformationsanbieter sucht nach Anmeldeinformationen an einem anderen Speicherort, beispielsweise im System, in den Benutzerumgebungsvariablen oder in lokalen AWS-Konfigurationsdateien. Auch eine explizite Deklaration in der Befehlszeile als Parameter wird dabei berücksichtigt. Die AWS CLI sucht nach Anmeldeinformationen und Konfigurationseinstellungen durch Aufrufen der Anbieter in der folgenden Reihenfolge. Die Suche wird gestoppt, wenn eine Satz von Anmeldeinformationen gefunden wird:

1. Befehlszeilenoptionen – Sie können --region, --output und --profile als Parameter in der Befehlszeile angeben.

2. Umgebungsvariablen – Sie können Werte in den Umgebungsvariablen speichern: AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY und AWS_SESSION_TOKEN. Sind sie vorhanden, werden sie verwendet.

3. CLI-Anmeldeinformationsdatei – Dies ist eine der Dateien, die aktualisiert wird, wenn Sie den Befehl aws configure ausführen. Die Datei befindet sich in ~/.aws/credentials unter Linux, macOS, or Unix und in C:\Users\USERNAME\.aws\credentials unter Windows. Diese Datei kann die Anmeldeinformationsdetails für das default-Profil und alle benannten Profile enthalten.

4. CLI-Konfigurationsdatei – Dies ist eine weitere Datei, die aktualisiert wird, wenn Sie den Befehl aws configure ausführen. Die Datei befindet sich in ~/.aws/config unter Linux, macOS, or Unix und in C:\Users\USERNAME\.aws\config unter Windows. Diese Datei enthält die Konfigurationseinstellungen für das Standardprofil sowie alle benannten Profile.

5. Container-Anmeldeinformationen – Sie können eine IAM-Rolle mit jeder Ihrer Amazon Elastic Container Service (Amazon ECS)-Aufgabendefinitionen verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für die Container dieser Aufgabe zur Verfügung. Weitere Informationen finden Sie unter IAM-Rollen für Aufgaben im Amazon Elastic Container Service Developer Guide.

6. Instance-Profil-Anmeldeinformationen – Sie können eine IAM-Rolle mit jeder Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instances verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für den Code zur Verfügung, der in dieser Instance ausgeführt wird. Die Anmeldeinformationen werden über den Amazon EC2-Metadaten-Service bereitgestellt. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2 im Amazon EC2-Benutzerhandbuch für Linux-Instances und unter Verwenden von Instance-Profilen im IAM-Benutzerhandbuch.