Einstellungen der Konfigurations- und Anmeldeinformationsdatei - AWS Command Line Interface

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einstellungen der Konfigurations- und Anmeldeinformationsdatei

Sie können Ihre häufig verwendeten Konfigurationseinstellungen und Anmeldeinformationen in Dateien speichern, die von der AWS CLI verwaltet werden.

Die Dateien sind in profiles unterteilt. Standardmäßig verwendet die AWS CLI die Einstellungen aus dem Profil mit dem Namen default. Wenn Sie alternative Einstellungen verwenden möchten, können Sie zusätzliche Profile erstellen und referenzieren.

Sie können eine einzelne Einstellung überschreiben, indem Sie entweder eine der unterstützten Umgebungsvariablen definieren oder einen Befehlszeilenparameter verwenden. Weitere Informationen zum Vorrang der Konfigurationseinstellungen finden Sie unter Konfigurieren des AWS CLI.

Anmerkung

Weitere Informationen zum Einrichten Ihrer Anmeldeinformationen finden Sie unter Authentifizierung und Anmeldeinformationen.

Formatieren der Konfigurations- und Anmeldeinformationsdateien

Die Dateien config und credentials sind in Abschnitte unterteilt. Die Abschnitte lauten profiles, sso-sessions und services. Ein Abschnitt ist eine benannte Sammlung von Einstellungen und reicht bis zur nächsten Abschnittsdefinitionszeile. Mehrere Profile und Abschnitte können in den config- und credentials-Dateien gespeichert werden.

Diese Dateien sind Klartextdateien, die folgendes Format verwenden:

  • Abschnittsnamen werden in eckige Klammern [] eingeschlossen, z. B. [default], [profile user1] und [sso-session].

  • Alle Einträge in einem Abschnitt haben das allgemeine Format setting_name=value.

  • Zeilen können auskommentiert werden, indem die Zeile mit einem Hash-Zeichen (#) begonnen wird.

Die Dateien config und credentials enthalten die folgenden Abschnittstypen:

Abschnittstyp: profile

Die AWS CLI-Speicher

Je nach Datei verwenden Profilabschnittsnamen folgendes Format:

  • Konfigurationsdatei: [default] [profile user1]

  • Anmeldeinformationsdatei: [default] [user1]

    Verwenden Sie beim Erstellen eines Eintrags in der credentials-Datei nicht das Wort profile.

Jedes Profil kann unterschiedliche Anmeldeinformationen und auch verschiedene AWS–Regionen und Ausgabeformate angeben. Fügen Sie beim Benennen des Profils in einer config-Datei das Präfixwort "profile„ ein. Dieses darf jedoch nicht in der credentials-Datei enthalten sein.

Die folgenden Beispiele zeigen eine credentials- und eine config-Datei mit zwei angegebenen Profilen, Region und Ausgabe. Die erste Datei [default] wird verwendet, wenn Sie einen AWS CLI-Befehl ohne Profil ausführen. Das zweite wird verwendet, wenn Sie einen AWS CLI-Befehl mit dem Parameter --profile user1 ausführen.

IAM Identity Center (SSO)

Dies ist ein Beispiel für AWS IAM Identity Center. Weitere Informationen finden Sie unter Konfiguration des Token-Anbieters mit automatischer Aktualisierung der Authentifizierung für IAM Identity Center.

Anmeldeinformationsdatei

Die credentials-Datei wird nicht für diese Authentifizierungsmethode verwendet.

Konfigurationsdatei

[default] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = readOnly region = us-west-2 output = text [profile user1] sso_session = my-sso sso_account_id = 444455556666 sso_role_name = readOnly region = us-east-1 output = json [sso-session my-sso] sso_region = us-east-1 sso_start_url = https://my-sso-portal.awsapps.com/start sso_registration_scopes = sso:account:access
IAM Identity Center (Legacy SSO)

Dieses Beispiel bezieht sich auf die Legacy-Methode von AWS IAM Identity Center. Weitere Informationen finden Sie unter Nicht aktualisierbare Legacy-Konfiguration für AWS IAM Identity Center.

Anmeldeinformationsdatei

Die credentials-Datei wird nicht für diese Authentifizierungsmethode verwendet.

Konfigurationsdatei

[default] sso_start_url = https://my-sso-portal.awsapps.com/start sso_region = us-east-1 sso_account_id = 111122223333 sso_role_name = readOnly region = us-west-2 output = text [profile user1] sso_start_url = https://my-sso-portal.awsapps.com/start sso_region = us-east-1 sso_account_id = 444455556666 sso_role_name = readOnly region = us-east-1 output = json
Short-term credentials

Dieses Beispiel gilt für die kurzfristigen Anmeldeinformationen von AWS Identity and Access Management. Weitere Informationen finden Sie unter Authentifizieren mit kurzfristigen Anmeldeinformationen.

Anmeldeinformationsdatei

[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE [user1] aws_access_key_id=AKIAI44QH8DHBEXAMPLE aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Konfigurationsdatei

[default] region=us-west-2 output=json [profile user1] region=us-east-1 output=text
IAM role

Dieses Beispiel bezieht sich auf die Übernahme einer IAM-Rolle. Profile, die IAM-Rollen verwenden, rufen Anmeldeinformationen aus einem anderen Profil ab und wenden dann IAM-Rollenberechtigungen an. In den folgenden Beispielen ist default das Quellprofil für Anmeldeinformationen und user1 leiht sich diese Anmeldeinformationen aus und übernimmt anschließend eine neue Rolle. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle in der AWS CLI.

Anmeldeinformationsdatei

Die credentials-Datei richtet sich danach, welche Authentifizierung Ihr Quellprofil verwendet. Im folgenden Beispiel verwendet das Quellprofil kurzfristige Anmeldeinformationen.

[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Konfigurationsdatei

[default] region=us-west-2 output=json [profile user1] role_arn=arn:aws:iam::777788889999:role/user1role source_profile=default role_session_name=session_user1 region=us-east-1 output=text
Amazon EC2 instance metadata credentials

Dieses Beispiel bezieht sich auf die Anmeldeinformationen, die aus den Metadaten der Amazon-EC2-Hosting-Instance abgerufen wurden. Weitere Informationen finden Sie unter Verwenden von Anmeldeinformationen für Amazon-EC2-Instance-Metadaten.

Anmeldeinformationsdatei

Die credentials-Datei wird nicht für diese Authentifizierungsmethode verwendet.

Konfigurationsdatei

[default] role_arn=arn:aws:iam::123456789012:role/defaultrole credential_source=Ec2InstanceMetadata region=us-west-2 output=json [profile user1] role_arn=arn:aws:iam::777788889999:role/user1role credential_source=Ec2InstanceMetadata region=us-east-1 output=text
Long-term credentials
Warnung

Um Sicherheitsrisiken zu vermeiden, sollten Sie IAM-Benutzer nicht zur Authentifizierung verwenden, wenn Sie eigens entwickelte Software entwickeln oder mit echten Daten arbeiten. Verwenden Sie stattdessen den Verbund mit einem Identitätsanbieter wie AWS IAM Identity Center.

Dieses Beispiel bezieht sich auf die langfristigen Anmeldeinformationen von AWS Identity and Access Management. Weitere Informationen finden Sie unter Authentifizieren mit IAM-Benutzeranmeldeinformationen.

Anmeldeinformationsdatei

[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY [user1] aws_access_key_id=AKIAI44QH8DHBEXAMPLE aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

Konfigurationsdatei

[default] region=us-west-2 output=json [profile user1] region=us-east-1 output=text

Weitere Informationen und zusätzliche Autorisierungs- und Anmeldeinformationsmethoden finden Sie unter Authentifizieren mit IAM-Benutzeranmeldeinformationen.

Abschnittstyp: sso-session

Der sso-session-Abschnitt der config-Datei wird verwendet, um Konfigurationsvariablen für den Erwerb von SSO-Zugriffstoken zu gruppieren, die dann für den Erhalt von AWS-Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise müssen sso_account_id und sso_role_name im profile-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.

Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:

[profile dev] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = SampleRole [sso-session my-sso] sso_region = us-east-1 sso_start_url = https://my-sso-portal.awsapps.com/start

Dadurch können sso-session-Konfigurationen zudem auch in mehreren Profilen wiederverwendet werden:

[profile dev] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = SampleRole [profile prod] sso_session = my-sso sso_account_id = 111122223333 sso_role_name = SampleRole2 [sso-session my-sso] sso_region = us-east-1 sso_start_url = https://my-sso-portal.awsapps.com/start

sso_account_id und sso_role_name sind jedoch nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS-Services verwendet, die die Bearer-Authentifizierung unterstützen, sind herkömmliche AWS-Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind sso_account_id und sso_role_name nicht erforderlich. Im jeweiligen Leitfaden für Ihren AWS-Service können Sie nachlesen, ob die Autorisierung mit Bearer-Token unterstützt wird.

Darüber hinaus können Registrierungsbereiche als Teil von sso-session konfiguriert werden. Ein Bereich ist ein Mechanismus in OAuth 2.0, um den Zugriff einer Anwendung auf ein Benutzerkonto zu beschränken. Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Im folgenden Beispiel wird sso_registration_scopes so festgelegt, dass der Zugriff zum Auflisten von Konten/Rollen möglich ist:

[sso-session my-sso] sso_region = us-east-1 sso_start_url = https://my-sso-portal.awsapps.com/start sso_registration_scopes = sso:account:access

Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis ~/.aws/sso/cache mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.

Weitere Informationen zu diesem Konfigurationstyp finden Sie unter Konfiguration des Token-Anbieters mit automatischer Aktualisierung der Authentifizierung für IAM Identity Center.

Abschnittstyp: services

Der services-Abschnitt ist eine Gruppe von Einstellungen, mit denen benutzerdefinierte Endpunkte für AWS-Service-Anforderungen konfiguriert werden. Ein Profil wird dann mit einem services-Abschnitt verknüpft.

[profile dev] services = my-services

Der services-Abschnitt ist durch <SERVICE> = -Zeilen in Unterabschnitte unterteilt, wobei <SERVICE> der AWS-Service-ID-Schlüssel ist. Die AWS-Service-Kennung basiert auf der serviceId des API-Modells, indem alle Leerzeichen durch Unterstriche ersetzt und alle Buchstaben klein geschrieben werden. Eine Liste aller Service-ID-Schlüssel, die im services-Abschnitt verwendet werden können, finden Sie unter Verwenden von VPC-Endpunkten in der AWS CLI. Auf den Service-ID-Schlüssel folgen verschachtelte Einstellungen, die jeweils in einer eigenen Zeile stehen, welche durch zwei Leerzeichen eingerückt sind.

Im folgenden Beispiel wird der Endpunkt so konfiguriert, dass er für Anforderungen an den Amazon DynamoDB-Service verwendet wird, und zwar im Abschnitt my-services, der im dev-Profil verwendet wird. Alle unmittelbar folgenden Zeilen, die eingerückt sind, sind in diesem Unterabschnitt enthalten und gelten für diesen Service.

[profile dev] services = my-services [services my-services] dynamodb = endpoint_url = http://localhost:8000

Weitere Informationen zu servicespezifischen Endpunkten finden Sie unter Verwenden von VPC-Endpunkten in der AWS CLI.

Wenn Ihr Profil über rollenbasierte Anmeldeinformationen verfügt, die über einen source_profile-Parameter für die IAM-Funktion „Rolle übernehmen“ konfiguriert wurden, verwendet das SDK nur Servicekonfigurationen für das angegebene Profil. Es verwendet keine Profile mit verketteten Rollen. Verwenden Sie beispielsweise die folgende freigegebene config-Datei:

[profile A] credential_source = Ec2InstanceMetadata endpoint_url = https://profile-a-endpoint.aws/ [profile B] source_profile = A role_arn = arn:aws:iam::123456789012:role/roleB services = profileB [services profileB] ec2 = endpoint_url = https://profile-b-ec2-endpoint.aws

Wenn Sie das Profil B verwenden und in Ihrem Code Amazon EC2 aufrufen, wird der Endpunkt als https://profile-b-ec2-endpoint.aws aufgelöst. Wenn Ihr Code eine Anforderung für einen anderen Service stellt, folgt die Endpunktauflösung keiner benutzerdefinierten Logik. Der Endpunkt wird nicht zu dem im Profil A definierten globalen Endpunkt aufgelöst. Damit ein globaler Endpunkt für das Profil B wirksam wird, müssten Sie endpoint_url direkt im Profil B festlegen.

Wo werden Konfigurationseinstellungen gespeichert?

Die AWS CLI speichert vertrauliche Anmeldeinformationen, die Sie mit aws configure angeben, in einer lokalen Datei namens credentials in einem Ordner namens .aws in Ihrem Stammverzeichnis. Die weniger vertraulichen Konfigurationsoptionen, die Sie mit aws configure angeben, werden in einer lokalen Datei namens config gespeichert, die sich ebenfalls im Ordner .aws Ihres Stammverzeichnisses befindet.

Speichern von Anmeldeinformationen in der Konfigurationsdatei

Sie können alle Profileinstellungen in einer einzigen Datei speichern, da die AWS CLI Anmeldeinformationen aus der Datei config lesen kann. Wenn in beiden Dateien Anmeldeinformationen für ein Profil mit demselben Namen vorhanden sind, haben die Schlüssel in der Anmeldeinformationsdatei Vorrang. Wir empfehlen, die Anmeldeinformationen in den credentials-Dateien zu speichern. Diese Dateien werden auch von den Software Development Kits (SDKs) für verschiedene Sprachen verwendet. Wenn Sie zusätzlich zur AWS CLI eines der SDKs verwenden, bestätigen Sie, ob die Anmeldeinformationen in einer eigenen Datei gespeichert werden sollen.

Der Speicherort Ihres Stammverzeichnis hängt vom Betriebssystem ab. Die folgenden Umgebungsvariablen verweisen auf dieses: %UserProfile% in Windows und $HOME oder ~ (Tilde) in Unix-basierten Systemen. Sie können auch einen Nicht-Standard-Speicherort für die Dateien angeben, indem Sie die Umgebungsvariablen AWS_CONFIG_FILE und AWS_SHARED_CREDENTIALS_FILE auf einen anderen lokalen Pfad festlegen. Details dazu finden Sie unter Umgebungsvariablen zum Konfigurieren der AWS CLI.

Wenn Sie ein freigegebenes Profil verwenden, das eine AWS Identity and Access Management (IAM)-Rolle angibt, ruft die AWS STS die AWS CLI-Operation AssumeRole auf, um temporäre Anmeldeinformationen abzurufen. Diese Anmeldeinformationen werden dann (in ~/.aws/cli/cache) gespeichert. Nachfolgende AWS CLI-Befehle verwenden die zwischengespeicherten temporären Anmeldeinformationen, bis sie ablaufen. Dann aktualisiert die AWS CLI automatisch die Anmeldeinformationen.

Verwenden von benannten Profilen

Wenn kein Profil explizit definiert ist, wird das default-Profil verwendet.

Um ein benanntes Profil zu verwenden, fügen Sie dem Befehl die Option --profile profile-name hinzu. Das folgende Beispiel listet alle Ihre Amazon-EC2-Instances mit den Anmeldeinformationen und Einstellungen auf, die im Profil user1 definiert wurden.

$ aws ec2 describe-instances --profile user1

Wenn ein benanntes Profil für mehrere Befehle verwendet werden soll, müssen Sie das Profil nicht in jedem Befehl angeben. Legen Sie stattdessen die Umgebungsvariable AWS_PROFILE als Standardprofil fest. Sie können diese Einstellung mithilfe des --profile-Parameters außer Kraft setzen.

Linux or macOS
$ export AWS_PROFILE=user1
Windows
C:\> setx AWS_PROFILE user1

Bei Verwendung von set zur Festlegung einer Umgebungsvariablen wird der verwendete Wert bis zum Ende der aktuellen Eingabeaufforderungssitzung oder bis zur Festlegung eines anderen Wertes für die Variable geändert.

Wenn Sie setx zum Festlegen einer Umgebungsvariable verwenden, ändert sich der Wert in allen Befehls-Shells, die Sie nach der Ausführung des Befehls erstellen. Befehls-Shells, die zum Zeitpunkt der Befehlsausführung bereits ausgeführt werden, sind nicht betroffen. Schließen Sie die Befehls-Shell und starten Sie sie neu, um die Auswirkungen der Änderung zu sehen.

Durch die Festlegung der Umgebungsvariablen wird das Standardprofil bis zum Ende der Shell-Sitzung geändert oder bis Sie einen anderen Wert für die Variable bestimmen. Sie können Umgebungsvariablen für zukünftige Sitzungen persistent machen, indem Sie sie in das Startup-Skript Ihrer Shell stellen. Weitere Informationen finden Sie unter Umgebungsvariablen zum Konfigurieren der AWS CLI.

Festlegen und Anzeigen von Konfigurationseinstellungen mithilfe von Befehlen

Es gibt mehrere Möglichkeiten, Ihre Konfigurationseinstellungen mithilfe von Befehlen anzuzeigen und festzulegen.

aws configure

Führen Sie diesen Befehl aus, um Ihre -Anmeldeinformationen, Ihre Region und das Ausgabeformat schnell festzulegen und anzuzeigen. Das folgende Beispiel zeigt Beispielwerte.

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json
aws configure set

Sie können alle Anmeldeinformationen oder Konfigurationseinstellungen mit aws configure set festlegen. Geben Sie das Profil an, das Sie mit der --profile-Einstellung anzeigen oder ändern möchten.

Mit dem folgenden Befehl beispielsweise wird die region in dem Profil mit dem Namen integ festgelegt.

$ aws configure set region us-west-2 --profile integ

Um eine Einstellung zu entfernen, verwenden Sie eine leere Zeichenfolge als Wert oder löschen Sie die Einstellung in den config- und credentials-Dateien manuell in einem Texteditor.

$ aws configure set cli_pager "" --profile integ
aws configure get

Sie können alle Anmeldeinformationen oder Konfigurationseinstellungen abrufen, die Sie mit aws configure get festgelegt haben. Geben Sie das Profil an, das Sie mit der --profile-Einstellung anzeigen oder ändern möchten.

Beispielsweise wird mit dem folgenden Befehl dieregion-Einstellung in dem Profil mit dem Namen integ abgerufen.

$ aws configure get region --profile integ us-west-2

Wenn die Ausgabe leer ist, ist die Einstellung nicht explizit festgelegt und es wird der Standardwert verwendet.

aws configure import

Importieren Sie CSV-Anmeldeinformationen, die von der IAM-Webkonsole generiert wurden. Dies gilt nicht für Anmeldeinformationen, die von IAM Identity Center generiert wurden. Kunden, die IAM Identity Center verwenden, sollten „aws configure sso“ verwenden. Eine CSV-Datei wird importiert, wobei der Profilname mit dem Benutzernamen übereinstimmt. Die CSV-Datei muss die folgenden Header enthalten.

  • Benutzername

  • Zugriffsschlüssel-ID

  • Geheimer Zugriffsschlüssel

Anmerkung

Während der ersten Erstellung des Schlüsselpaares können Sie nach dem Schließen des Dialogfelds Download .csv file (CSV-Datei herunterladen) nicht mehr auf Ihren geheimen Zugriffsschlüssel zugreifen. Wenn Sie eine .csv-Datei benötigen, müssen Sie selbst eine mit den erforderlichen Headern und Ihren gespeicherten Schlüsselpaarinformationen erstellen. Wenn Sie keinen Zugriff auf Ihre Schlüsselpaar-Informationen haben, müssen Sie ein neues Schlüsselpaar erstellen.

$ aws configure import --csv file://credentials.csv
aws configure list

Um Konfigurationsdaten aufzulisten, verwenden Sie den Befehl aws configure list. Dieser Befehl listet das Profil, den Zugriffsschlüssel, den geheimen Schlüssel und die Regionskonfigurationsinformationen auf, die für das angegebene Profil verwendet werden. Für jedes Konfigurationselement werden der Wert, der Ort, an dem der Konfigurationswert abgerufen wurde, und der Name der Konfigurationsvariablen angezeigt.

Wenn Sie beispielsweise die AWS-Region in einer Umgebungsvariablen angeben, zeigt Ihnen dieser Befehl den Namen der Region, die Sie konfiguriert haben, dass dieser Wert aus einer Umgebungsvariablen stammt, und den Namen der Umgebungsvariablen.

Bei Methoden mit temporären Anmeldeinformationen wie Rollen und IAM Identity Center zeigt dieser Befehl den temporär zwischengespeicherten Zugriffsschlüssel an, und der geheime Zugriffsschlüssel wird angezeigt.

$ aws configure list Name Value Type Location ---- ----- ---- -------- profile <not set> None None access_key ****************ABCD shared-credentials-file secret_key ****************ABCD shared-credentials-file region us-west-2 env AWS_DEFAULT_REGION
aws configure list-profiles

Um alle Profilnamen aufzulisten, verwenden Sie den Befehl aws configure list-profiles.

$ aws configure list-profiles default test
aws configure sso

Führen Sie diesen Befehl aus, um Ihre AWS IAM Identity Center-Anmeldeinformationen, Ihre Region und das Ausgabeformat schnell festzulegen und anzuzeigen. Das folgende Beispiel zeigt Beispielwerte.

$ aws configure sso SSO session name (Recommended): my-sso SSO start URL [None]: https://my-sso-portal.awsapps.com/start SSO region [None]: us-east-1 SSO registration scopes [None]: sso:account:access
aws configure sso-session

Führen Sie diesen Befehl aus, um Ihre AWS IAM Identity Center-Anmeldeinformationen, Ihre Region und das Ausgabeformat im Abschnitt „sso-session“ der Dateien credentials und config schnell festzulegen und anzuzeigen. Das folgende Beispiel zeigt Beispielwerte.

$ aws configure sso-session SSO session name: my-sso SSO start URL [None]: https://my-sso-portal.awsapps.com/start SSO region [None]: us-east-1 SSO registration scopes [None]: sso:account:access

Befehlsbeispiele für das Festlegen neuer Konfigurationen und Anmeldeinformationen

Die folgenden Beispiele zeigen die Konfiguration eines Standardprofils mit Anmeldeinformationen, Region und Ausgabe, die für verschiedene Authentifizierungsmethoden angegeben sind.

IAM Identity Center (SSO)

Dieses Beispiel bezieht sich auf AWS IAM Identity Center unter Verwendung des aws configure sso-Assistenten. Weitere Informationen finden Sie unter Konfiguration des Token-Anbieters mit automatischer Aktualisierung der Authentifizierung für IAM Identity Center.

$ aws configure sso SSO session name (Recommended): my-sso SSO start URL [None]: https://my-sso-portal.awsapps.com/start SSO region [None]:us-east-1 Attempting to automatically open the SSO authorization page in your default browser. There are 2 AWS accounts available to you. > DeveloperAccount, developer-account-admin@example.com (111122223333) ProductionAccount, production-account-admin@example.com (444455556666) Using the account ID 111122223333 There are 2 roles available to you. > ReadOnly FullAccess Using the role name "ReadOnly" CLI default client Region [None]: us-west-2 CLI default output format [None]: json CLI profile name [123456789011_ReadOnly]: user1
IAM Identity Center (Legacy SSO)

Dieses Beispiel bezieht sich auf die Legacy-Methode von AWS IAM Identity Center unter Verwendung des aws configure sso-Assistenten. Wenn Sie das Legacy-SSO verwenden möchten, lassen Sie den Sitzungsnamen leer. Weitere Informationen finden Sie unter Nicht aktualisierbare Legacy-Konfiguration für AWS IAM Identity Center.

$ aws configure sso SSO session name (Recommended): SSO start URL [None]: https://my-sso-portal.awsapps.com/start SSO region [None]:us-east-1 SSO authorization page has automatically been opened in your default browser. Follow the instructions in the browser to complete this authorization request. There are 2 AWS accounts available to you. > DeveloperAccount, developer-account-admin@example.com (111122223333) ProductionAccount, production-account-admin@example.com (444455556666) Using the account ID 111122223333 There are 2 roles available to you. > ReadOnly FullAccess Using the role name "ReadOnly" CLI default client Region [None]: us-west-2 CLI default output format [None]: json CLI profile name [123456789011_ReadOnly]: user1
Short-term credentials

Dieses Beispiel gilt für die kurzfristigen Anmeldeinformationen von AWS Identity and Access Management. Der AWS-Konfigurationsassistent wird verwendet, um die Anfangswerte festzulegen. Anschließend weist der Befehl aws configure set den letzten benötigten Wert zu. Weitere Informationen finden Sie unter Authentifizieren mit kurzfristigen Anmeldeinformationen.

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json $ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
IAM role

Dieses Beispiel bezieht sich auf die Übernahme einer IAM-Rolle. Profile, die IAM-Rollen verwenden, rufen Anmeldeinformationen aus einem anderen Profil ab und wenden dann IAM-Rollenberechtigungen an. In den folgenden Beispielen ist default das Quellprofil für Anmeldeinformationen und user1 leiht sich diese Anmeldeinformationen aus und übernimmt anschließend eine neue Rolle. Für diesen Vorgang gibt es keinen Assistenten. Daher wird jeder Wert mit dem Befehl aws configure set festgelegt. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle in der AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole $ aws configure set source_profile default $ aws configure set role_session_name session_user1 $ aws configure set region us-west-2 $ aws configure set output json
Amazon EC2 instance metadata credentials

Dieses Beispiel bezieht sich auf die Anmeldeinformationen, die aus den Metadaten der Amazon-EC2-Hosting-Instance abgerufen wurden. Für diesen Vorgang gibt es keinen Assistenten. Daher wird jeder Wert mit dem Befehl aws configure set festgelegt. Weitere Informationen finden Sie unter Verwenden von Anmeldeinformationen für Amazon-EC2-Instance-Metadaten.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole $ aws configure set credential_source Ec2InstanceMetadata $ aws configure set region us-west-2 $ aws configure set output json
Long-term credentials
Warnung

Um Sicherheitsrisiken zu vermeiden, sollten Sie IAM-Benutzer nicht zur Authentifizierung verwenden, wenn Sie eigens entwickelte Software entwickeln oder mit echten Daten arbeiten. Verwenden Sie stattdessen den Verbund mit einem Identitätsanbieter wie AWS IAM Identity Center.

Dieses Beispiel bezieht sich auf die langfristigen Anmeldeinformationen von AWS Identity and Access Management. Weitere Informationen finden Sie unter Authentifizieren mit IAM-Benutzeranmeldeinformationen.

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

Unterstützte Einstellungen in der config-Datei

Die folgenden Einstellungen werden in der config-Datei unterstützt. Es werden die Werte in dem angegebenen Profil (oder dem Standardprofil) verwendet, es sei denn, sie werden durch eine gleichnamige Umgebungsvariable oder eine gleichnamige Befehlszeilenoption überschrieben. Weitere Informationen darüber, welche Rangfolgeeinstellungen Vorrang haben, finden Sie unter Konfigurieren des AWS CLI

Globale Einstellungen

aws_access_key_id

Gibt den AWS-Zugriffsschlüssel an, der als Teil der Anmeldeinformationen zur Authentifizierung der Befehlsanforderung verwendet wird. Zwar kann dieses in der config-Datei gespeichert werden, wir empfehlen Ihnen jedoch, es in der credentials-Datei zu speichern.

Kann von der Umgebungsvariablen AWS_ACCESS_KEY_ID überschrieben werden. Es ist nicht möglich, die Zugriffsschlüssel-ID als Befehlszeilenoption anzugeben.

aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key

Gibt den geheimen AWS-Schlüssel an, der als Teil der Anmeldeinformationen zur Authentifizierung der Befehlsanforderung verwendet wird. Zwar kann dieses in der config-Datei gespeichert werden, wir empfehlen Ihnen jedoch, es in der credentials-Datei zu speichern.

Kann von der Umgebungsvariablen AWS_SECRET_ACCESS_KEY überschrieben werden. Es ist nicht möglich, den geheimen Zugriffsschlüssel als Befehlszeilenoption anzugeben.

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token

Gibt ein AWS-Sitzungs-Token an. Ein Sitzungs-Token ist nur erforderlich, wenn Sie manuell temporäre Anmeldeinformationen angeben. Zwar kann dieses in der config-Datei gespeichert werden, wir empfehlen Ihnen jedoch, es in der credentials-Datei zu speichern.

Kann von der Umgebungsvariablen AWS_SESSION_TOKEN überschrieben werden. Es ist nicht möglich, das Sitzungs-Token als Befehlszeilenoption anzugeben.

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk
ca_bundle

Gibt eine CA-Zertifikat-Bundle (eine Datei mit der Erweiterung .pem) an, die zur Überprüfung von SSL-Zertifikaten verwendet wird.

Kann von der Umgebungsvariablen AWS_CA_BUNDLE oder mit der Befehlszeilenoption --ca-bundle überschrieben werden.

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem
cli_auto_prompt

Aktiviert die automatische Eingabeaufforderung für AWS CLI Version 2. Es gibt zwei Einstellungen, die verwendet werden können:

  • on verwendet den vollständigen automatischen Prompt-Modus jedes Mal, wenn Sie versuchen, einen aws-Befehl auszuführen. Dazu gehört das Drücken der EINGABETASTE sowohl nach einem vollständigen Befehl als auch nach einem unvollständigen Befehl.

    cli_auto_prompt = on
  • on-partial verwendet den partiellen automatischen Prompt-Modus. Wenn ein Befehl unvollständig ist oder aufgrund clientseitiger Validierungsfehler nicht ausgeführt werden kann, wird die automatische Eingabeaufforderung verwendet. Dieser Modus ist besonders nützlich, wenn Sie über bereits vorhandene Skripts oder Runbooks verfügen oder nur für Befehle, mit denen Sie nicht vertraut sind, automatisch aufgefordert werden möchten, anstatt bei jedem Befehl gefragt zu werden.

    cli_auto_prompt = on-partial

Sie können diese aws_cli_auto_prompt-Umgebungsvariable mithilfe des --cli-auto-prompt- und --no-cli-auto-prompt-Befehlszeilenparameters überschreiben.

Weitere Informationen zur Auto-Prompt-Funktion von AWS CLI Version 2 finden Sie unter Aufforderung der AWS CLI zur Eingabe von Befehlen.

cli_binary_format

Gibt an, wie die AWS CLI Version 2 binäre Eingabeparameter interpretiert. Dabei kann es sich um einen der folgenden Werte handeln:

  • base64 – Dies ist der Standardwert. Ein Eingabeparameter, der als BLOB (Binary Large Object) eingegeben wird, akzeptiert eine base64-kodierte Zeichenfolge. Um echten binären Inhalt zu übergeben, legen Sie den Inhalt in eine Datei und geben den Pfad und den Namen der Datei mit dem Präfix fileb:// als Wert des Parameters an. Um in einer Datei enthaltenen base64-kodierten Text zu übergeben, geben Sie den Pfad und den Namen der Datei mit dem Präfix file:// als Wert des Parameters an.

  • raw-in-base64-out – Standardeinstellung für die AWS CLI Version 1. Wenn der Wert der Einstellung raw-in-base64-out lautet, werden Dateien, auf die mit dem Präfix file:// verwiesen wird, als Text gelesen und dann versucht die AWS CLI, sie in Binärform zu codieren.

Dieser Eintrag verfügt über keine entsprechende Umgebungsvariable. Sie können den Wert in einem einzelnen Befehl mit dem Parameter --cli-binary-format raw-in-base64-out angeben.

cli_binary_format = raw-in-base64-out

Wenn Sie einen Binärwert in einer Datei mit der Präfixnotation fileb:// referenzieren, erwartet die AWS CLI immer, dass die Datei unformatierten binären Inhalt enthält, und versucht nicht, den Wert zu konvertieren.

Wenn Sie einen binären Wert in einer Datei mithilfe der Präfixnotation file:// referenzieren, behandelt die AWS CLI die Datei entsprechend der aktuellen cli_binary_format-Einstellung. Wenn der Wert dieser Einstellung base64 lautet (der Standardwert, wenn nicht explizit festgelegt), erwartet die AWS CLI, dass die Datei base64-kodierten Text enthält. Wenn der Wert dieser Einstellung raw-in-base64-out lautet, erwartet die AWS CLI, dass die Datei unformatierten binären Inhalt enthält.

cli_history

Standardmäßig deaktiviert. Diese Einstellung aktiviert den Befehlsverlauf für die AWS CLI. Nachdem Sie diese Einstellung aktiviert haben, zeichnet AWS CLI den Verlauf von aws-Befehlen auf.

cli_history = enabled

Sie können Ihren Verlauf mit dem Befehl aws history list auflisten und die resultierenden command_ids im Befehl aws history show verwenden, um Details abzurufen. Weitere Informationen finden Sie unter aws history im AWS CLI-Referenzhandbuch.

cli_pager

Gibt das für die Ausgabe verwendete Pager-Programm an. Standardmäßig gibt AWS CLI Version 2 die gesamte Ausgabe über das Standard-Pager-Programm Ihres Betriebssystems zurück.

Kann durch die Umgebungsvariable AWS_PAGER außer Kraft gesetzt werden.

cli_pager=less

Um die gesamte Verwendung eines externen Auslagerungsprogramms zu deaktivieren, setzen Sie die Variable auf eine leere Zeichenfolge, wie im folgenden Beispiel gezeigt.

cli_pager=
cli_timestamp_format

Gibt das Format der in der Ausgabe enthaltenen Zeitstempelwerte an. Sie können einen der folgenden Werte angeben:

  • iso8601 –Der Standardwert für AWS CLI Version 2. Die AWS CLI formatiert alle Zeitstempel nach ISO 8601 neu.

    Gemäß ISO 8601 formatierte Zeitstempel sehen wie die folgenden Beispiele aus. Das erste Beispiel zeigt die Zeit in der Zeitzone Coordinated Universal Time (UTC) an, indem nach der Zeit ein Z eingeschlossen wird. Datum und Uhrzeit werden durch ein T getrennt.

    2019-10-31T22:21:41Z

    Um eine andere Zeitzone anzugeben, geben Sie anstelle des Z ein + oder - und die Anzahl der Stunden, die die gewünschte Zeitzone vor oder hinter UTC liegt, als zweistelligen Wert an. Das folgende Beispiel zeigt die gleiche Zeit wie das vorherige Beispiel, aber angepasst an die Pacific Standard Time, die acht Stunden hinter der UTC-Zeit liegt.

    2019-10-31T14:21:41-08
  • wire –Der Standardwert für AWS CLI Version 1. Die AWS CLI zeigt alle Zeitstempelwerte genau so an, wie sie in der HTTP-Abfrageantwort empfangen wurden.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

cli_timestamp_format = iso8601
credential_process

Gibt einen externen Befehl an, den die AWS CLI ausführt, um Authentifizierungs-Anmeldeinformationen für diesen Befehl zu generieren oder abzurufen. Der Befehl muss die Anmeldeinformationen in einem bestimmten Format zurückgeben. Weitere Informationen zur Verwendung dieser Einstellung finden Sie unter Beschaffung von Anmeldeinformationen über einen externen Prozess.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

credential_process = /opt/bin/awscreds-retriever --username susan
credential_source

Wird innerhalb von Amazon-EC2-Instances oder -Containern verwendet, um anzugeben, wo die AWS CLI Anmeldeinformationen für die Übernahme der Rolle finden kann, die Sie mit dem Parameter role_arn angegeben haben. Sie können source_profile und credential_source nicht im selben Profil angeben.

Dieser Parameter kann einen von drei Werten haben:

  • Umgebung – Gibt an, dass AWS CLI Quellenanmeldeinformationen aus Umgebungsvariablen abrufen soll.

  • EC2InstanceMetadata – Gibt an, dass AWS CLI die dem EC2-Instance-Profil zugeordnete IAM-Rolle verwenden soll, um Quellanmeldeinformationen abzurufen.

  • EcsContainer –Gibt an, dass AWS CLI die an den ECS-Container angehängte IAM-Rolle als Quellanmeldeinformationen verwenden soll.

credential_source = Ec2InstanceMetadata
duration_seconds

Gibt die maximale Dauer der Rollensitzung in Sekunden an. Der Wert kann zwischen 900 Sekunden (15 Minuten) und der maximalen Sitzungsdauer für die Rolle liegen maximal 43 200). Dieser Parameter ist optional. Standardmäßig ist der Wert auf 3 600 Sekunden festgelegt.

endpoint_url

Gibt den Endpunkt an, der für alle Serviceanforderungen verwendet wird. Wenn diese Einstellung im services-Abschnitt der config-Datei verwendet wird, wird der Endpunkt nur für den angegebenen Service genutzt.

Im folgenden Beispiel wird der globale Endpunkt http://localhost:1234 und ein servicespezifischer Endpunkt namens http://localhost:4567 für Amazon S3 verwendet.

[profile dev] endpoint_url = http://localhost:1234 services = s3-specific [services s3-specific] s3 = endpoint_url = http://localhost:4567

Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien, oder werden in der Befehlszeile als Parameter explizit deklariert. Die AWS CLI-Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Die Befehlszeilenoption --endpoint-url

  2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

  3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

  4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

  5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

  6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

  7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

  8. Eine Standard-Endpunkt-URL für den jeweiligen AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS-Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

ignore_configure_endpoint_urls

Wenn diese Option aktiviert ist, ignoriert die AWS CLI alle benutzerdefinierten Endpunktkonfigurationen, die in der config-Datei angegeben sind. Gültige Werte sind true und false.

ignore_configure_endpoint_urls = true

Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien, oder werden in der Befehlszeile als Parameter explizit deklariert. Die AWS CLI-Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Die Befehlszeilenoption --endpoint-url

  2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

  3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

  4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

  5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

  6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

  7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

  8. Eine Standard-Endpunkt-URL für den jeweiligen AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS-Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

external_id

Gibt eine eindeutige Kennung an, die von Dritten verwendet wird, um eine Rolle in den Konten ihrer Kunden zu übernehmen. Dies entspricht dem Parameter ExternalId in der Operation AssumeRole. Dieser Parameter ist nur erforderlich, wenn die Vertrauensrichtlinie für die Rolle einen Wert für ExternalId angibt. Weitere Informationen finden Sie unter Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren im IAM-Benutzerhandbuch.

max_attempts

Gibt einen Wert für die maximale Anzahl von AWS CLI-Wiederholungsversuchen an, den der Wiederholungshandler max_attempts verwendet, wobei der erste Aufruf auf den von Ihnen angegebenen Wert angerechnet wird.

Sie können diesen Wert überschreiben, indem Sie die Umgebungsvariable AWS_MAX_ATTEMPTS verwenden.

max_attempts = 3
mfa_serial

Die ID eines MFA-Geräts, das verwendet werden soll, wenn eine Rolle übernommen wird. Diese ist nur erforderlich, wenn die Vertrauensrichtlinie der übernommenen Rolle eine Bedingung enthält, für die eine MFA-Authentifizierung erforderlich ist. Der Wert kann entweder eine Seriennummer für ein Hardwaregerät (z. B. GAHT12345678) oder ein Amazon-Ressourcenname (ARN) für ein virtuelles MFA-Gerät (z. B. arn:aws:iam::123456789012:mfa/user) sein.

output

Gibt das Standardausgabeformat für Befehle an, die mit diesem Profil angefordert wurden. Sie können alle folgenden Werte angeben:

  • json – Die Ausgabe erfolgt im JSON-Format.

  • yaml –Die Ausgabe erfolgt im YAML-Format.

  • yaml-stream – Die Ausgabe erfolgt im YAML-Format und wird so auch gestreamt. Streaming ermöglicht eine schnellere Handhabung großer Datentypen.

  • text – Die Ausgabe wird als mehrere Zeilen mit tabulatorgetrennten Zeichenfolgenwerten formatiert. Dies kann nützlich sein, um die Ausgabe an einen Textprozessor wie grep, sed oder awk zu übergeben.

  • table – Die Ausgabe erfolgt in Form einer Tabelle mit den Zeichen +|-, um die Zellenrahmen zu bilden. Normalerweise wird die Information in einem benutzerfreundlichen Format wiedergegeben, das viel einfacher zu lesen ist als die anderen, jedoch programmatisch nicht so nützlich ist.

Kann von der Umgebungsvariablen AWS_DEFAULT_OUTPUT oder mit der Befehlszeilenoption --output überschrieben werden.

output = table
parameter_validation

Gibt an, ob der AWS CLI-Client versucht, Parameter zu validieren, bevor diese an den AWS-Service-Endpunkt gesendet werden.

  • true (wahr) – Dies ist der Standardwert. Wenn festgelegt, nimmt die AWS CLI eine lokale Validierung von Befehlszeilenparametern vor.

  • false (falsch): Wenn dieser Wert angegeben ist, validiert die AWS CLI die Befehlszeilenparameter nicht, bevor diese an den AWS-Service-Endpunkt gesendet werden.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

parameter_validation = false
region

Gibt die AWS-Region an, an die Anforderungen für Befehle gesendet werden sollen, die mit diesem Profil angefordert wurden.

  • Sie können einen der für den ausgewählten Service verfügbaren Regionscodes angeben, die unter AWS-Regionen und -Endpunkte in der Allgemeine Amazon Web Services-Referenz aufgeführt sind.

  • Mit aws_global können Sie den globalen Endpunkt für Services angeben, die neben regionalen Endpunkten auch einen globalen Endpunkt unterstützen, z. B. AWS Security Token Service (AWS STS) und Amazon Simple Storage Service (Amazon S3).

Sie können diesen Wert überschreiben, indem Sie die AWS_REGION-Umgebungsvariable, die AWS_DEFAULT_REGION-Umgebungsvariable oder die Befehlszeilenoption --region verwenden.

region = us-west-2
retry_mode

Gibt an, welchen Wiederholungsmodus AWS CLI verwendet. Es stehen drei Wiederholungsmodi zur Verfügung: Legacy (Standard), Standard und Adaptiv. Weitere Informationen zu Wiederholversuchen finden Sie unter AWS CLI-Wiederholungen.

Sie können diesen Wert überschreiben, indem Sie die Umgebungsvariable AWS_RETRY_MODE verwenden.

retry_mode = standard
role_arn

Gibt den Amazon-Ressourcennamen (ARN) einer IAM-Rolle an, die Sie zum Ausführen der AWS CLI-Befehle verwenden möchten. Sie müssen auch einen der folgenden Parameter angeben, um die Anmeldeinformationen zu identifizieren, die berechtigt sind, diese Rolle zu übernehmen:

  • source_profile

  • credential_source

role_arn = arn:aws:iam::123456789012:role/role-name

Diese Umgebungsvariable überschreibt die AWS_ROLE_ARN-Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

role_session_name

Gibt den Namen an, der der Rollensitzung zugeordnet werden soll. Dieser Wert wird dem Parameter RoleSessionName bereitgestellt, wenn die AWS CLI die Operation AssumeRole aufruft, und wird Teil des Benutzer-ARN der übernommenen Rolle: arn:aws:sts::123456789012:assumed-role/role_name/role_session_name Dieser Parameter ist optional. Wenn Sie diesen Wert nicht angeben, wird automatisch ein Sitzungsname generiert. Dieser Name wird in den AWS CloudTrail-Protokollen für Einträge angezeigt, die dieser Sitzung zugeordnet sind.

role_session_name = maria_garcia_role

Die Umgebungsvariable AWS_ROLE_SESSION_NAME überschreibt diese Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

services

Gibt die Servicekonfiguration an, die für Ihr Profil verwendet werden soll.

[profile dev-s3-specific-and-global] endpoint_url = http://localhost:1234 services = s3-specific [services s3-specific] s3 = endpoint_url = http://localhost:4567

Weitere Informationen zum Abschnitt services finden Sie unter Abschnittstyp: services.

Die Umgebungsvariable AWS_ROLE_SESSION_NAME überschreibt diese Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

source_profile

Gibt ein benanntes Profil mit langfristigen Anmeldeinformationen an, die die AWS CLI verwenden kann, um eine Rolle zu übernehmen, die Sie mit dem Parameter role_arn angegeben haben. Sie können source_profile und credential_source nicht im selben Profil angeben.

source_profile = production-profile
sso_account_id

Gibt die AWS-Konto-ID an, die die IAM-Rolle mit der Berechtigung enthält, die Sie dem zugeordneten Benutzer des IAM Identity Center erteilen möchten.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_account_id = 123456789012
sso_region

Gibt die AWS-Region an, die den AWS-Zugriffsportalhost enthält. Diese ist getrennt vom region-Standard-CLI-Parameter und kann eine andere Region sein.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_region = us_west-2
sso_registration_scopes

Eine durch Kommas getrennte Liste der für die sso-session zu autorisierenden Bereiche. Bereiche autorisieren den Zugriff auf über IAM-Identity-Center-Bearer-Token autorisierte Endpunkte. Ein gültiger Bereich ist eine Zeichenfolge, beispielsweise sso:account:access. Diese Einstellung gilt nicht für die nicht aktualisierbare Legacy-Konfiguration.

sso_registration_scopes = sso:account:access
sso_role_name

Gibt den Anzeigenamen der IAM-Rolle an, die die Berechtigungen des Benutzers bei der Verwendung dieses Profils definiert.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_role_name = ReadAccess
sso_start_url

Gibt die URL an, die auf das AWS-Zugriffsportal der Organisation verweist. Die AWS CLI verwendet diese URL, um eine Sitzung mit dem IAM–Identity-Center-Service zur Authentifizierung der Benutzer einzurichten. Verwenden Sie eine der folgenden Optionen, um die URL Ihres AWS-Zugriffsportals zu finden:

  • Öffnen Sie Ihre Einladungs-E-Mail. Darin ist die URL des AWS-Zugriffsportals aufgeführt.

  • Öffnen Sie die AWS IAM Identity Center-Konsole unter https://console.aws.amazon.com/singlesignon/. Die URL des AWS-Zugriffsportals ist in Ihren Einstellungen aufgeführt.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_start_url = https://my-sso-portal.awsapps.com/start
use_dualstack_endpoint

Ermöglicht die Verwendung von Dual-Stack-Endpunkten zum Senden von AWS-Anfragen. Weitere Informationen zu Dual-Stack-Endpunkten, die sowohl IPv4- als auch IPv6-Datenverkehr unterstützen, finden Sie unter Verwenden von Amazon-S3-Dual-Stack-Endpunkten im Benutzerhandbuch für Amazon Simple Storage Service. Dual-Stack-Endpunkte sind für einige Services in einigen Regionen verfügbar. Wenn kein Dual-Stack-Endpunkt für den Service oder AWS-Region vorhanden ist, schlägt die Anfrage fehl. Diese ist standardmäßig deaktiviert.

Diese Einstellung und die Einstellung use_accelerate_endpoint schließen sich gegenseitig aus.

Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien, oder werden in der Befehlszeile als Parameter explizit deklariert. Die AWS CLI-Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Die Befehlszeilenoption --endpoint-url

  2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

  3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

  4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

  5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

  6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

  7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

  8. Eine Standard-Endpunkt-URL für den jeweiligen AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS-Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

use_fips_endpoint

Einige AWS-Services bieten Endpunkte, die Federal Information Processing Standard (FIPS) 140-2 in einigen AWS-Regionenunterstützen. Wenn der AWS-Service FIPS unterstützt, gibt diese Einstellung an, welchen FIPS-Endpunkt die AWS CLI verwenden soll. Im Gegensatz zu Standard-AWS-Endpunkten verwenden FIPS-Endpunkte eine TLS-Softwarebibliothek, die den Standard FIPS 140-2 erfüllt. Diese Endpunkte können von Unternehmen erfordert werden, die mit der US-Regierung interagieren.

Wenn diese Einstellung aktiviert ist, aber kein FIPS-Endpunkt für den Service in Ihrer AWS-Region vorhanden ist, schlägt der AWS-Befehl möglicherweise fehl. Geben Sie in diesem Fall mithilfe der --endpoint-url-Option manuell den Endpunkt an, der im Befehl verwendet werden soll, oder verwenden Sie servicespezifische Endpunkte.

Weitere Informationen zur Angabe von FIPS-Endpunkten nach AWS-Region finden Sie unter FIPS-Endpunkte nach Service.

Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien, oder werden in der Befehlszeile als Parameter explizit deklariert. Die AWS CLI-Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Die Befehlszeilenoption --endpoint-url

  2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

  3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

  4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

  5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

  6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

  7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

  8. Eine Standard-Endpunkt-URL für den jeweiligen AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS-Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

web_identity_token_file

Gibt den Pfad zu einer Datei an, die ein OAuth 2.0-Zugriffstoken oder OpenID Connect ID-Token enthält, das von einem Identitätsanbieter bereitgestellt wird. Die AWS CLI lädt den Inhalt dieser Datei und übergibt ihn als WebIdentityToken-Argument an die Operation AssumeRoleWithWebIdentity.

Diese Umgebungsvariable überschreibt die AWS_WEB_IDENTITY_TOKEN_FILE-Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

tcp_keepalive

Gibt an, ob der AWS CLI-Client TCP-Keepalive-Pakete verwendet.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

tcp_keepalive = false

Einstellungen für benutzerdefinierte S3-Befehle

Amazon S3 unterstützt mehrere Einstellungen zur Konfiguration der Ausführung von Amazon-S3-Operationen über die AWS CLI. Einige gelten für alle S3-Befehle in den s3-Namespaces und den s3api-Namespaces. Andere beziehen sich speziell auf „benutzerdefinierte” S3-Befehle, die allgemeine Operationen abstrahieren und mehr als ein Eins-zu-eins-Mapping zu einer API-Operation vornehmen. Für die aws s3-Übertragungsbefehle cp, sync, mv und rm gibt es zusätzliche Einstellungen, die Sie zur Steuerung von S3-Übertragungen verwenden können.

Alle diese Optionen können durch Angabe der verschachtelten Einstellung s3 in Ihrer config-Datei konfiguriert werden. Jede Einstellung wird dann in einer eigenen Zeile eingerückt.

Anmerkung

Diese Einstellungen sind völlig optional. Die aws s3-Übertragungsbefehle müssten auch ohne Konfiguration dieser Einstellungen erfolgreich ausgeführt werden können. Die Einstellungen werden bereitgestellt, damit Sie die Leistung verbessern oder die besondere Umgebung berücksichtigen können, in der Sie diese aws s3-Befehle ausführen.

Diese Einstellungen werden alle unter einem s3-Schlüssel der obersten Ebene in der config-Datei festgelegt, wie im folgenden Beispiel für das development-Profil dargestellt.

[profile development] s3 = max_concurrent_requests = 20 max_queue_size = 10000 multipart_threshold = 64MB multipart_chunksize = 16MB max_bandwidth = 50MB/s use_accelerate_endpoint = true addressing_style = path

Die folgenden Einstellungen gelten für alle S3-Befehle in den s3- oder s3api-Namespaces.

addressing_style

Gibt an, welcher Adressierungsstil verwendet werden soll. Dieser Wert steuert, ob der Bucketname im Hostnamen enthalten oder Teil der URL ist. Gültige Werte sind: path, virtual und auto. Der Standardwert ist auto.

Es gibt zwei Möglichkeiten, einen Amazon-S3-Endpunkt zu erstellen. Die erste wird als virtual bezeichnet und beinhaltet den Bucket-Namen als Teil des Hostnamens. Zum Beispiel: https://bucketname.s3.amazonaws.com. Alternativ können Sie mit dem path-Stil den Bucket-Namen wie einen Pfad im URI behandeln. Beispiel: https://s3.amazonaws.com/bucketname. Standardmäßig wird in der CLI auto verwendet. Dabei wird versucht, möglichst den virtual-Stil zu verwenden, gegebenenfalls wird jedoch auf den path-Stil zurückgegriffen. Wenn Ihr Bucket-Name beispielsweise nicht DNS-kompatibel ist, kann er nicht Teil des Hostnamens sein und muss im Pfad enthalten sein. Bei Verwendung von auto erkennt die CLI diese Bedingung und schaltet automatisch zum path-Stil um. Wenn Sie als Adressierungsstil path festlegen, müssen Sie sicherstellen, dass die AWS-Region, die Sie in der AWS CLI konfiguriert haben, mit der Region Ihres Buckets übereinstimmt.

payload_signing_enabled

Gibt an, ob eine SHA256-Signatur für sigv4-Nutzlasten erfolgen soll. Standardmäßig ist diese Einstellung bei Verwendung von HTTPS für Streaming-Uploads (UploadPart und PutObject) deaktiviert. Standardmäßig ist die Einstellung für Streaming-Uploads (UploadPart und PutObject) auf false gesetzt, allerdings nur, wenn ContentMD5 vorhanden ist (wird standardmäßig generiert) und der Endpunkt HTTPS verwendet.

Wenn die Einstellung auf „true” gesetzt wird, erhalten S3-Anforderungen eine zusätzliche Inhaltsvalidierung in Form einer SHA256-Prüfsumme, die berechnet und in die Anforderungssignatur aufgenommen wird. Wenn „false” festgelegt ist, wird die Prüfsumme nicht berechnet. Eine Deaktivierung dieser Einstellung kann nützlich sein, um den durch die Prüfsummenberechnung entstandenen Leistungsaufwand zu reduzieren.

use_accelerate_endpoint

Verwendet den Amazon-S3-Accelerate-Endpunkt für alle s3- und s3api-Befehle. Der Standardwert ist "false". Diese Einstellung und die Einstellung use_dualstack_endpoint schließen sich gegenseitig aus.

Wenn dieser Wert auf „true“ gesetzt ist, leitet die AWS CLI alle Amazon-S3-Anforderungen an den S3 Accelerate-Endpunkt an s3-accelerate.amazonaws.com. Um diesen Endpunkt zu verwenden, müssen Sie Ihrem Bucket die Verwendung von S3 Accelerate ermöglichen. Alle Anforderungen werden unter Verwendung der virtuellen Bucket-Adressierungsform my-bucket.s3-accelerate.amazonaws.com gesendet. ListBuckets-, CreateBucket- und DeleteBucket -Anfragen werden nicht an den S3-Accelerate-Endpunkt gesendet, da dieser Endpunkt diese Operationen nicht unterstützt. Dieses Verhalten kann auch festgelegt werden, wenn der Parameter --endpoint-url für einen s3- oder s3api-Befehl auf https://s3-accelerate.amazonaws.com oder http://s3-accelerate.amazonaws.com gesetzt ist.

Die folgenden Einstellungen gelten nur für Befehle im Befehlssatz für den s3-Namespace.

max_bandwidth

Gibt die maximale Bandbreite an, die zum Hoch- und Herunterladen von Daten in und aus Amazon S3 verbraucht werden kann. Standardmäßig ist kein Grenzwert festgelegt.

Diese Einstellung begrenzt die maximale Bandbreite, die S3-Befehle zur Übertragung von Daten an und aus Amazon S3 nutzen können. Der Wert gilt nur für Uploads und Downloads, nicht für Kopien oder Löschvorgänge. Der Wert wird in Bytes pro Sekunde ausgedrückt. Der Wert kann wie folgt angegeben werden:

  • Als ganze Zahl. Bei Angabe von 1048576 wird für die maximale Bandbreitennutzung beispielsweise 1 Megabyte pro Sekunde festgelegt.

  • Als ganze Zahl, gefolgt von einem Suffix für die Rate. Sie können Suffixe unter Verwendung von KB/s, MB/s oder GB/s angeben. Zum Beispiel 300KB/s, 10MB/s.

Im Allgemeinen empfehlen wir, zunächst durch Verringerung des Werts für max_concurrent_requests eine niedrigere Bandbreitennutzung anzugeben. Wenn der Bandbreitenverbrauch dadurch nicht angemessen auf die gewünschte Rate begrenzt werden kann, können Sie die Einstellung max_bandwidth verwenden, um den Bandbreitenverbrauch weiter zu begrenzen. Dies liegt daran, dass max_concurrent_requests steuert, wie viele Threads zurzeit ausgeführt werden. Wenn Sie stattdessen zuerst max_bandwidth senken, es aber bei einer hohen max_concurrent_requests-Einstellung belassen, kann dies dazu führen, dass Threads unnötig warten müssen. Dies kann zu einem übermäßigen Ressourcenverbrauch und Verbindungszeitüberschreitungen führen.

max_concurrent_requests

Gibt die maximale Anzahl gleichzeitiger Anforderungen an. Der Standardwert lautet 10.

Die aws s3-Übertragungsbefehle sind Multithread-Befehle. Zu jedem Zeitpunkt können mehrere Amazon-S3-Anforderungen ausgeführt werden. Wenn Sie beispielsweise den Befehl aws s3 cp localdir s3://bucket/ --recursive verwenden, um Dateien in einen S3-Bucket hochzuladen, kann die AWS CLI die Dateien localdir/file1, localdir/file2 und localdir/file3 parallel hochladen. Die Einstellung max_concurrent_requests gibt die maximale Anzahl von Übertragungsoperationen an, die gleichzeitig ausgeführt werden können.

Unter Umständen müssen Sie diesen Wert aus einem der folgenden Gründe ändern:

  • Verringerung dieses Werts – in einigen Umgebungen kann der Standardwert von 10 gleichzeitigen Anforderungen zu einer Überlastung des Systems führen. Die Folge können Zeitüberschreitungen bei der Verbindung oder eine herabgesetzte Reaktionsfähigkeit des Systems sein. Wenn Sie diesen Wert senken, sind die S3-Übertragungsbefehle weniger ressourcenintensiv. Der Nachteil ist jedoch, dass S3-Übertragungen länger dauern können. Eine Senkung dieses Wertes könnte erforderlich sein, wenn Sie ein Tool zur Begrenzung der Bandbreite verwenden.

  • Erhöhung dieses Werts – in einigen Fällen kann es sinnvoll sein, die Amazon-S3-Übertragungen so schnell wie möglich durchzuführen und dabei so viel Netzwerkbandbreite wie nötig zu beanspruchen. In einem solchen Fall reicht die standardmäßige Anzahl gleichzeitiger Anforderungen möglicherweise nicht aus, um die gesamte verfügbare Netzwerkbandbreite zu nutzen. Eine Erhöhung dieses Werts kann dazu führen, dass sich die Zeit für die Durchführung einer Amazon-S3-Übertragung verkürzt.

max_queue_size

Gibt die maximale Anzahl von Aufgaben in der Aufgabenwarteschlange an. Der Standardwert lautet 1000.

Die AWS CLI verwendet intern ein Modell, bei dem Amazon-S3-Aufgaben in die Warteschlange gestellt und dann von Konsumenten ausgeführt werden, deren Zahl durch max_concurrent_requests begrenzt ist. Eine Aufgabe entspricht im Allgemeinen einer einzelnen Amazon-S3-Operation. Eine mögliche Aufgabe könnte beispielsweise PutObjectTask, GetObjectTask oder UploadPartTask sein. Die Aufgaben können der Warteschlange viel schneller hinzugefügt werden, als die Konsumenten die Aufgaben abschließen. Um ein unbegrenztes Wachstum zu vermeiden, ist die Größe der Aufgabenwarteschlange begrenzt. Diese Einstellung ändert den Wert dieser maximalen Anzahl.

Im Allgemeinen müssen Sie diese Einstellung nicht ändern. Diese Einstellung entspricht auch der Anzahl Aufgaben, von denen die AWS CLI weiß, dass sie ausgeführt werden müssen. Somit kann die AWS CLI standardmäßig nur 1000 Aufgaben vorab sehen. Wenn dieser Wert erhöht wird, weiß die AWS CLI schneller, wie viele Aufgaben insgesamt benötigt werden, vorausgesetzt, die Einreihung in die Warteschlange erfolgt schneller als die Aufgabenausführung. Der Nachteil besteht darin, dass für eine größere maximale Warteschlangengröße mehr Speicher benötigt wird.

multipart_chunksize

Gibt die Blockgröße an, die die AWS CLI für mehrteilige Übertragungen einzelner Dateien verwendet. Der Standardwert ist 8 MB und mindestens 5 MB.

Wenn eine Datei den multipart_threshold-Wert überschreitet, teilt die AWS CLI die Datei in Blöcke dieser Größe. Dieser Wert kann mit derselben Syntax wie multipart_threshold angegeben werden, also entweder als ganzzahlige Bytezahl oder unter Verwendung einer Größe und eines Suffixes.

multipart_threshold

Gibt den Größenschwellenwert an, den die AWS CLI für mehrteilige Übertragungen einzelner Dateien verwendet. Der Standardwert ist 8 MB.

Beim Hochladen, Herunterladen oder Kopieren einer Datei gehen die Amazon-S3-Befehle zu mehrteiligen Operationen über, wenn die Datei diese Größe überschreitet. Sie können diesen Wert auf zwei Arten angeben:

  • Dateigröße in Bytes. Beispiel: 1048576.

  • Dateigröße mit einem Größensuffix. Sie können KB, MB, GB oder TB verwenden. Zum Beispiel: 10MB, 1GB

    Anmerkung

    S3 kann Beschränkungen für gültige Werte anwenden, die für mehrteilige Operationen verwendet werden können. Weitere Informationen finden Sie in der S3-Dokumentation zu mehrteiligen Uploads im Benutzerhandbuch zu Amazon Simple Storage Service.