Einstellungen der Konfigurations- und Anmeldeinformationsdatei

Sie können Ihre häufig verwendeten Konfigurationseinstellungen und Anmeldeinformationen in Dateien speichern, die von der AWS CLI verwaltet werden.

Die Dateien sind in profiles unterteilt. Standardmäßig AWS CLI verwendet die die Einstellungen, die im Profil mit dem Namen gefunden wurdendefault. Wenn Sie alternative Einstellungen verwenden möchten, können Sie zusätzliche Profile erstellen und referenzieren.

Sie können eine einzelne Einstellung überschreiben, indem Sie entweder eine der unterstützten Umgebungsvariablen definieren oder einen Befehlszeilenparameter verwenden. Weitere Informationen zum Vorrang der Konfigurationseinstellungen finden Sie unter Konfigurieren Sie den AWS CLI.

Anmerkung

Weitere Informationen zum Einrichten Ihrer Anmeldeinformationen finden Sie unter Authentifizierung und Anmeldeinformationen.

Formatieren der Konfigurations- und Anmeldeinformationsdateien

Die Dateien config und credentials sind in Abschnitte unterteilt. Die Abschnitte lauten profiles, sso-sessions und services. Ein Abschnitt ist eine benannte Sammlung von Einstellungen und reicht bis zur nächsten Abschnittsdefinitionszeile. Mehrere Profile und Abschnitte können in den config- und credentials-Dateien gespeichert werden.

Diese Dateien sind Klartextdateien, die folgendes Format verwenden:

• Abschnittsnamen werden in eckige Klammern [] eingeschlossen, z. B. [default], [profile user1] und [sso-session].

• Alle Einträge in einem Abschnitt haben das allgemeine Format setting_name=value.

• Zeilen können auskommentiert werden, indem die Zeile mit einem Hash-Zeichen (#) begonnen wird.

Die Dateien config und credentials enthalten die folgenden Abschnittstypen:

• profile
• sso-session
• services

Abschnittstyp: profile

Die - AWS CLI Speicher

Je nach Datei verwenden Profilabschnittsnamen folgendes Format:

• Konfigurationsdatei: [default] [profile user1]

• Anmeldeinformationsdatei: [default] [user1]

  Verwenden Sie beim Erstellen eines Eintrags in der credentials-Datei nicht das Wort profile.

Jedes Profil kann unterschiedliche Anmeldeinformationen und auch verschiedene AWS –Regionen und Ausgabeformate angeben. Fügen Sie beim Benennen des Profils in einer config-Datei das Präfixwort "profile„ ein. Dieses darf jedoch nicht in der credentials-Datei enthalten sein.

Die folgenden Beispiele zeigen eine credentials- und eine config-Datei mit zwei angegebenen Profilen, Region und Ausgabe. Die erste Datei [default] wird verwendet, wenn Sie einen AWS CLI -Befehl ohne Profil ausführen. Die zweite wird verwendet, wenn Sie einen AWS CLI Befehl mit dem --profile user1 Parameter ausführen.

IAM Identity Center (SSO)

Dieses Beispiel gilt für AWS IAM Identity Center. Weitere Informationen finden Sie unter Konfigurieren Sie den AWS CLI für die Verwendung der Anmeldeinformationen des IAM Identity Center-Token-Anbieters mit automatischer Authentifizierungsaktualisierung.

Anmeldeinformationsdatei

Die credentials-Datei wird nicht für diese Authentifizierungsmethode verwendet.

Konfigurationsdatei

[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

IAM Identity Center (Legacy SSO)

Dieses Beispiel bezieht sich auf die Legacy-Methode von AWS IAM Identity Center. Weitere Informationen finden Sie unter Nicht aktualisierbare Legacy-Konfiguration für AWS IAM Identity Center.

Anmeldeinformationsdatei

Die credentials-Datei wird nicht für diese Authentifizierungsmethode verwendet.

Konfigurationsdatei

[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json

Short-term credentials

Dieses Beispiel gilt für die kurzfristigen Anmeldeinformationen von AWS Identity and Access Management. Weitere Informationen finden Sie unter Authentifizieren mit kurzfristigen Anmeldeinformationen.

Anmeldeinformationsdatei

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Konfigurationsdatei

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

IAM role

Dieses Beispiel bezieht sich auf die Übernahme einer IAM-Rolle. Profile, die IAM-Rollen verwenden, rufen Anmeldeinformationen aus einem anderen Profil ab und wenden dann IAM-Rollenberechtigungen an. In den folgenden Beispielen ist default das Quellprofil für Anmeldeinformationen und user1 leiht sich diese Anmeldeinformationen aus und übernimmt anschließend eine neue Rolle. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle in der AWS CLI.

Anmeldeinformationsdatei

Die credentials-Datei richtet sich danach, welche Authentifizierung Ihr Quellprofil verwendet. Im folgenden Beispiel verwendet das Quellprofil kurzfristige Anmeldeinformationen.

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

Konfigurationsdatei

[default]
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text

Amazon EC2 instance metadata credentials

Dieses Beispiel bezieht sich auf die Anmeldeinformationen, die aus den Metadaten der Amazon-EC2-Hosting-Instance abgerufen wurden. Weitere Informationen finden Sie unter Verwenden von Anmeldeinformationen für Amazon-EC2-Instance-Metadaten.

Anmeldeinformationsdatei

Die credentials-Datei wird nicht für diese Authentifizierungsmethode verwendet.

Konfigurationsdatei

[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text

Long-term credentials

Warnung

Um Sicherheitsrisiken zu vermeiden, sollten Sie IAM-Benutzer nicht zur Authentifizierung verwenden, wenn Sie speziell entwickelte Software entwickeln oder mit echten Daten arbeiten. Verwenden Sie stattdessen den Verbund mit einem Identitätsanbieter wie AWS IAM Identity Center.

Dieses Beispiel bezieht sich auf die langfristigen Anmeldeinformationen von AWS Identity and Access Management. Weitere Informationen finden Sie unter Authentifizieren mit IAM-Benutzeranmeldeinformationen.

Anmeldeinformationsdatei

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

Konfigurationsdatei

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

Weitere Informationen und zusätzliche Autorisierungs- und Anmeldeinformationsmethoden finden Sie unter Authentifizieren mit IAM-Benutzeranmeldeinformationen.

Abschnittstyp: sso-session

Der -sso-sessionAbschnitt der -configDatei wird verwendet, um Konfigurationsvariablen für den Abruf von SSO-Zugriffstoken zu gruppieren, die dann zum Abrufen von AWS Anmeldeinformationen verwendet werden können. Die folgenden Einstellungen werden verwendet:

• (Erforderlich) sso_start_url

• (Erforderlich) sso_region

• sso_account_id

• sso_role_name

• sso_registration_scopes

Sie definieren einen sso-session-Abschnitt und ordnen ihn einem Profil zu. sso_region und sso_start_url müssen innerhalb des sso-session-Abschnitts festgelegt werden. Normalerweise müssen sso_account_id und sso_role_name im profile-Abschnitt festgelegt werden, damit das SDK SSO-Anmeldeinformationen anfordern kann.

Im folgenden Beispiel wird das SDK für die Anforderung von SSO-Anmeldeinformationen konfiguriert und es wird eine automatische Token-Aktualisierung unterstützt:

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

Dadurch können sso-session-Konfigurationen zudem auch in mehreren Profilen wiederverwendet werden:

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

sso_account_id und sso_role_name sind jedoch nicht für alle Szenarien der SSO-Token-Konfiguration erforderlich. Wenn Ihre Anwendung nur AWS -Services verwendet, die die Bearer-Authentifizierung unterstützen, sind herkömmliche AWS -Anmeldeinformationen nicht erforderlich. Bei der Bearer-Authentifizierung handelt es sich um ein HTTP-Authentifizierungsschema, das Sicherheitstoken, sogenannte Bearer-Token, verwendet. In diesem Szenario sind sso_account_id und sso_role_name nicht erforderlich. Sehen Sie sich den jeweiligen Leitfaden für Ihren AWS Service an, um festzustellen, ob er die Bearer-Token-Autorisierung unterstützt.

Darüber hinaus können Registrierungsbereiche als Teil von sso-session konfiguriert werden. Ein Bereich ist ein Mechanismus in OAuth 2.0, um den Zugriff einer Anwendung auf ein Benutzerkonto zu beschränken. Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Diese Bereiche definieren die Berechtigungen, die für die Autorisierung für den registrierten OIDC-Client angefordert werden, und die vom Client abgerufenen Zugriffstoken. Im folgenden Beispiel wird sso_registration_scopes so festgelegt, dass der Zugriff zum Auflisten von Konten/Rollen möglich ist:

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

Das Authentifizierungs-Token wird auf der Festplatte unter dem Verzeichnis ~/.aws/sso/cache mit einem Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.

Weitere Informationen zu diesem Konfigurationstyp finden Sie unter Konfigurieren Sie den AWS CLI für die Verwendung der Anmeldeinformationen des IAM Identity Center-Token-Anbieters mit automatischer Authentifizierungsaktualisierung.

Abschnittstyp: services

Der services Abschnitt enthält eine Gruppe von Einstellungen, die benutzerdefinierte Endpunkte für - AWS-Service Anforderungen konfigurieren. Ein Profil wird dann mit einem services-Abschnitt verknüpft.

[profile dev]
services = my-services

Der services-Abschnitt ist durch <SERVICE> = -Zeilen in Unterabschnitte unterteilt, wobei <SERVICE> der AWS-Service -ID-Schlüssel ist. Die AWS-Service Kennung basiert auf dem des API-Modells, serviceId indem alle Leerzeichen durch Unterstriche ersetzt und alle Buchstaben reduziert werden. Eine Liste aller Service-ID-Schlüssel, die im services-Abschnitt verwendet werden können, finden Sie unter Verwenden Sie Endpunkte in der AWS CLI. Auf den Service-ID-Schlüssel folgen verschachtelte Einstellungen, die jeweils in einer eigenen Zeile stehen, welche durch zwei Leerzeichen eingerückt sind.

Im folgenden Beispiel wird der Endpunkt so konfiguriert, dass er für Anforderungen an den Amazon DynamoDB -Service verwendet wird, und zwar im Abschnitt my-services, der im dev-Profil verwendet wird. Alle unmittelbar folgenden Zeilen, die eingerückt sind, sind in diesem Unterabschnitt enthalten und gelten für diesen Service.

[profile dev]
services = my-services

[services my-services]
dynamodb = 
  endpoint_url = http://localhost:8000

Weitere Informationen zu servicespezifischen Endpunkten finden Sie unter Verwenden Sie Endpunkte in der AWS CLI.

Wenn Ihr Profil über rollenbasierte Anmeldeinformationen verfügt, die über einen source_profile-Parameter für die IAM-Funktion „Rolle übernehmen“ konfiguriert wurden, verwendet das SDK nur Servicekonfigurationen für das angegebene Profil. Es verwendet keine Profile mit verketteten Rollen. Verwenden Sie beispielsweise die folgende freigegebene config-Datei:

[profile A]
credential_source = Ec2InstanceMetadata
endpoint_url = https://profile-a-endpoint.aws/

[profile B]
source_profile = A
role_arn = arn:aws:iam::123456789012:role/roleB
services = profileB

[services profileB]
ec2 = 
  endpoint_url = https://profile-b-ec2-endpoint.aws

Wenn Sie das Profil B verwenden und in Ihrem Code Amazon EC2 aufrufen, wird der Endpunkt als https://profile-b-ec2-endpoint.aws aufgelöst. Wenn Ihr Code eine Anforderung für einen anderen Service stellt, folgt die Endpunktauflösung keiner benutzerdefinierten Logik. Der Endpunkt wird nicht zu dem im Profil A definierten globalen Endpunkt aufgelöst. Damit ein globaler Endpunkt für das Profil B wirksam wird, müssten Sie endpoint_url direkt im Profil B festlegen.

Wo werden Konfigurationseinstellungen gespeichert?

speichert AWS CLI vertrauliche Anmeldeinformationen, die Sie mit angebencredentials, aws configure in einer lokalen Datei mit dem Namen in einem Ordner mit dem Namen .aws in Ihrem Home-Verzeichnis. Die weniger vertraulichen Konfigurationsoptionen, die Sie mit aws configure angeben, werden in einer lokalen Datei namens config gespeichert, die sich ebenfalls im Ordner .aws Ihres Stammverzeichnisses befindet.

Speichern von Anmeldeinformationen in der Konfigurationsdatei

Sie können alle Ihre Profileinstellungen in einer einzigen Datei speichern, da die Anmeldeinformationen aus der config Datei lesen AWS CLI kann. Wenn in beiden Dateien Anmeldeinformationen für ein Profil mit demselben Namen vorhanden sind, haben die Schlüssel in der Anmeldeinformationsdatei Vorrang. Wir empfehlen, die Anmeldeinformationen in den credentials-Dateien zu speichern. Diese Dateien werden auch von den Software Development Kits (SDKs) für verschiedene Sprachen verwendet. Wenn Sie zusätzlich zur eines der SDKs verwenden AWS CLI, überprüfen Sie, ob die Anmeldeinformationen in einer eigenen Datei gespeichert werden sollen.

Der Speicherort Ihres Stammverzeichnis hängt vom Betriebssystem ab. Die folgenden Umgebungsvariablen verweisen auf dieses: %UserProfile% in Windows und $HOME oder ~ (Tilde) in Unix-basierten Systemen. Sie können auch einen Nicht-Standard-Speicherort für die Dateien angeben, indem Sie die Umgebungsvariablen AWS_CONFIG_FILE und AWS_SHARED_CREDENTIALS_FILE auf einen anderen lokalen Pfad festlegen. Details dazu finden Sie unter Umgebungsvariablen zur Konfiguration der AWS CLI.

Wenn Sie ein freigegebenes Profil verwenden, das eine AWS Identity and Access Management (IAM)-Rolle angibt, AWS CLI ruft die die AWS STS AssumeRole Operation auf, um temporäre Anmeldeinformationen abzurufen. Diese Anmeldeinformationen werden dann (in ~/.aws/cli/cache) gespeichert. Nachfolgende AWS CLI Befehle verwenden die zwischengespeicherten temporären Anmeldeinformationen, bis sie ablaufen, und zu diesem Zeitpunkt aktualisiert die AWS CLI die die Anmeldeinformationen automatisch.

Verwenden von benannten Profilen

Wenn kein Profil explizit definiert ist, wird das default-Profil verwendet.

Um ein benanntes Profil zu verwenden, fügen Sie dem Befehl die Option --profile profile-name hinzu. Das folgende Beispiel listet alle Ihre Amazon-EC2-Instances mit den Anmeldeinformationen und Einstellungen auf, die im Profil user1 definiert wurden.

$ aws ec2 describe-instances --profile user1

Wenn ein benanntes Profil für mehrere Befehle verwendet werden soll, müssen Sie das Profil nicht in jedem Befehl angeben. Legen Sie stattdessen die Umgebungsvariable AWS_PROFILE als Standardprofil fest. Sie können diese Einstellung mithilfe des --profile-Parameters außer Kraft setzen.

Linux or macOS

$ export AWS_PROFILE=user1

Windows

C:\> setx AWS_PROFILE user1

Bei Verwendung von set zur Festlegung einer Umgebungsvariablen wird der verwendete Wert bis zum Ende der aktuellen Eingabeaufforderungssitzung oder bis zur Festlegung eines anderen Wertes für die Variable geändert.

Wenn Sie setx zum Festlegen einer Umgebungsvariable verwenden, ändert sich der Wert in allen Befehls-Shells, die Sie nach der Ausführung des Befehls erstellen. Befehls-Shells, die zum Zeitpunkt der Befehlsausführung bereits ausgeführt werden, sind nicht betroffen. Schließen Sie die Befehls-Shell und starten Sie sie neu, um die Auswirkungen der Änderung zu sehen.

Durch die Festlegung der Umgebungsvariablen wird das Standardprofil bis zum Ende der Shell-Sitzung geändert oder bis Sie einen anderen Wert für die Variable bestimmen. Sie können Umgebungsvariablen für zukünftige Sitzungen persistent machen, indem Sie sie in das Startup-Skript Ihrer Shell stellen. Weitere Informationen finden Sie unter Umgebungsvariablen zur Konfiguration der AWS CLI.

Festlegen und Anzeigen von Konfigurationseinstellungen mithilfe von Befehlen

Es gibt mehrere Möglichkeiten, Ihre Konfigurationseinstellungen mithilfe von Befehlen anzuzeigen und festzulegen.

aws configure

Führen Sie diesen Befehl aus, um Ihre -Anmeldeinformationen, Ihre Region und das Ausgabeformat schnell festzulegen und anzuzeigen. Das folgende Beispiel zeigt Beispielwerte.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

aws configure set

Sie können alle Anmeldeinformationen oder Konfigurationseinstellungen mit aws configure set festlegen. Geben Sie das Profil an, das Sie mit der --profile-Einstellung anzeigen oder ändern möchten.

Mit dem folgenden Befehl beispielsweise wird die region in dem Profil mit dem Namen integ festgelegt.

$ aws configure set region us-west-2 --profile integ

Um eine Einstellung zu entfernen, verwenden Sie eine leere Zeichenfolge als Wert oder löschen Sie die Einstellung in den config- und credentials-Dateien manuell in einem Texteditor.

$ aws configure set cli_pager "" --profile integ

aws configure get

Sie können alle Anmeldeinformationen oder Konfigurationseinstellungen abrufen, die Sie mit aws configure get festgelegt haben. Geben Sie das Profil an, das Sie mit der --profile-Einstellung anzeigen oder ändern möchten.

Beispielsweise wird mit dem folgenden Befehl dieregion-Einstellung in dem Profil mit dem Namen integ abgerufen.

$ aws configure get region --profile integ
us-west-2

Wenn die Ausgabe leer ist, ist die Einstellung nicht explizit festgelegt und es wird der Standardwert verwendet.

aws configure import

Importieren Sie CSV-Anmeldeinformationen, die von der IAM-Webkonsole generiert wurden. Dies gilt nicht für Anmeldeinformationen, die von IAM Identity Center generiert wurden. Kunden, die IAM Identity Center verwenden, sollten „aws configure sso“ verwenden. Eine CSV-Datei wird importiert, wobei der Profilname mit dem Benutzernamen übereinstimmt. Die CSV-Datei muss die folgenden Header enthalten.

• Benutzername

• Zugriffsschlüssel-ID

• Geheimer Zugriffsschlüssel

Anmerkung

Während der ersten Erstellung des Schlüsselpaares können Sie nach dem Schließen des Dialogfelds Download .csv file (CSV-Datei herunterladen) nicht mehr auf Ihren geheimen Zugriffsschlüssel zugreifen. Wenn Sie eine .csv-Datei benötigen, müssen Sie selbst eine mit den erforderlichen Headern und Ihren gespeicherten Schlüsselpaarinformationen erstellen. Wenn Sie keinen Zugriff auf Ihre Schlüsselpaar-Informationen haben, müssen Sie ein neues Schlüsselpaar erstellen.

$ aws configure import --csv file://credentials.csv

aws configure list

Um Konfigurationsdaten aufzulisten, verwenden Sie den Befehl aws configure list. Dieser Befehl listet das Profil, den Zugriffsschlüssel, den geheimen Schlüssel und die Regionskonfigurationsinformationen auf, die für das angegebene Profil verwendet werden. Für jedes Konfigurationselement werden der Wert, der Ort, an dem der Konfigurationswert abgerufen wurde, und der Name der Konfigurationsvariablen angezeigt.

Wenn Sie beispielsweise die AWS-Region in einer Umgebungsvariablen angeben, zeigt Ihnen dieser Befehl den Namen der von Ihnen konfigurierten Region, dass dieser Wert aus einer Umgebungsvariablen stammt, und den Namen der Umgebungsvariablen an.

Bei Methoden mit temporären Anmeldeinformationen wie Rollen und IAM Identity Center zeigt dieser Befehl den temporär zwischengespeicherten Zugriffsschlüssel an, und der geheime Zugriffsschlüssel wird angezeigt.

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

aws configure list-profiles

Um alle Profilnamen aufzulisten, verwenden Sie den Befehl aws configure list-profiles.

$ aws configure list-profiles
default
test

aws configure sso

Führen Sie diesen Befehl aus, um Ihre AWS IAM Identity Center Anmeldeinformationen, Ihre Region und Ihr Ausgabeformat schnell festzulegen und anzuzeigen. Das folgende Beispiel zeigt Beispielwerte.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

aws configure sso-session

Führen Sie diesen Befehl aus, um Ihre AWS IAM Identity Center Anmeldeinformationen, Ihre Region und Ihr Ausgabeformat im Abschnitt sso-session der config Dateien und schnell festzulegen credentials und anzuzeigen. Das folgende Beispiel zeigt Beispielwerte.

$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

Befehlsbeispiele für das Festlegen neuer Konfigurationen und Anmeldeinformationen

Die folgenden Beispiele zeigen die Konfiguration eines Standardprofils mit Anmeldeinformationen, Region und Ausgabe, die für verschiedene Authentifizierungsmethoden angegeben sind.

IAM Identity Center (SSO)

Dieses Beispiel bezieht sich auf die AWS IAM Identity Center Verwendung des aws configure sso Assistenten. Weitere Informationen finden Sie unter Konfigurieren Sie den AWS CLI für die Verwendung der Anmeldeinformationen des IAM Identity Center-Token-Anbieters mit automatischer Authentifizierungsaktualisierung.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

Attempting to automatically open the SSO authorization page in your default browser.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1

IAM Identity Center (Legacy SSO)

Dieses Beispiel bezieht sich auf die Legacy-Methode der AWS IAM Identity Center Verwendung des aws configure sso Assistenten. Wenn Sie das Legacy-SSO verwenden möchten, lassen Sie den Sitzungsnamen leer. Weitere Informationen finden Sie unter Nicht aktualisierbare Legacy-Konfiguration für AWS IAM Identity Center.

$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1

Short-term credentials

Dieses Beispiel gilt für die kurzfristigen Anmeldeinformationen von AWS Identity and Access Management. Der AWS-Konfigurationsassistent wird verwendet, um die Anfangswerte festzulegen. Anschließend weist der Befehl aws configure set den letzten benötigten Wert zu. Weitere Informationen finden Sie unter Authentifizieren mit kurzfristigen Anmeldeinformationen.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

IAM role

Dieses Beispiel bezieht sich auf die Übernahme einer IAM-Rolle. Profile, die IAM-Rollen verwenden, rufen Anmeldeinformationen aus einem anderen Profil ab und wenden dann IAM-Rollenberechtigungen an. In den folgenden Beispielen ist default das Quellprofil für Anmeldeinformationen und user1 leiht sich diese Anmeldeinformationen aus und übernimmt anschließend eine neue Rolle. Für diesen Vorgang gibt es keinen Assistenten. Daher wird jeder Wert mit dem Befehl aws configure set festgelegt. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle in der AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json

Amazon EC2 instance metadata credentials

Dieses Beispiel bezieht sich auf die Anmeldeinformationen, die aus den Metadaten der Amazon-EC2-Hosting-Instance abgerufen wurden. Für diesen Vorgang gibt es keinen Assistenten. Daher wird jeder Wert mit dem Befehl aws configure set festgelegt. Weitere Informationen finden Sie unter Verwenden von Anmeldeinformationen für Amazon-EC2-Instance-Metadaten.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json

Long-term credentials

Warnung

Um Sicherheitsrisiken zu vermeiden, sollten Sie IAM-Benutzer nicht zur Authentifizierung verwenden, wenn Sie speziell entwickelte Software entwickeln oder mit echten Daten arbeiten. Verwenden Sie stattdessen den Verbund mit einem Identitätsanbieter wie AWS IAM Identity Center.

Dieses Beispiel bezieht sich auf die langfristigen Anmeldeinformationen von AWS Identity and Access Management. Weitere Informationen finden Sie unter Authentifizieren mit IAM-Benutzeranmeldeinformationen.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Unterstützte Einstellungen in der config-Datei

Themen

• Globale Einstellungen
• Einstellungen für benutzerdefinierte S3-Befehle

Die folgenden Einstellungen werden in der config-Datei unterstützt. Es werden die Werte in dem angegebenen Profil (oder dem Standardprofil) verwendet, es sei denn, sie werden durch eine gleichnamige Umgebungsvariable oder eine gleichnamige Befehlszeilenoption überschrieben. Weitere Informationen darüber, welche Rangfolgeeinstellungen Vorrang haben, finden Sie unter Konfigurieren Sie den AWS CLI

Globale Einstellungen

aws_access_key_id

Gibt den AWS Zugriffsschlüssel an, der als Teil der Anmeldeinformationen zur Authentifizierung der Befehlsanforderung verwendet wird. Zwar kann dieses in der config-Datei gespeichert werden, wir empfehlen Ihnen jedoch, es in der credentials-Datei zu speichern.

Kann von der Umgebungsvariablen AWS_ACCESS_KEY_ID überschrieben werden. Es ist nicht möglich, die Zugriffsschlüssel-ID als Befehlszeilenoption anzugeben.

aws_access_key_id = AKIAIOSFODNN7EXAMPLE

aws_secret_access_key

Gibt den AWS geheimen Schlüssel an, der als Teil der Anmeldeinformationen zur Authentifizierung der Befehlsanforderung verwendet wird. Zwar kann dieses in der config-Datei gespeichert werden, wir empfehlen Ihnen jedoch, es in der credentials-Datei zu speichern.

Kann von der Umgebungsvariablen AWS_SECRET_ACCESS_KEY überschrieben werden. Es ist nicht möglich, den geheimen Zugriffsschlüssel als Befehlszeilenoption anzugeben.

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

aws_session_token

Gibt ein - AWS Sitzungstoken an. Ein Sitzungs-Token ist nur erforderlich, wenn Sie manuell temporäre Anmeldeinformationen angeben. Zwar kann dieses in der config-Datei gespeichert werden, wir empfehlen Ihnen jedoch, es in der credentials-Datei zu speichern.

Kann von der Umgebungsvariablen AWS_SESSION_TOKEN überschrieben werden. Es ist nicht möglich, das Sitzungs-Token als Befehlszeilenoption anzugeben.

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

ca_bundle

Gibt eine CA-Zertifikat-Bundle (eine Datei mit der Erweiterung .pem) an, die zur Überprüfung von SSL-Zertifikaten verwendet wird.

Kann von der Umgebungsvariablen AWS_CA_BUNDLE oder mit der Befehlszeilenoption --ca-bundle überschrieben werden.

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem

cli_auto_prompt

Aktiviert die automatische Eingabeaufforderung für die AWS CLI Version 2. Es gibt zwei Einstellungen, die verwendet werden können:

• on verwendet den vollständigen automatischen Prompt-Modus jedes Mal, wenn Sie versuchen, einen aws-Befehl auszuführen. Dazu gehört das Drücken der EINGABETASTE sowohl nach einem vollständigen Befehl als auch nach einem unvollständigen Befehl.

  cli_auto_prompt = on

• on-partial verwendet den partiellen automatischen Prompt-Modus. Wenn ein Befehl unvollständig ist oder aufgrund clientseitiger Validierungsfehler nicht ausgeführt werden kann, wird die automatische Eingabeaufforderung verwendet. Dieser Modus ist besonders nützlich, wenn Sie über bereits vorhandene Skripts oder Runbooks verfügen oder nur für Befehle, mit denen Sie nicht vertraut sind, automatisch aufgefordert werden möchten, anstatt bei jedem Befehl gefragt zu werden.

  cli_auto_prompt = on-partial

Sie können diese aws_cli_auto_prompt-Umgebungsvariable mithilfe des --cli-auto-prompt- und --no-cli-auto-prompt-Befehlszeilenparameters überschreiben.

Informationen zur automatischen Eingabeaufforderungsfunktion der AWS CLI Version 2 finden Sie unter Aufforderung der AWS CLI zur Eingabe von Befehlen.

cli_binary_format

Gibt an, wie die AWS CLI Version 2 binäre Eingabeparameter interpretiert. Dabei kann es sich um einen der folgenden Werte handeln:

• base64 – Dies ist der Standardwert. Ein Eingabeparameter, der als BLOB (Binary Large Object) eingegeben wird, akzeptiert eine base64-kodierte Zeichenfolge. Um echten binären Inhalt zu übergeben, legen Sie den Inhalt in eine Datei und geben den Pfad und den Namen der Datei mit dem Präfix fileb:// als Wert des Parameters an. Um in einer Datei enthaltenen base64-kodierten Text zu übergeben, geben Sie den Pfad und den Namen der Datei mit dem Präfix file:// als Wert des Parameters an.

• raw-in-base64-out – Standard für die AWS CLI Version 1. Wenn der Wert der Einstellung raw-in-base64-out lautet, werden Dateien, auf die mit dem Präfix file:// verwiesen wird, als Text gelesen und dann versucht die AWS CLI , sie in Binärform zu codieren.

Dieser Eintrag verfügt über keine entsprechende Umgebungsvariable. Sie können den Wert in einem einzelnen Befehl mit dem Parameter --cli-binary-format raw-in-base64-out angeben.

cli_binary_format = raw-in-base64-out

Wenn Sie in einer Datei mit der fileb:// Präfixnotation auf einen Binärwert verweisen, erwartet der AWS CLI immer, dass die Datei unformatierten Binärinhalt enthält, und versucht nicht, den Wert zu konvertieren.

Wenn Sie in einer Datei mit der file:// Präfixnotation auf einen Binärwert verweisen, AWS CLI verarbeitet die die Datei gemäß der aktuellen cli_binary_format Einstellung. Wenn der Wert dieser Einstellung ist base64 (die Standardeinstellung, wenn nicht explizit festgelegt), AWS CLI erwartet die , dass die Datei base64-kodierten Text enthält. Wenn der Wert dieser Einstellung istraw-in-base64-out, AWS CLI erwartet die , dass die Datei unformatierten Binärinhalt enthält.

cli_history

Standardmäßig deaktiviert. Diese Einstellung aktiviert den Befehlsverlauf für die AWS CLI. Nachdem diese Einstellung aktiviert wurde, AWS CLI zeichnet die den Verlauf der aws Befehle auf.

cli_history = enabled

Sie können Ihren Verlauf mit dem Befehl aws history list auflisten und die resultierenden command_ids im Befehl aws history show verwenden, um Details abzurufen. Weitere Informationen finden Sie unter aws history im AWS CLI -Referenzhandbuch.

cli_pager

Gibt das für die Ausgabe verwendete Pager-Programm an. Standardmäßig gibt AWS CLI Version 2 alle Ausgaben über das Standard-Pager-Programm Ihres Betriebssystems zurück.

Kann durch die Umgebungsvariable AWS_PAGER außer Kraft gesetzt werden.

cli_pager=less

Um die gesamte Verwendung eines externen Auslagerungsprogramms zu deaktivieren, setzen Sie die Variable auf eine leere Zeichenfolge, wie im folgenden Beispiel gezeigt.

cli_pager=

cli_timestamp_format

Gibt das Format der in der Ausgabe enthaltenen Zeitstempelwerte an. Sie können einen der folgenden Werte angeben:

• iso8601 – Der Standardwert für die AWS CLI Version 2. Falls angegeben, formatiert die alle Zeitstempel gemäß ISO 8601 AWS CLI neu.

  Gemäß ISO 8601 formatierte Zeitstempel sehen wie die folgenden Beispiele aus. Das erste Beispiel zeigt die Zeit in der Zeitzone Coordinated Universal Time (UTC) an, indem nach der Zeit ein Z eingeschlossen wird. Datum und Uhrzeit werden durch ein T getrennt.

  2019-10-31T22:21:41Z

  Um eine andere Zeitzone anzugeben, geben Sie anstelle des Z ein + oder - und die Anzahl der Stunden, die die gewünschte Zeitzone vor oder hinter UTC liegt, als zweistelligen Wert an. Das folgende Beispiel zeigt die gleiche Zeit wie das vorherige Beispiel, aber angepasst an die Pacific Standard Time, die acht Stunden hinter der UTC-Zeit liegt.

  2019-10-31T14:21:41-08

• wire – Der Standardwert für die AWS CLI Version 1. Wenn angegeben, AWS CLI zeigt die alle Zeitstempelwerte genau so an, wie sie in der HTTP-Abfrageantwort empfangen wurden.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

cli_timestamp_format = iso8601

credential_process

Gibt einen externen Befehl an, den das AWS CLI ausführt, um Authentifizierungsanmeldeinformationen zu generieren oder abzurufen, die für diesen Befehl verwendet werden sollen. Der Befehl muss die Anmeldeinformationen in einem bestimmten Format zurückgeben. Weitere Informationen zur Verwendung dieser Einstellung finden Sie unter Beschaffung von Anmeldeinformationen über einen externen Prozess.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

credential_process = /opt/bin/awscreds-retriever --username susan

credential_source

Wird innerhalb von Amazon-EC2-Instances oder -Containern verwendet, um anzugeben, wo die AWS CLI Anmeldeinformationen für die Übernahme der Rolle finden kann, die Sie mit dem Parameter role_arn angegeben haben. Sie können source_profile und credential_source nicht im selben Profil angeben.

Dieser Parameter kann einen von drei Werten haben:

• Umgebung – Gibt an, dass der Quellanmeldeinformationen aus Umgebungsvariablen abrufen AWS CLI soll.

• Ec2InstanceMetadata – Gibt an, dass die die IAM-Rolle verwenden soll, die dem EC2-Instance-Profil zugeordnet AWS CLI ist, um Quellanmeldeinformationen abzurufen.

• EcsContainer – Gibt an, dass die die IAM-Rolle verwenden soll, die dem ECS-Container als Quellanmeldeinformationen zugeordnet AWS CLI ist.

credential_source = Ec2InstanceMetadata

duration_seconds

Gibt die maximale Dauer der Rollensitzung in Sekunden an. Der Wert kann zwischen 900 Sekunden (15 Minuten) und der maximalen Sitzungsdauer für die Rolle liegen maximal 43 200). Dieser Parameter ist optional. Standardmäßig ist der Wert auf 3 600 Sekunden festgelegt.

endpoint_url

Gibt den Endpunkt an, der für alle Serviceanforderungen verwendet wird. Wenn diese Einstellung im services-Abschnitt der config-Datei verwendet wird, wird der Endpunkt nur für den angegebenen Service genutzt.

Im folgenden Beispiel wird der globale Endpunkt http://localhost:1234 und ein servicespezifischer Endpunkt namens http://localhost:4567 für Amazon S3 verwendet.

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

Die Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS Konfigurationsdateien oder werden in der Befehlszeile explizit als Parameter deklariert. Die AWS CLI -Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

1. Die Befehlszeilenoption --endpoint-url

2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

8. Jede Standard-Endpunkt-URL für das jeweilige AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

ignore_configure_endpoint_urls

Wenn diese Option aktiviert ist, AWS CLI ignoriert die alle in der config Datei angegebenen benutzerdefinierten Endpunktkonfigurationen. Gültige Werte sind true und false.

ignore_configure_endpoint_urls = true

Die Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS Konfigurationsdateien oder werden in der Befehlszeile explizit als Parameter deklariert. Die AWS CLI -Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

1. Die Befehlszeilenoption --endpoint-url

2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

8. Jede Standard-Endpunkt-URL für das jeweilige AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

external_id

Gibt eine eindeutige Kennung an, die von Dritten verwendet wird, um eine Rolle in den Konten ihrer Kunden zu übernehmen. Dies entspricht dem Parameter ExternalId in der Operation AssumeRole. Dieser Parameter ist nur erforderlich, wenn die Vertrauensrichtlinie für die Rolle einen Wert für ExternalId angibt. Weitere Informationen finden Sie unter Verwenden einer externen ID, um Dritten Zugriff auf Ihre - AWS Ressourcen zu gewähren im IAM-Benutzerhandbuch.

max_attempts

Gibt den Wert der maximalen Wiederholungsversuche an, die der AWS CLI Wiederholungshandler verwendet, wobei der erste Aufruf auf den von Ihnen angegebenen max_attempts Wert angerechnet wird.

Sie können diesen Wert überschreiben, indem Sie die Umgebungsvariable AWS_MAX_ATTEMPTS verwenden.

max_attempts = 3

mfa_serial

Die ID eines MFA-Geräts, das verwendet werden soll, wenn eine Rolle übernommen wird. Diese ist nur erforderlich, wenn die Vertrauensrichtlinie der übernommenen Rolle eine Bedingung enthält, für die eine MFA-Authentifizierung erforderlich ist. Der Wert kann entweder eine Seriennummer für ein Hardwaregerät (z. B. GAHT12345678) oder ein Amazon-Ressourcenname (ARN) für ein virtuelles MFA-Gerät (z. B. arn:aws:iam::123456789012:mfa/user) sein.

output

Gibt das Standardausgabeformat für Befehle an, die mit diesem Profil angefordert wurden. Sie können alle folgenden Werte angeben:

• json – Die Ausgabe erfolgt im JSON-Format.

• yaml –Die Ausgabe erfolgt im YAML-Format.

• yaml-stream – Die Ausgabe erfolgt im YAML-Format und wird so auch gestreamt. Streaming ermöglicht eine schnellere Handhabung großer Datentypen.

• text – Die Ausgabe wird als mehrere Zeilen mit tabulatorgetrennten Zeichenfolgenwerten formatiert. Dies kann nützlich sein, um die Ausgabe an einen Textprozessor wie grep, sed oder awk zu übergeben.

• table – Die Ausgabe erfolgt in Form einer Tabelle mit den Zeichen +|-, um die Zellenrahmen zu bilden. Normalerweise wird die Information in einem benutzerfreundlichen Format wiedergegeben, das viel einfacher zu lesen ist als die anderen, jedoch programmatisch nicht so nützlich ist.

Kann von der Umgebungsvariablen AWS_DEFAULT_OUTPUT oder mit der Befehlszeilenoption --output überschrieben werden.

output = table

parameter_validation

Gibt an, ob der AWS CLI Client versucht, Parameter zu validieren, bevor er sie an den AWS Service-Endpunkt sendet.

• true (wahr) – Dies ist der Standardwert. Falls angegeben, AWS CLI führt die lokale Validierung der Befehlszeilenparameter durch.

• false – Wenn angegeben, validiert die AWS CLI die Befehlszeilenparameter nicht, bevor sie an den AWS Service-Endpunkt gesendet werden.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

parameter_validation = false

region

Gibt die an AWS-Region , an die Anforderungen für Befehle gesendet werden sollen, die mit diesem Profil angefordert werden.

• Sie können einen der für den ausgewählten Service verfügbaren Regionscodes angeben, die unter AWS -Regionen und -Endpunkte in der Allgemeine Amazon Web Services-Referenz aufgeführt sind.

• aws_global Mit können Sie den globalen Endpunkt für Services angeben, die zusätzlich zu regionalen Endpunkten einen globalen Endpunkt unterstützen, z. B. AWS Security Token Service (AWS STS) und Amazon Simple Storage Service (Amazon S3).

Sie können diesen Wert überschreiben, indem Sie die AWS_REGION-Umgebungsvariable, die AWS_DEFAULT_REGION-Umgebungsvariable oder die Befehlszeilenoption --region verwenden.

region = us-west-2

retry_mode

Gibt an, welchen Wiederholungsmodus AWS CLI verwendet. Es stehen drei Wiederholungsmodi zur Verfügung: Legacy (Standard), Standard und Adaptiv. Weitere Informationen zu Wiederholversuchen finden Sie unter AWS CLI-Wiederholungen.

Sie können diesen Wert überschreiben, indem Sie die Umgebungsvariable AWS_RETRY_MODE verwenden.

retry_mode = standard

role_arn

Gibt den Amazon-Ressourcennamen (ARN) einer IAM-Rolle an, die Sie zum Ausführen der AWS CLI Befehle verwenden möchten. Sie müssen auch einen der folgenden Parameter angeben, um die Anmeldeinformationen zu identifizieren, die berechtigt sind, diese Rolle zu übernehmen:

• source_profile

• credential_source

role_arn = arn:aws:iam::123456789012:role/role-name

Diese Umgebungsvariable überschreibt die AWS_ROLE_ARN-Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

role_session_name

Gibt den Namen an, der der Rollensitzung zugeordnet werden soll. Dieser Wert wird dem Parameter RoleSessionName bereitgestellt, wenn die AWS CLI die Operation AssumeRole aufruft, und wird Teil des Benutzer-ARN der übernommenen Rolle: arn:aws:sts::123456789012:assumed-role/role_name/role_session_name Dieser Parameter ist optional. Wenn Sie diesen Wert nicht angeben, wird automatisch ein Sitzungsname generiert. Dieser Name wird in den AWS CloudTrail -Protokollen für Einträge angezeigt, die dieser Sitzung zugeordnet sind.

role_session_name = maria_garcia_role

Die Umgebungsvariable AWS_ROLE_SESSION_NAME überschreibt diese Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

services

Gibt die Servicekonfiguration an, die für Ihr Profil verwendet werden soll.

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

Weitere Informationen zum Abschnitt services finden Sie unter Abschnittstyp: services.

Die Umgebungsvariable AWS_ROLE_SESSION_NAME überschreibt diese Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

source_profile

Gibt ein benanntes Profil mit langfristigen Anmeldeinformationen an, die die AWS CLI verwenden kann, um eine Rolle zu übernehmen, die Sie mit dem Parameter role_arn angegeben haben. Sie können source_profile und credential_source nicht im selben Profil angeben.

source_profile = production-profile

sso_account_id

Gibt die AWS Konto-ID an, die die IAM-Rolle mit der Berechtigung enthält, die Sie dem zugeordneten IAM-Identity-Center-Benutzer erteilen möchten.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_account_id = 123456789012

sso_region

Gibt die AWS Region an, die den AWS Zugriffsportal-Host enthält. Diese ist getrennt vom region-Standard-CLI-Parameter und kann eine andere Region sein.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_region = us_west-2

sso_registration_scopes

Eine durch Kommas getrennte Liste der für die sso-session zu autorisierenden Bereiche. Bereiche autorisieren den Zugriff auf über IAM-Identity-Center-Bearer-Token autorisierte Endpunkte. Ein gültiger Bereich ist eine Zeichenfolge, beispielsweise sso:account:access. Diese Einstellung gilt nicht für die nicht aktualisierbare Legacy-Konfiguration.

sso_registration_scopes = sso:account:access

sso_role_name

Gibt den Anzeigenamen der IAM-Rolle an, die die Berechtigungen des Benutzers bei der Verwendung dieses Profils definiert.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_role_name = ReadAccess

sso_start_url

Gibt die URL an, die auf das AWS Zugriffsportal der Organisation verweist. Die AWS CLI verwendet diese URL, um eine Sitzung mit dem IAM-Identity-Center-Service einzurichten, um ihre Benutzer zu authentifizieren. Verwenden Sie eine der folgenden Optionen, um Ihre - AWS Zugriffsportal-URL zu finden:

• Öffnen Sie Ihre Einladungs-E-Mail, die URL des - AWS Zugriffsportals wird aufgelistet.

• Öffnen Sie die - AWS IAM Identity Center Konsole unter https://console.aws.amazon.com/singlesignon/. Die URL des AWS Zugriffsportals ist in Ihren Einstellungen aufgeführt.

Diese Einstellung verfügt nicht über eine Umgebungsvariable oder eine Befehlszeilenoption.

sso_start_url = https://my-sso-portal.awsapps.com/start

use_dualstack_endpoint

Ermöglicht die Verwendung von Dual-Stack-Endpunkten zum Senden von AWS Anfragen. Weitere Informationen zu Dual-Stack-Endpunkten, die sowohl IPv4- als auch IPv6-Datenverkehr unterstützen, finden Sie unter Verwenden von Amazon-S3-Dual-Stack-Endpunkten im Benutzerhandbuch für Amazon Simple Storage Service. Dual-Stack-Endpunkte sind für einige Services in einigen Regionen verfügbar. Wenn für den Service oder kein Dual-Stack-Endpunkt vorhanden ist AWS-Region, schlägt die Anforderung fehl. Diese ist standardmäßig deaktiviert.

Diese Einstellung und die Einstellung use_accelerate_endpoint schließen sich gegenseitig aus.

Die Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS Konfigurationsdateien oder werden in der Befehlszeile explizit als Parameter deklariert. Die AWS CLI -Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

1. Die Befehlszeilenoption --endpoint-url

2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

8. Jede Standard-Endpunkt-URL für das jeweilige AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

use_fips_endpoint

Einige - AWS Services bieten Endpunkte, die in einigen den Federal Information Processing Standard (FIPS) 140-2 unterstützen AWS-Regionen. Wenn der AWS Service FIPS unterstützt, gibt diese Einstellung an, welchen FIPS-Endpunkt die verwenden AWS CLI soll. Im Gegensatz zu AWS Standardendpunkten verwenden FIPS-Endpunkte eine TLS-Softwarebibliothek, die FIPS 140-2 entspricht. Diese Endpunkte können von Unternehmen erfordert werden, die mit der US-Regierung interagieren.

Wenn diese Einstellung aktiviert ist, aber kein FIPS-Endpunkt für den Service in Ihrem vorhanden ist AWS-Region, schlägt der AWS Befehl möglicherweise fehl. Geben Sie in diesem Fall mithilfe der --endpoint-url-Option manuell den Endpunkt an, der im Befehl verwendet werden soll, oder verwenden Sie servicespezifische Endpunkte.

Weitere Informationen zur Angabe von FIPS-Endpunkten durch AWS-Region finden Sie unter FIPS-Endpunkte nach Service.

Die Endpunktkonfigurationseinstellungen befinden sich an mehreren Stellen, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS Konfigurationsdateien oder werden in der Befehlszeile explizit als Parameter deklariert. Die AWS CLI -Endpunktkonfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

1. Die Befehlszeilenoption --endpoint-url

2. Bei aktivierter Option die globale Endpunkt-Umgebungsvariable AWS_IGNORE_CONFIGURED_ENDPOINT_URLS oder die Profileinstellung ignore_configure_endpoint_urls zum Ignorieren von benutzerdefinierten Endpunkten

3. Der Wert, der von einer servicespezifischen Umgebungsvariablen AWS_ENDPOINT_URL_<SERVICE> bereitgestellt wird, z. B. AWS_ENDPOINT_URL_DYNAMODB

4. Die von den AWS_USE_DUALSTACK_ENDPOINT-, AWS_USE_FIPS_ENDPOINT- und AWS_ENDPOINT_URL-Umgebungsvariablen bereitgestellten Werte.

5. Der servicespezifische Endpunktwert, der durch die Einstellung endpoint_url in einem services-Abschnitt der freigegebenen config-Datei bereitgestellt wird

6. Der Wert, der durch die Einstellung endpoint_url in einem profile der freigegebenen config-Datei bereitgestellt wird

7. use_dualstack_endpoint-, use_fips_endpoint- und endpoint_url-Einstellungen.

8. Jede Standard-Endpunkt-URL für das jeweilige AWS-Service wird zuletzt verwendet. Eine Liste der Standard-Service-Endpunkte, die in den einzelnen Regionen verfügbar sind, finden Sie unter AWS -Regionen und -Endpunkte im Allgemeine Amazon Web Services-Referenz.

web_identity_token_file

Gibt den Pfad zu einer Datei an, die ein OAuth 2.0-Zugriffstoken oder OpenID Connect ID-Token enthält, das von einem Identitätsanbieter bereitgestellt wird. Die AWS CLI lädt den Inhalt dieser Datei und übergibt ihn als WebIdentityToken-Argument an die Operation AssumeRoleWithWebIdentity.

Diese Umgebungsvariable überschreibt die AWS_WEB_IDENTITY_TOKEN_FILE-Einstellung.

Weitere Informationen zur Verwendung von Webidentitäten finden Sie unter Übernehmen einer Rolle mit Web-Identität.

tcp_keepalive

Gibt an, ob der AWS CLI Client TCP-Keepalive-Pakete verwendet.

Zu diesem Eintrag gibt es keine entsprechende Umgebungsvariable oder Befehlszeilenoption.

tcp_keepalive = false

Einstellungen für benutzerdefinierte S3-Befehle

Amazon S3 unterstützt mehrere Einstellungen, die konfigurieren, wie AmazonAmazon S3Operationen AWS CLI von ausgeführt werden. Einige gelten für alle S3-Befehle in den s3-Namespaces und den s3api-Namespaces. Andere beziehen sich speziell auf die „benutzerdefinierten“ S3-Befehle, die allgemeine Operationen abstrahieren und mehr als eine one-to-one Zuordnung zu einer API-Operation ausführen. Für die aws s3-Übertragungsbefehle cp, sync, mv und rm gibt es zusätzliche Einstellungen, die Sie zur Steuerung von S3-Übertragungen verwenden können.

Alle diese Optionen können durch Angabe der verschachtelten Einstellung s3 in Ihrer config-Datei konfiguriert werden. Jede Einstellung wird dann in einer eigenen Zeile eingerückt.

Anmerkung

Diese Einstellungen sind völlig optional. Die aws s3-Übertragungsbefehle müssten auch ohne Konfiguration dieser Einstellungen erfolgreich ausgeführt werden können. Die Einstellungen werden bereitgestellt, damit Sie die Leistung verbessern oder die besondere Umgebung berücksichtigen können, in der Sie diese aws s3-Befehle ausführen.

Diese Einstellungen werden alle unter einem s3-Schlüssel der obersten Ebene in der config-Datei festgelegt, wie im folgenden Beispiel für das development-Profil dargestellt.

[profile development]
s3 =
  max_concurrent_requests = 20
  max_queue_size = 10000
  multipart_threshold = 64MB
  multipart_chunksize = 16MB
  max_bandwidth = 50MB/s
  use_accelerate_endpoint = true
  addressing_style = path

Die folgenden Einstellungen gelten für alle S3-Befehle in den s3- oder s3api-Namespaces.

addressing_style

Gibt an, welcher Adressierungsstil verwendet werden soll. Dieser Wert steuert, ob der Bucketname im Hostnamen enthalten oder Teil der URL ist. Gültige Werte sind: path, virtual und auto. Der Standardwert ist auto.

Es gibt zwei Möglichkeiten, einen Amazon-S3-Endpunkt zu erstellen. Die erste wird als virtual bezeichnet und beinhaltet den Bucket-Namen als Teil des Hostnamens. Zum Beispiel: https://bucketname.s3.amazonaws.com. Alternativ können Sie mit dem path-Stil den Bucket-Namen wie einen Pfad im URI behandeln. Beispiel: https://s3.amazonaws.com/bucketname. Standardmäßig wird in der CLI auto verwendet. Dabei wird versucht, möglichst den virtual-Stil zu verwenden, gegebenenfalls wird jedoch auf den path-Stil zurückgegriffen. Wenn Ihr Bucket-Name beispielsweise nicht DNS-kompatibel ist, kann er nicht Teil des Hostnamens sein und muss im Pfad enthalten sein. Bei Verwendung von auto erkennt die CLI diese Bedingung und schaltet automatisch zum path-Stil um. Wenn Sie den Adressierungsstil auf festlegenpath, müssen Sie sicherstellen, dass die AWS Region, die AWS CLI Sie im konfiguriert haben, mit der Region Ihres Buckets übereinstimmt.

payload_signing_enabled

Gibt an, ob eine SHA256-Signatur für sigv4-Nutzlasten erfolgen soll. Standardmäßig ist diese Einstellung bei Verwendung von HTTPS für Streaming-Uploads (UploadPart und PutObject) deaktiviert. Standardmäßig ist die Einstellung für Streaming-Uploads (UploadPart und PutObject) auf false gesetzt, allerdings nur, wenn ContentMD5 vorhanden ist (wird standardmäßig generiert) und der Endpunkt HTTPS verwendet.

Wenn die Einstellung auf „true” gesetzt wird, erhalten S3-Anforderungen eine zusätzliche Inhaltsvalidierung in Form einer SHA256-Prüfsumme, die berechnet und in die Anforderungssignatur aufgenommen wird. Wenn „false” festgelegt ist, wird die Prüfsumme nicht berechnet. Eine Deaktivierung dieser Einstellung kann nützlich sein, um den durch die Prüfsummenberechnung entstandenen Leistungsaufwand zu reduzieren.

use_accelerate_endpoint

Verwendet den Amazon-S3-Accelerate-Endpunkt für alle s3- und s3api-Befehle. Der Standardwert ist "false". Diese Einstellung und die Einstellung use_dualstack_endpoint schließen sich gegenseitig aus.

Wenn auf „true“ gesetzt, AWS CLI leitet die alle Amazon S3-Anforderungen an den S3 Accelerate Endpunkt unter weiters3-accelerate.amazonaws.com. Um diesen Endpunkt zu verwenden, müssen Sie Ihrem Bucket die Verwendung von S3 Accelerate ermöglichen. Alle Anforderungen werden unter Verwendung der virtuellen Bucket-Adressierungsform my-bucket.s3-accelerate.amazonaws.com gesendet. ListBuckets-, CreateBucket- und DeleteBucket -Anfragen werden nicht an den S3-Accelerate-Endpunkt gesendet, da dieser Endpunkt diese Operationen nicht unterstützt. Dieses Verhalten kann auch festgelegt werden, wenn der Parameter --endpoint-url für einen s3- oder s3api-Befehl auf https://s3-accelerate.amazonaws.com oder http://s3-accelerate.amazonaws.com gesetzt ist.

Die folgenden Einstellungen gelten nur für Befehle im Befehlssatz für den s3-Namespace.

max_bandwidth

Gibt die maximale Bandbreite an, die zum Hoch- und Herunterladen von Daten in und aus Amazon S3 verbraucht werden kann. Standardmäßig ist kein Grenzwert festgelegt.

Diese Einstellung begrenzt die maximale Bandbreite, die S3-Befehle zur Übertragung von Daten an und aus Amazon S3 nutzen können. Der Wert gilt nur für Uploads und Downloads, nicht für Kopien oder Löschvorgänge. Der Wert wird in Bytes pro Sekunde ausgedrückt. Der Wert kann wie folgt angegeben werden:

• Als ganze Zahl. Bei Angabe von 1048576 wird für die maximale Bandbreitennutzung beispielsweise 1 Megabyte pro Sekunde festgelegt.

• Als ganze Zahl, gefolgt von einem Suffix für die Rate. Sie können Suffixe unter Verwendung von KB/s, MB/s oder GB/s angeben. Zum Beispiel 300KB/s, 10MB/s.

Im Allgemeinen empfehlen wir, zunächst durch Verringerung des Werts für max_concurrent_requests eine niedrigere Bandbreitennutzung anzugeben. Wenn der Bandbreitenverbrauch dadurch nicht angemessen auf die gewünschte Rate begrenzt werden kann, können Sie die Einstellung max_bandwidth verwenden, um den Bandbreitenverbrauch weiter zu begrenzen. Dies liegt daran, dass max_concurrent_requests steuert, wie viele Threads zurzeit ausgeführt werden. Wenn Sie stattdessen zuerst max_bandwidth senken, es aber bei einer hohen max_concurrent_requests-Einstellung belassen, kann dies dazu führen, dass Threads unnötig warten müssen. Dies kann zu einem übermäßigen Ressourcenverbrauch und Verbindungszeitüberschreitungen führen.

max_concurrent_requests

Gibt die maximale Anzahl gleichzeitiger Anforderungen an. Der Standardwert lautet 10.

Die aws s3-Übertragungsbefehle sind Multithread-Befehle. Zu jedem Zeitpunkt können mehrere Amazon-S3-Anforderungen ausgeführt werden. Wenn Sie beispielsweise den Befehl verwenden, aws s3 cp localdir s3://bucket/ --recursive um Dateien in einen S3-Bucket hochzuladen, AWS CLI kann die die Dateien localdir/file1, localdir/file2und localdir/file3 parallel hochladen. Die Einstellung max_concurrent_requests gibt die maximale Anzahl von Übertragungsoperationen an, die gleichzeitig ausgeführt werden können.

Unter Umständen müssen Sie diesen Wert aus einem der folgenden Gründe ändern:

• Verringerung dieses Werts – in einigen Umgebungen kann der Standardwert von 10 gleichzeitigen Anforderungen zu einer Überlastung des Systems führen. Die Folge können Zeitüberschreitungen bei der Verbindung oder eine herabgesetzte Reaktionsfähigkeit des Systems sein. Wenn Sie diesen Wert senken, sind die S3-Übertragungsbefehle weniger ressourcenintensiv. Der Nachteil ist jedoch, dass S3-Übertragungen länger dauern können. Eine Senkung dieses Wertes könnte erforderlich sein, wenn Sie ein Tool zur Begrenzung der Bandbreite verwenden.

• Erhöhung dieses Werts – in einigen Fällen kann es sinnvoll sein, die Amazon-S3-Übertragungen so schnell wie möglich durchzuführen und dabei so viel Netzwerkbandbreite wie nötig zu beanspruchen. In einem solchen Fall reicht die standardmäßige Anzahl gleichzeitiger Anforderungen möglicherweise nicht aus, um die gesamte verfügbare Netzwerkbandbreite zu nutzen. Eine Erhöhung dieses Werts kann dazu führen, dass sich die Zeit für die Durchführung einer Amazon-S3-Übertragung verkürzt.

max_queue_size

Gibt die maximale Anzahl von Aufgaben in der Aufgabenwarteschlange an. Der Standardwert lautet 1000.

Die verwendet AWS CLI intern ein Modell, bei dem Amazon S3-Aufgaben in die Warteschlange gestellt werden, die dann von Konsumenten ausgeführt werden, deren Nummern durch begrenzt sindmax_concurrent_requests. Eine Aufgabe entspricht im Allgemeinen einer einzelnen Amazon-S3-Operation. Eine mögliche Aufgabe könnte beispielsweise PutObjectTask, GetObjectTask oder UploadPartTask sein. Die Aufgaben können der Warteschlange viel schneller hinzugefügt werden, als die Konsumenten die Aufgaben abschließen. Um ein unbegrenztes Wachstum zu vermeiden, ist die Größe der Aufgabenwarteschlange begrenzt. Diese Einstellung ändert den Wert dieser maximalen Anzahl.

Im Allgemeinen müssen Sie diese Einstellung nicht ändern. Diese Einstellung entspricht auch der Anzahl der Aufgaben, von denen die AWS CLI weiß, dass sie ausgeführt werden müssen. Das bedeutet, dass die standardmäßig nur 1000 Aufgaben im Voraus sehen AWS CLI kann. Eine Erhöhung dieses Werts bedeutet, dass die die Gesamtzahl der benötigten Aufgaben schneller erkennen AWS CLI kann, vorausgesetzt, die Warteschlangenrate ist schneller als die Rate der Aufgabenvervollständigung. Der Nachteil besteht darin, dass für eine größere maximale Warteschlangengröße mehr Speicher benötigt wird.

multipart_chunksize

Gibt die Blockgröße an, die die für mehrteilige Übertragungen einzelner Dateien AWS CLI verwendet. Der Standardwert ist 8 MB und mindestens 5 MB.

Wenn eine Datei den multipart_threshold-Wert überschreitet, teilt die AWS CLI die Datei in Blöcke dieser Größe. Dieser Wert kann mit derselben Syntax wie multipart_threshold angegeben werden, also entweder als ganzzahlige Bytezahl oder unter Verwendung einer Größe und eines Suffixes.

multipart_threshold

Gibt den Größenschwellenwert an, den die für mehrteilige Übertragungen einzelner Dateien AWS CLI verwendet. Der Standardwert ist 8 MB.

Beim Hochladen, Herunterladen oder Kopieren einer Datei gehen die Amazon-S3-Befehle zu mehrteiligen Operationen über, wenn die Datei diese Größe überschreitet. Sie können diesen Wert auf zwei Arten angeben:

• Dateigröße in Bytes. Zum Beispiel 1048576.

• Dateigröße mit einem Größensuffix. Sie können KB, MB, GB oder TB verwenden. Zum Beispiel: 10MB, 1GB

  Anmerkung

  S3 kann Beschränkungen für gültige Werte anwenden, die für mehrteilige Operationen verwendet werden können. Weitere Informationen finden Sie in der S3-Dokumentation zu mehrteiligen Uploads im Benutzerhandbuch zu Amazon Simple Storage Service.