Konfigurations-Grundlagen - AWS Command Line Interface

Konfigurations-Grundlagen

In diesem Abschnitt wird erläutert, wie Sie die grundlegenden Einstellungen schnell konfigurieren, mit denen AWS Command Line Interface (AWS CLI) mit AWS interagiert. Dazu gehören Ihre Sicherheitsanmeldeinformationen, das Standardausgabeformat und die AWS-Standardregion.

Anmerkung

AWS setzt voraus, dass alle eingehenden Anforderungen kryptografisch signiert sind. Die AWS CLI erledigt das für Sie. Die "Signatur" enthält einen Datums-/Zeitstempel. Aus diesem Grund müssen Sie sicherstellen, dass das Datum und die Uhrzeit des Computers korrekt eingestellt sind. Wenn nicht, weichen Datum/Uhrzeit in der Signatur zu stark von dem Datum und der Uhrzeit ab, die vom AWS-Service erkannt werden, sodass AWS die Anforderung ablehnt.

Schnellkonfiguration mit aws configure

Für den allgemeinen Gebrauch ist der Befehl aws configure die schnellste Möglichkeit, eine AWS CLI-Installation einzurichten. Wenn Sie diesen Befehl eingeben, werden Sie von der AWS CLI aufgefordert, vier Informationen einzugeben:

Die AWS CLI speichert die Informationen in einem Profi (einer Sammlung von Einstellungen) namens default in der credentials-Datei. Standardmäßig werden die Informationen in diesem Profil verwendet, wenn Sie einen AWS CLI-Befehl ausführen, der nicht explizit ein zu verwendendes Profil angibt. Weitere Informationen zur credentials-Datei finden Sie unter Einstellungen der Konfigurations- und Anmeldeinformationsdatei

Das folgende Beispiel zeigt Beispielwerte. Ersetzen Sie sie durch eigene Werte, wie in den folgenden Abschnitten beschrieben.

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diese werden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWS verwendet. Wenn Sie noch keine Zugriffsschlüssel besitzen, können Sie diese über die AWS Management Console erstellen. Verwenden Sie als bewährte Methode nicht die Stammbenutzer des AWS-Kontos-Zugriffsschlüssel für Aufgaben, für die dies nicht erforderlich ist. Erstellen Sie stattdessen einen neuen IAM-Benutzer mit Administratorrechten und mit Zugriffschlüsseln für Sie selbst.

Beim Erstellen der geheimen Zugriffschlüssel besteht die einzige Möglichkeit, diese anzuzeigen oder herunterzuladen. Später lassen sie sich nicht wieder wiederherstellen. Sie können jedoch jederzeit neue Zugriffsschlüssel erstellen. Sie müssen auch über Berechtigungen verfügen, um die benötigten IAM-Aktionen durchzuführen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen im IAM-Benutzerhandbuch.

So erstellen Sie Zugriffsschlüssel für einen IAM-Benutzer

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users.

  3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie erstellen möchten, und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.

  4. Wählen Sie im Bereich Access keys (Zugriffsschlüssel) die Option Create access key (Zugriffsschlüssel erstellen).

  5. Um das neue Zugriffsschlüsselpaar anzuzeigen, wählen Sie Show (Anzeigen). Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Ihre Anmeldeinformationen sehen etwa folgendermaßen aus:

    • Zugriffsschlüssel-ID: AKIAIOSFODNN7EXAMPLE

    • Geheimer Zugriffsschlüssel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Wählen Sie zum Herunterladen des Schlüsselpaares Download .csv file aus. Speichern Sie die Schlüssel an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird.

    Behandeln Sie die Schlüssel vertraulich, um Ihr AWS-Konto zu schützen, und senden Sie die Schlüssel niemals per E-Mail. Geben Sie die Schlüssel nicht außerhalb Ihrer Organisation weiter, auch nicht im Falle von Anfragen, die von AWS oder Amazon.com zu kommen scheinen. Niemand, der Amazon legitim vertritt, wird Sie nach dem geheimen Schlüssel fragen.

  7. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen). Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofort verwenden.

Verwandte Themen

Region

Der Default region name identifiziert die AWS-Region, an deren Server Sie Ihre Anfragen standardmäßig senden möchten. Dies ist in der Regel die nächstgelegene Region, aber jede Region ist zulässig. Sie können beispielsweise us-west-2 eingeben, um USA West (Oregon) zu verwenden. Dies ist die Region, an die alle späteren Anfragen gesendet werden, es sei denn, Sie geben in einem Befehl etwas anderes an.

Anmerkung

Sie müssen eine AWS-Region angeben, wenn Sie die AWS CLI verwenden, entweder explizit oder durch das Festlegen einer Standardregion. Eine Liste der verfügbaren Regionen finden Sie unter Regionen und Endpunkte. Die von der AWS CLI verwendeten Regionsangaben entsprechen den Namen, die Sie in AWS Management Console-URLs und Service-Endpunkten sehen.

Ausgabeformat

Das Default output format gibt an, wie die Ergebnisse formatiert werden. Bei dem Wert kann es sich um einen aus der folgenden Liste handeln. Wenn Sie kein Ausgabeformat angeben, wird standardmäßig json verwendet.

  • json: Die Ausgabe wird als JSON-Zeichenfolge formatiert.

  • yaml: Die Ausgabe wird als YAML-Zeichenfolge formatiert. (Nur in AWS CLI Version 2 verfügbar.)

  • text: Die Ausgabe wird als mehrzeilige Folge von Zeichenfolgewerten mit Tabulatoren als Trennzeichen formatiert. Dies kann nützlich sein, wenn die Ausgabe an ein Modul zur Verarbeitung von Text wie grep, sed oder awk übergeben werden soll.

  • table: Die Ausgabe erfolgt in Form einer Tabelle mit den Zeichen +|-, die den Zellenrahmen bilden. Normalerweise wird die Information in einem benutzerfreundlichen Format wiedergegeben, das viel einfacher zu lesen ist als die anderen, jedoch programmatisch nicht so nützlich ist.

Profile

Eine Sammlung von Einstellungen wird als Profil bezeichnet. Standardmäßig verwendet die AWS CLI default-Profil. Sie können zusätzliche benannte Profile mit unterschiedlichen Anmeldeinformationen und Einstellungen erstellen und verwenden, indem Sie die Option --profile angeben und einen Namen zuweisen.

Im folgenden Beispiel wird ein Profil namens produser erstellt.

$ aws configure --profile produser AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY Default region name [None]: us-east-1 Default output format [None]: text

Sie können dann einen --profile profilename angeben und die Anmeldeinformationen und Einstellungen verwenden, die unter diesem Namen gespeichert sind.

$ aws s3 ls --profile produser

Zum Aktualisieren dieser Einstellungen führen Sie einfach aws configure erneut aus (mit oder ohne den --profile-Parameter, je nachdem, welches Profil Sie aktualisieren möchten) und geben nach Bedarf neue Werte ein. In den nächsten Abschnitten finden Sie Informationen über die von aws configure erstellten Dateien sowie über zusätzliche Einstellungen und benannte Profile.

Weitere Informationen zu benannten Profilen finden Sie unter Benannte Profile.

Konfigurationseinstellungen und Vorrang

Die AWS CLI verwendet Anmeldeinformationen und Konfigurationseinstellungen, die sich an mehreren Speicherorten befinden, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien. Auch eine explizite Deklaration in der Befehlszeile als Parameter wird dabei berücksichtigt. Bestimmte Speicherorte haben Vorrang vor anderen. Die AWS CLI-Anmeldeinformationen und Konfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Befehlszeilenoptionen – überschreibt Einstellungen an jedem anderen Speicherort. Sie können --region, --output, und --profile als Parameter in der Befehlszeile angeben.

  2. Umgebungsvariablen – Sie können Werte in den Umgebungsvariablen Ihres Systems speichern.

  3. CLI-Anmeldeinformationsdatei – Die config- und credentials-Dateien werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei credentials befindet sich in ~/.aws/credentials unter Linux oder macOS und in C:\Users\USERNAME\.aws\credentials unter Windows. Diese Datei kann die Anmeldeinformationsdetails für das default-Profil und alle benannten Profile enthalten.

  4. CLI-Konfigurationsdatei – Die config- und credentials-Dateien und werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei config befindet sich in ~/.aws/config unter Linux oder macOS und in C:\Users\USERNAME\.aws\config unter Windows. Diese Datei enthält die Konfigurationseinstellungen für das Standardprofil sowie alle benannten Profile.

  5. Container-Anmeldeinformationen – Sie können eine IAM-Rolle mit jeder Ihrer Amazon Elastic Container Service (Amazon ECS)-Aufgabendefinitionen verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für die Container dieser Aufgabe zur Verfügung. Weitere Informationen finden Sie unter IAM-Rollen für Aufgaben im Amazon Elastic Container Service Developer Guide.

  6. Instance-Profil-Anmeldeinformationen – Sie können eine IAM-Rolle mit jeder Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instances verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für den Code zur Verfügung, der in dieser Instance ausgeführt wird. Die Anmeldeinformationen werden über den Amazon EC2-Metadaten-Service bereitgestellt. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2 im Amazon EC2-Benutzerhandbuch für Linux-Instances und unter Verwenden von Instance-Profilen im IAM-Benutzerhandbuch.