Konfigurationsgrundlagen - AWS Command Line Interface

Konfigurationsgrundlagen

In diesem Abschnitt wird erläutert, wie Sie mithilfe der config- und credentials-Dateien, die die AWS Command Line Interface (AWS CLI) für die Interaktion mit AWS verwendet, schnell grundlegende Einstellungen konfigurieren können. Dazu gehören Ihre Sicherheitsanmeldeinformationen, das Standardausgabeformat und die AWS-Standardregion. Wenn Sie sich stattdessen die Konfigurationsanweisungen für AWS IAM Identity Center (successor to AWS Single Sign-On) ansehen möchten, beachten Sie den Abschnitt Konfigurieren der AWS CLI für die Verwendung von AWS IAM Identity Center (successor to AWS Single Sign-On).

Anmerkung

AWS setzt voraus, dass alle eingehenden Anforderungen kryptografisch signiert sind. Die AWS CLI erledigt dies für Sie. Die "Signatur" enthält einen Datums-/Zeitstempel. Aus diesem Grund müssen Sie sicherstellen, dass das Datum und die Uhrzeit des Computers korrekt eingestellt sind. Wenn nicht, weichen Datum/Uhrzeit in der Signatur zu stark von dem Datum und der Uhrzeit ab, die vom AWS-Service erkannt werden, sodass AWS die Anforderung ablehnt.

Schnellkonfiguration mit aws configure

Für den allgemeinen Gebrauch ist der Befehl aws configure die schnellste Möglichkeit, eine AWS CLI-Installation einzurichten. Wenn Sie diesen Befehl eingeben, werden Sie von der AWS CLI aufgefordert, vier Informationen einzugeben:

Die AWS CLI speichert die Informationen in einem Profil (einer Sammlung von Einstellungen) namens default in der credentials-Datei. Standardmäßig werden die Informationen in diesem Profil verwendet, wenn Sie einen AWS CLI-Befehl ausführen, der nicht explizit ein zu verwendendes Profil angibt. Weitere Informationen zur credentials-Datei finden Sie unter Einstellungen der Konfigurations- und Anmeldeinformationsdatei

Das folgende Beispiel zeigt Beispielwerte. Ersetzen Sie sie durch eigene Werte, wie in den folgenden Abschnitten beschrieben.

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

Zugriffsschlüssel-ID und geheimer Zugriffsschlüssel

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diese werden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWS verwendet.

Erstellen eines Schlüsselpaars

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diese werden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWS verwendet. Wenn Sie noch keine Zugriffsschlüssel besitzen, können Sie diese über die AWS Management Console erstellen. Als bewährte Methode verwenden Sie nicht die Stammbenutzerzugriffsschlüssel des AWS-Konto-Kontos für die Aufgaben, für die dies nicht erforderlich ist. Erstellen Sie stattdessen einen neuen Administrator-IAM-Benutzer mit Zugriffsschlüsseln für sich selbst.

Sie können den geheimen Zugriffsschlüssel nur beim Erstellen anzeigen oder herunterladen. Später kann er nicht mehr wiederhergestellt werden. Sie können jedoch jederzeit neue Zugriffsschlüssel anlegen. Sie müssen auch über Berechtigungen zum Ausführen der erforderlichen IAM-Aktionen verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Zugriff auf IAM-Ressourcen im IAM-Benutzerhandbuch.

Erstellen von Benutzerzugriffsschlüsseln für einen IAM-Benutzer

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie erstellen möchten und dann die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.

  4. Wählen Sie im Abschnitt Access keys (Zugriffsschlüssel) Create access key (Zugriffsschlüssel erstellen).

  5. Wählen Sie zum Anzeigen des neuen Zugriffsschlüsselpaars Show (Anzeigen) aus. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. Ihre Anmeldeinformationen sehen etwa folgendermaßen aus:

    • Zugriffsschlüssel-ID: AKIAIOSFODNN7EXAMPLE

    • Geheimer Zugriffsschlüssel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Wählen Sie zum Herunterladen des Schlüsselpaares Download .csv file aus. Speichern Sie die Schlüssel an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird.

    Behandeln Sie die Schlüssel vertraulich, um Ihr AWS-Konto-Konto zu schützen, und senden Sie sie niemals per E-Mail. Geben Sie die Schlüssel nicht außerhalb Ihrer Organisation weiter, auch nicht im Falle von Anfragen, die von AWS oder Amazon.com zu kommen scheinen. Niemand, der Amazon legitim vertritt, wird Sie nach dem geheimen Schlüssel fragen.

  7. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen) Wenn Sie einen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofort verwenden.

Verwandte Themen

Importieren eines Schlüsselpaars über die CSV-Datei

Anstatt aws configure zu verwenden, um ein Schlüsselpaar einzugeben, können Sie die .csv-Datei, die Sie heruntergeladen haben, nachdem Sie Ihr Schlüsselpaar erstellt haben, importieren.

Die .csv-Datei muss die folgenden Header enthalten.

  • Benutzername

  • Zugriffsschlüssel-ID

  • Geheimer Zugriffsschlüssel

Anmerkung

Während der ersten Erstellung des Schlüsselpaares können Sie nach dem Schließen des Dialogfelds Download .csv file (CSV-Datei herunterladen) nicht mehr auf Ihren geheimen Zugriffsschlüssel zugreifen. Wenn Sie eine .csv-Datei benötigen, müssen Sie selbst eine mit den erforderlichen Headern und Ihren gespeicherten Schlüsselpaarinformationen erstellen. Wenn Sie keinen Zugriff auf Ihre Schlüsselpaar-Informationen haben, müssen Sie ein neues Schlüsselpaar erstellen.

Sie importieren die .csv-Datei wie folgt mithilfe des aws configure import-Befehls mit der --csv-Option:

$ aws configure import --csv file://credentials.csv

Weitere Informationen finden Sie unter aws_configure_import.

Region

Die Default region name identifiziert die AWS-Region, an deren Server Sie Ihre Anfragen standardmäßig senden möchten. Dies ist in der Regel die nächstgelegene Region, aber jede Region ist zulässig. Sie können beispielsweise us-west-2 eingeben, um USA West (Oregon) zu verwenden. Dies ist die Region, an die alle späteren Anfragen gesendet werden, es sei denn, Sie geben in einem Befehl etwas anderes an.

Anmerkung

Sie müssen eine AWS-Region angeben, wenn Sie die AWS CLI verwenden, entweder explizit oder durch das Festlegen einer Standardregion. Eine Liste der verfügbaren Regionen finden Sie unter Regionen und Endpunkte. Die von der AWS CLI verwendeten Regionsangaben entsprechen den Namen, die Sie in AWS Management Console-URLs und Service-Endpunkten sehen.

Ausgabeformat

Das Default output format gibt an, wie die Ergebnisse formatiert werden. Bei dem Wert kann es sich um einen aus der folgenden Liste handeln. Wenn Sie kein Ausgabeformat angeben, wird standardmäßig json verwendet.

  • json –Die Ausgabe erfolgt im JSON-Format.

  • yaml –Die Ausgabe erfolgt im YAML-Format.

  • yaml-stream – Die Ausgabe erfolgt im YAML-Format und wird so auch gestreamt. Streaming ermöglicht eine schnellere Handhabung großer Datentypen.

  • text – Die Ausgabe wird als mehrere Zeilen mit tabulatorgetrennten Zeichenfolgenwerten formatiert. Dies kann nützlich sein, um die Ausgabe an einen Textprozessor wie grep, sed oder awk zu übergeben.

  • table – Die Ausgabe erfolgt in Form einer Tabelle mit den Zeichen +|-, um die Zellenrahmen zu bilden. Normalerweise wird die Information in einem benutzerfreundlichen Format wiedergegeben, das viel einfacher zu lesen ist als die anderen, jedoch programmatisch nicht so nützlich ist.

Profile

Eine Sammlung von Einstellungen wird als Profil bezeichnet. Standardmäßig verwendet die AWS CLI das default-Profil. Sie können zusätzliche benannte Profile mit unterschiedlichen Anmeldeinformationen und Einstellungen erstellen und verwenden, indem Sie die Option --profile angeben und einen Namen zuweisen.

Im folgenden Beispiel wird ein Profil namens produser erstellt.

$ aws configure --profile produser AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY Default region name [None]: us-east-1 Default output format [None]: text

Sie können dann einen --profile profilename angeben und die Anmeldeinformationen und Einstellungen verwenden, die unter diesem Namen gespeichert sind.

$ aws s3 ls --profile produser

Zum Aktualisieren dieser Einstellungen führen Sie einfach aws configure erneut aus (mit oder ohne den --profile-Parameter, je nachdem, welches Profil Sie aktualisieren möchten) und geben nach Bedarf neue Werte ein. In den nächsten Abschnitten finden Sie Informationen über die von aws configure erstellten Dateien sowie über zusätzliche Einstellungen und benannte Profile.

Weitere Informationen zu benannten Profilen finden Sie unter Benannte Profile für die AWS CLI.

Konfigurationseinstellungen und Vorrang

Die AWS CLI verwendet Anmeldeinformationen und Konfigurationseinstellungen, die sich an mehreren Speicherorten befinden, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien. Auch eine explizite Deklaration in der Befehlszeile als Parameter wird dabei berücksichtigt. Bestimmte Speicherorte haben Vorrang vor anderen. Die AWS CLI-Anmeldeinformationen und Konfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Befehlszeilenoptionen – Überschreiben Einstellungen an jedem anderen Speicherort. Sie können --region, --output und --profile als Parameter in der Befehlszeile angeben.

  2. Umgebungsvariablen – Sie können Werte in den Umgebungsvariablen Ihres Systems speichern.

  3. CLI-Anmeldeinformationsdatei – Die credentials- und config-Dateien werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei credentials befindet sich in ~/.aws/credentials unter Linux und in macOS oder in C:\Users\USERNAME\.aws\credentials unter Windows. Diese Datei kann die Anmeldeinformationsdetails für das default-Profil und alle benannten Profile enthalten.

  4. CLI-Konfigurationsdatei – Die credentials- und config-Dateien werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei config befindet sich in ~/.aws/config unter Linux und in macOS oder in C:\Users\USERNAME\.aws\config unter Windows. Diese Datei enthält die Konfigurationseinstellungen für das Standardprofil sowie alle benannten Profile.

  5. Container Anmeldeinformationen Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Container-Service-(Amazon-ECS)-Aufgabendefinitionen verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für die Container dieser Aufgabe zur Verfügung. Weitere Informationen finden Sie unter IAM-Rollen für Aufgaben im Entwicklerhandbuch zum Amazon Elastic Container Service.

  6. Amazon-EC2-Instance-Profil-Anmeldeinformationen – Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Compute-Cloud(Amazon-EC2)-Instances verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für den Code zur Verfügung, der in dieser Instance ausgeführt wird. Die Anmeldeinformationen werden über den Amazon-EC2-Metadaten-Service bereitgestellt. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2 im Amazon-EC2-Benutzerhandbuch für Linux-Instances und Verwenden von Instance-Profilen im IAM-Benutzerhandbuch.