Installation und Konfiguration des AWS CLI

Wichtig

Das Tool AWS OpsWorks Stacks Der Dienst hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an AWS Support Team ein AWS Re:post oder durch AWS Premium-Support.

Bevor Sie Ihre erste Instanz registrieren, müssen Sie Version 1.16.180 von ausführen AWS CLI oder eine neuere Version auf dem Computer, von dem aus Sie ausführen. register Die Installationsdetails hängen vom Betriebssystem Ihrer Workstation ab. Weitere Informationen zur Installation des AWS CLI, siehe Installation der AWS Befehlszeilenschnittstelle und Konfiguration der AWS Befehlszeilenschnittstelle. Um die Version des zu überprüfen AWS CLI die Sie gerade ausführen, nehmen Sie aws --version an einer Shell-Sitzung teil.

Anmerkung

AWSTools for PowerShell enthält zwar das Register-OpsInstanceCmdlet, das die register API Aktion aufruft, wir empfehlen jedoch die Verwendung des AWS CLI um stattdessen den register Befehl auszuführen.

Sie müssen „register“ mit den entsprechenden Berechtigungen ausführen. Sie können Berechtigungen mithilfe einer IAM Rolle oder, weniger optimal, durch die Installation von Benutzeranmeldedaten mit den entsprechenden Berechtigungen auf der zu registrierenden Workstation oder Instanz erhalten. Anschließend können Sie die register mit diesen Anmeldeinformationen ausführen, wie weiter unten beschrieben. Geben Sie Berechtigungen an, indem Sie dem Benutzer oder der Rolle eine IAM Richtlinie zuordnen. Für register verwenden Sie entweder die AWSOpsWorksRegisterCLI_OnPremises Richtlinien AWSOpsWorksRegisterCLI_EC2 oder, die Berechtigungen zur Registrierung von Amazon EC2 - bzw. lokalen Instances gewähren.

Anmerkung

Wenn Sie register auf einer EC2 Amazon-Instance laufen, sollten Sie idealerweise eine IAM Rolle verwenden, um Anmeldeinformationen bereitzustellen. Weitere Informationen zum Anhängen einer IAM Rolle an eine bestehende Instance finden Sie unter Eine IAM Rolle an eine Instance anhängen oder Eine IAM Rolle ersetzen im EC2Amazon-Benutzerhandbuch.

Beispiel-Codeausschnitte der AWSOpsWorksRegisterCLI_EC2- und AWSOpsWorksRegisterCLI_OnPremises-Richtlinien finden Sie unter Instance-Registrierungsrichtlinien. Weitere Informationen zum Erstellen und Verwalten von AWS Anmeldeinformationen finden Sie unter AWSSicherheitsanmeldedaten.

Eine IAM Rolle verwenden

Wenn Sie den Befehl von der EC2 Amazon-Instance aus ausführen, die Sie registrieren möchten, besteht die bevorzugte Strategie für die Bereitstellung von Anmeldeinformationen register darin, eine IAM Rolle zu verwenden, der die AWSOpsWorksRegisterCLI_EC2 Richtlinie oder gleichwertige Berechtigungen zugewiesen sind. Bei dieser Methode ist es nicht erforderlich, die Anmeldeinformationen auf der Instance zu installieren. Eine Möglichkeit, dies zu tun, besteht darin, den Befehl Attach/Replace IAM Role in der EC2 Konsole zu verwenden, wie in der folgenden Abbildung dargestellt.

Weitere Informationen zum Anhängen einer IAM Rolle an eine bestehende Instance finden Sie unter Eine IAM Rolle an eine Instance anhängen oder Eine IAM Rolle ersetzen im EC2Amazon-Benutzerhandbuch. Für Instances, die mit einem Instance-Profil gestartet wurden (empfohlen), fügen Sie den --use-instance-profile-Switch zu Ihrem register-Befehl hinzu, um Anmeldeinformationen anzugeben; verwenden Sie nicht den --profile-Parameter.

Wenn die Instance ausgeführt wird und ihr eine Rolle zugeordnet ist, können Sie die erforderlichen Berechtigungen erteilen, indem Sie der Rolle die AWSOpsWorksRegisterCLI_EC2-Richtlinie zuweisen. Die Rolle stellt die Standardanmeldeinformationen für die Instance bereit. Sofern Sie keine Anmeldeinformationen auf der Instance installiert haben, werden die Rolle und deren Berechtigungen von register automatisch übernommen.

Wichtig

Es wird empfohlen, keine Anmeldeinformationen auf der Instance zu installieren. Die Instance stellt nicht nur ein Sicherheitsrisiko dar, sondern befindet sich auch am Ende der Standardanbieterkette AWS CLI verwendet, um die Standardanmeldedaten zu finden. Somit könnten installierte Anmeldeinformationen Vorrang vor der Rolle haben, sodass register ggf. nicht über die erforderlichen Berechtigungen verfügt. Weitere Informationen finden Sie unter Erste Schritte mit AWS CLI.

Wird eine Instance ohne Rolle ausgeführt, müssen Sie die Anmeldeinformationen mit den erforderlichen Berechtigungen auf der Instance selbst installieren, wie beschrieben unter Verwenden von installierten Anmeldeinformationen. Es ist empfohlen, einfacher und weniger fehleranfällig, Instances zu verwenden mit einem Instance-Profil gestartet werden.

Verwenden von installierten Anmeldeinformationen

Es gibt mehrere Möglichkeiten, Benutzeranmeldeinformationen auf einem System zu installieren und sie einem AWS CLI Befehl. Im Folgenden wird ein Ansatz beschrieben, der nicht mehr empfohlen wird, aber verwendet werden kann, wenn Sie EC2 Instances registrieren, die ohne Instanzprofil gestartet wurden. Sie können auch die Anmeldeinformationen eines vorhandenen -Benutzers nutzen, sofern die zugeordneten Richtlinien die erforderlichen Berechtigungen erteilen. Weitere Informationen, darunter andere Möglichkeiten zur Installation von Anmeldeinformationen, finden Sie unter Konfigurations- und Anmeldeinformationsdateien.

So verwenden Sie installierte Anmeldeinformationen

1. Erstellen Sie einen IAM Benutzer und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Ort.

   Warnung

   IAMBenutzer verfügen über langfristige Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.

2. Hängen Sie die AWSOpsWorksRegisterCLI_OnPremises Richtlinie an den Benutzer an. Ggf. können Sie auch eine Richtlinie mit weiteren Berechtigungen zuweisen, allerdings müssen die Berechtigungen von AWSOpsWorksRegisterCLI_OnPremises enthalten sein.

3. Erstellen Sie in der credentials-Datei des Systems ein Profil für den Benutzer. Die Datei finden Sie unter ~/.aws/credentials (Linux, Unix und OS X) oder C:\Users\User_Name\.aws\credentials (Windows-Systeme). Die Datei enthält ein oder mehrere Profile im folgenden Format, von denen jedes die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel eines Benutzers enthält.

   
   [profile_name]
   aws_access_key_id = access_key_id
   aws_secret_access_key = secret_access_key

   Ersetzen Sie die IAM Anmeldeinformationen, die Sie zuvor gespeichert haben, durch access_key_id and secret_access_key Werte. Sie können einen beliebigen Namen als Profilnamen angeben (mit zwei Einschränkungen: der Name muss eindeutig sein und das Standardprofil muss default heißen). Sie können auch ein vorhandenes Profil verwenden, sofern es über die notwendigen Berechtigungen verfügt.

4. Geben Sie den Profilnamen im --profile-Parameter des register-Befehls an. Der Befehl register wird mit den Berechtigungen ausgeführt, die den zugeordneten Anmeldeinformationen erteilt wurden.

   Sie können --profile auch auslassen. In dem Fall wird register mit den Standardanmeldeinformationen ausgeführt. Beachten Sie, dass es sich dabei nicht zwangsläufig um die Anmeldeinformationen des Standardprofils handelt. Sie müssen daher sicherstellen, dass die Standardanmeldeinformationen über die erforderlichen Berechtigungen verfügen. Für weitere Informationen darüber, wie AWS CLI bestimmt Standardanmeldedaten, siehe Konfiguration der AWS Befehlszeilenschnittstelle.