Fundamentos de configuración - AWS Command Line Interface

Fundamentos de configuración

En esta sección, se explica cómo se configuran las opciones básicas que utiliza AWS Command Line Interface (AWS CLI) para interactuar con AWS. Entre ellos, se incluyen las credenciales de seguridad, el formato de salida predeterminado y la región de AWS predeterminada.

nota

AWS requiere que todas las solicitudes entrantes estén firmadas criptográficamente. El AWS CLI lo hace automáticamente. La "firma" incluye una marca temporal de fecha/hora. Por lo tanto, debe asegurarse de que la fecha y la hora de su equipo se haya establecido correctamente. De lo contrario, si la fecha y la hora de la firma difieren en gran medida de la fecha y la hora reconocidas por el servicio de AWS, AWS rechazará la solicitud.

Configuración rápida con aws configure

Para el uso general, el comando aws configure es la forma más rápida de configurar la instalación de la AWS CLI. Al escribir este comando, la AWS CLI solicita cuatro datos:

La AWS CLI almacena esta información en un perfil (una colección de opciones) con el nombre default en el archivo credentials. De forma predeterminada, la información de este perfil se utiliza cuando se ejecuta un comando de la AWS CLI que no especifica explícitamente un perfil que se va a utilizar. Para obtener más información sobre el archivo credentials, consulte Opciones de los archivos de configuración y credenciales

En el ejemplo siguiente se muestran los valores de ejemplo. Remplácelos con sus propios valores, tal y como se describe en las siguientes secciones.

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

ID de clave de acceso y clave de acceso secreta

Las claves de acceso usan un ID de clave de acceso y una clave de acceso secreta que utiliza para firmar las solicitudes de programación a AWS.

Creación de un par de claves

Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta, que se utilizan para firmar las solicitudes de programación que se realizan a AWS. Si no tiene claves de acceso, puede crearlas desde la AWS Management Console. Como práctica recomendada, no utilice la clave de acceso del usuario raíz de la Cuenta de AWS para realizar cualquier tarea en la que no sea necesario. Por el contrario, crear un nuevo usuario de IAM administrador con claves de acceso para usted.

El único momento que puede ver o descargar la clave de acceso secreta es cuando crea las claves. No puede recuperarla más adelante. Sin embargo, puede crear nuevas claves de acceso en cualquier momento. Debe tener permisos para realizar las acciones IAM requeridas. Para obtener más información, consulte Permisos necesarios para acceder a los recursos de IAM en la Guía del usuario de IAM.

Crear claves de acceso para un usuario de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users (Usuarios).

  3. Elija el nombre del usuario cuyas claves de acceso que desee crear y, a continuación, elija la pestaña de Security credentials (Credenciales de seguridad).

  4. En la sección Access keys (Claves de acceso), haga clic en Create access key (Crear clave de acceso).

  5. Para ver el nuevo par de claves de acceso, elija Show (Mostrar). No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre. Sus credenciales tendrán el aspecto siguiente:

    • ID de clave de acceso: AKIAIOSFODNN7EXAMPLE

    • Clave de acceso secreta: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. Para descargar el par de claves, elija Download .csv file (Descargar archivo .csv). Almacene las claves en un lugar seguro. No podrá obtener acceso de nuevo a la clave de acceso secreta cuando este cuadro de diálogo se cierre.

    Mantenga las claves en secreto para proteger su Cuenta de AWS y no las envíe nunca por correo electrónico. No las comparta fuera de su organización, aunque reciba una petición que parezca provenir de AWS o Amazon.com. Nadie que represente legítimamente a Amazon pedirá nunca su clave secreta.

  7. Cuando descargue el archivo .csv, elija Close (Cerrar). Cuando cree una clave de acceso, el par de claves se activa de forma predeterminada y puede utilizar el par de inmediato.

Temas relacionados

Importación de un par de claves mediante un archivo .CSV

En lugar de usar aws configure para ingresar en un par de claves, puede importar el archivo .csv que descargó después de crear el par de claves.

El ‎archivo .csv debe contener los siguientes encabezados.

  • Nombre de usuario

  • ID de clave de acceso

  • Clave de acceso secreta

nota

Durante la creación del par de claves inicial, una vez que cierre el cuadro de diálogo Download .csv file (Descargar archivo ‎.csv), no puede acceder a la clave de acceso secreta después de cerrar el cuadro de diálogo. Si necesita un archivo .csv, tendrá que crear uno usted mismo con los encabezados necesarios y la información del par de claves almacenada. Si no tiene acceso a la información del par de claves, debe crear un nuevo par de claves.

Para importar el archivo .csv, utilice el comando aws configure import con la opción --csv de la siguiente manera:

$ aws configure import --csv file://credentials.csv

Para obtener más información, consulte aws_configure_import .

Región

Default region name identifica la región de AWS a cuyos servidores desea enviar las solicitudes de forma predeterminada. Suele ser la región más cercana a usted, pero puede ser cualquier región. Por ejemplo, puede escribir us-west-2 para utilizar EE.UU. Oeste (Oregón). Esta es la región a la que se envían todas las solicitudes posteriores, a menos que especifique lo contrario en un comando concreto.

nota

Cuanto utilice la AWS CLI, debe especificar una región de AWS, ya sea de forma explícita o estableciendo una región predeterminada. Para obtener una lista de las regiones disponibles, consulte Regiones y puntos de enlace. Los designadores de región que la AWS CLI utiliza son los mismos nombres que aparecen en las URL y los puntos de enlace de servicio de AWS Management Console.

Formato de salida

El Default output format especifica el formato de los resultados. El valor puede ser cualquiera de los incluidos en la lista siguiente. Si no especifica un formato de salida, se utiliza json de forma predeterminada.

  • json: la salida se formatea como una cadena JSON.

  • yaml: la salida se formatea como una ‎cadena YAML.

  • yaml-stream: la salida se transmite y se formatea como una cadena YAML. El streaming permite un manejo más rápido de tipos de datos de gran tamaño.

  • text: la salida tiene el formato de varias líneas de valores de cadena separados por tabuladores. Esto puede ser útil para pasar la salida a un procesador de texto, como grep, sed o awk.

  • table: el resultado tiene el formato de una tabla en la que se usan los caracteres +|- para los bordes de celda. Normalmente, la información se presenta en un formato que es más fácil de leer que los demás formatos, pero que no es útil para programar.

Perfiles

Una colección de opciones se denomina perfil. De forma predeterminada, la AWS CLI utiliza el perfil default. Puede crear y utilizar perfiles con nombre adicionales con credenciales y opciones variables especificando la opción --profile y asignando un nombre.

En el ejemplo siguiente se crea un perfil denominado produser.

$ aws configure --profile produser AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY Default region name [None]: us-east-1 Default output format [None]: text

A continuación, puede especificar un --profile profilename y utilizar las credenciales y las opciones almacenadas con dicho nombre.

$ aws s3 ls --profile produser

Para actualizar cualquiera de las opciones, ejecute aws configure de nuevo (con o sin el parámetro --profile, en función del perfil que desee actualizar) y escriba los valores nuevos que desee. En las secciones siguientes, aparece más información sobre los archivos que crea aws configure y sobre los ajustes adicionales y los perfiles con nombre.

Para obtener más información sobre los perfiles con nombre, consulte Perfiles con nombre para AWS CLI.

Ajustes de configuración y precedencia

La AWS CLI utiliza las credenciales y las opciones de configuración ubicadas en varios lugares, como las variables de entorno de usuario o sistema, los archivos de configuración de AWS locales o explícitamente declarados en la línea de comandos como parámetro. Ciertas ubicaciones tienen prioridad sobre otras. Las credenciales de la AWS CLI y las opciones de configuración tienen prioridad en el siguiente orden:

  1. Opciones de línea de comandos: anula la configuración en cualquier otra ubicación. Puede especificar --region, --output y --profile como parámetros en la línea de comandos.

  2. Variables de entorno: puede almacenar valores en las variables de entorno de su sistema.

  3. Archivo de credenciales de CLI: los archivos credentials y config se actualizan al ejecutar el comando aws configure. El archivo credentials se encuentra en ~/.aws/credentials en Linux o macOS, o en C:\Users\USERNAME\.aws\credentials en Windows. Este archivo contiene las credenciales del perfil default y de todos los perfiles con nombre.

  4. Archivo de configuración de CLI: los archivos credentials y config se actualizan al ejecutar el comando aws configure. El archivo config se encuentra en ~/.aws/config en Linux o macOS, o en C:\Users\USERNAME\.aws\config en Windows. Este archivo contiene las opciones de configuración del perfil predeterminado y de los perfiles con nombre.

  5. Credenciales contenedor: puede asociar un rol de IAM con cada una de las definiciones de tareas de Amazon Elastic Container Service (Amazon ECS). Las credenciales temporales de ese rol estarán disponibles para los contenedores de esa tarea. Para obtener más información, consulte Roles de IAM para tareas en la Guía para desarrolladores de Amazon Elastic Container Service.

  6. Credenciales de perfil de instancia: puede asociar un rol de IAM con cada una de las instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las credenciales temporales de ese rol estarán disponibles para el código que se ejecute en la instancia. Las credenciales se entregan a través del servicio de metadatos de Amazon EC2. Para obtener más información, consulte Roles de IAM para Amazon EC2 en la Guía del usuario de Amazon EC2 para instancias de Linux y Uso de perfiles de instancia en la Guía del usuario de IAM.