Esta documentación es para la versión 1 de AWS CLI. Para obtener documentación relacionada con la versión 2 de AWS CLI, consulte la Guía del usuario de la versión 2.
Configuración de variables de entorno para la AWS CLI
Las variables de entorno constituyen otro mecanismo para especificar opciones de configuración y credenciales, y pueden ser útiles para crear script.
Prioridad de las opciones
-
Si especifica una opción mediante una de las variables de entorno que se describen en este tema, se invalidará cualquier valor carga desde un perfil en el archivo de configuración.
-
Si especifica una opción mediante un parámetro en la línea de comando de la AWS CLI, se invalidará cualquier valor de la variable de entorno correspondiente o un perfil en el archivo de configuración.
Para obtener más información acerca de la prioridad y de cómo la AWS CLI determina la credenciales que debe utilizar, consulte Configuración de los ajustes de AWS CLI.
Cómo configurar las variables de entorno
En los siguientes ejemplos se muestra cómo se pueden configurar las variables de entorno para el usuario predeterminado.
Variables de entorno que admite la AWS CLI
La AWS CLI admite las siguientes variables de entorno.
AWS_ACCESS_KEY_ID
-
Especifica una clave de acceso de AWS asociada a una cuenta de IAM.
Si se define, esta variable de entorno anula el valor de la configuración del perfil
aws_access_key_id
. No se puede especificar el ID de clave de acceso mediante una opción de línea de comandos. AWS_CA_BUNDLE
-
Especifica la ruta a un paquete de certificados que desea utilizar para la validación de certificados HTTPS.
Si se define, esta variable de entorno anula el valor de la configuración del perfil
ca_bundle
. Puede anular esta variable de entorno mediante el parámetro de la línea de comandos--ca-bundle
. AWS_CLI_S3_MV_VALIDATE_SAME_S3_PATHS
-
Si los buckets de origen y destino son los mismos al utilizar el comando
s3 mv
, el archivo u objeto de origen se puede mover sobre sí mismo, lo que puede provocar la eliminación accidental del archivo u objeto de origen. La variable de entornoAWS_CLI_S3_MV_VALIDATE_SAME_S3_PATHS
y la opción--validate-same-s3-paths
especifican si se deben validar los ARN de punto de acceso o los alias de puntos de acceso en las URI de origen o destino de Amazon S3.nota
La validación de rutas de
s3 mv
requiere llamadas a la API adicionales. AWS_CONFIG_FILE
-
Especifica la ubicación del archivo que la AWS CLI utiliza para almacenar perfiles de configuración. La ruta predeterminada es
~/.aws/config
.No puede especificar este valor en una configuración de perfil con nombre o mediante un parámetro de la línea de comandos.
AWS_DATA_PATH
-
Una lista de directorios adicionales para comprobar fuera de la ruta de búsqueda integrada de
~/.aws/models
al cargar datos de AWS CLI. La configuración de esta variable de entorno indica los directorios adicionales que hay que comprobar primero antes de recurrir a las rutas de búsqueda integradas. Varias entradas se deben separar con el carácteros.pathsep
que es:
en Linux o macOS y;
en Windows. AWS_DEFAULT_OUTPUT
-
Especifica el formato de salida que se va a utilizar.
Si se define, esta variable de entorno anula el valor de la configuración del perfil
output
. Puede anular esta variable de entorno mediante el parámetro de la línea de comandos--output
. AWS_DEFAULT_REGION
-
Default region name
identifica la región de AWS a cuyos servidores desea enviar las solicitudes de forma predeterminada. Suele ser la región más cercana a usted, pero puede ser cualquier región. Por ejemplo, puede escribirus-west-2
para utilizar EE.UU. Oeste (Oregón). Esta es la región a la que se envían todas las solicitudes posteriores, a menos que especifique lo contrario en un comando concreto.nota
Cuanto utilice la AWS CLI, debe especificar una región de AWS, ya sea de forma explícita o estableciendo una región predeterminada. Para obtener una lista de las regiones disponibles, consulte Regiones y puntos de enlace. Los designadores de región que la AWS CLI utiliza son los mismos nombres que aparecen en las URL y los puntos de enlace de servicio de AWS Management Console.
Si se define, esta variable de entorno anula el valor de la configuración del perfil
region
. Puede invalidar esta variable de entorno mediante el parámetro de la línea de comandos--region
. AWS_EC2_METADATA_DISABLED
-
Desactiva el uso del servicio de metadatos de la instancia de Amazon EC2 (IMDS).
Si se establece en true (verdadero), las credenciales de usuario o la configuración (como la región) no se solicitan desde IMDS.
AWS_ENDPOINT_URL
-
Especifica el punto de conexión que se utiliza para todas las solicitudes de servicio.
Los ajustes de configuración de punto de conexión se encuentran en varios lugares, como las variables de entorno del sistema o del usuario, los archivos de configuración de AWS locales o declarados explícitamente en la línea de comandos como un parámetro. Los ajustes de configuración del punto de conexión de la AWS CLI tienen prioridad en el siguiente orden:
-
La opción de línea de comandos
--endpoint-url
. -
Si está habilitada, la variable de entorno del punto de conexión
AWS_IGNORE_CONFIGURED_ENDPOINT_URLS
global o la configuración del perfilignore_configure_endpoint_urls
para ignorar los puntos de conexión personalizados. -
El valor proporcionado por una variable de entorno específica del servicio
AWS_ENDPOINT_URL_<SERVICE>
, comoAWS_ENDPOINT_URL_DYNAMODB
. -
Los valores proporcionados por las variables de entorno
AWS_USE_DUALSTACK_ENDPOINT
,AWS_USE_FIPS_ENDPOINT
yAWS_ENDPOINT_URL
. -
El valor de punto de conexión específico del servicio proporcionado por la configuración
endpoint_url
de una sección deservices
del archivo compartidoconfig
. -
El valor proporcionado por la configuración
endpoint_url
en unprofile
de un archivo compartidoconfig
. -
Configuración de
use_dualstack_endpoint
,use_fips_endpoint
yendpoint_url
. -
En último lugar, se utiliza cualquier URL de punto de conexión predeterminada para el Servicio de AWS respectivo. Para obtener una lista de los puntos de enlace de servicio estándar disponibles en cada región, consulte Regiones y puntos de enlace de AWS en la Referencia general de Amazon Web Services.
-
AWS_ENDPOINT_URL_<SERVICE>
-
Especifica un punto de conexión personalizado que se utiliza para un servicio específico, donde
<SERVICE>
se sustituye por el identificador de Servicio de AWS. Por ejemplo, Amazon DynamoDB tiene unserviceId
deDynamoDB
. Para este servicio, la variable de entorno de la URL del punto de conexión es AWS_ENDPOINT_URL_DYNAMODB
.Para obtener una lista de todas las variables de entorno específicas del servicio, consulte Lista de identificadores específicos del servicio.
Los ajustes de configuración de punto de conexión se encuentran en varios lugares, como las variables de entorno del sistema o del usuario, los archivos de configuración de AWS locales o declarados explícitamente en la línea de comandos como un parámetro. Los ajustes de configuración del punto de conexión de la AWS CLI tienen prioridad en el siguiente orden:
-
La opción de línea de comandos
--endpoint-url
. -
Si está habilitada, la variable de entorno del punto de conexión
AWS_IGNORE_CONFIGURED_ENDPOINT_URLS
global o la configuración del perfilignore_configure_endpoint_urls
para ignorar los puntos de conexión personalizados. -
El valor proporcionado por una variable de entorno específica del servicio
AWS_ENDPOINT_URL_<SERVICE>
, comoAWS_ENDPOINT_URL_DYNAMODB
. -
Los valores proporcionados por las variables de entorno
AWS_USE_DUALSTACK_ENDPOINT
,AWS_USE_FIPS_ENDPOINT
yAWS_ENDPOINT_URL
. -
El valor de punto de conexión específico del servicio proporcionado por la configuración
endpoint_url
de una sección deservices
del archivo compartidoconfig
. -
El valor proporcionado por la configuración
endpoint_url
en unprofile
de un archivo compartidoconfig
. -
Configuración de
use_dualstack_endpoint
,use_fips_endpoint
yendpoint_url
. -
En último lugar, se utiliza cualquier URL de punto de conexión predeterminada para el Servicio de AWS respectivo. Para obtener una lista de los puntos de enlace de servicio estándar disponibles en cada región, consulte Regiones y puntos de enlace de AWS en la Referencia general de Amazon Web Services.
-
AWS_IGNORE_CONFIGURED_ENDPOINT_URLS
-
Si está habilitada, AWS CLI ignora todas las configuraciones de punto de conexión personalizadas. Los valores válidos son
true
yfalse
.Los ajustes de configuración de punto de conexión se encuentran en varios lugares, como las variables de entorno del sistema o del usuario, los archivos de configuración de AWS locales o declarados explícitamente en la línea de comandos como un parámetro. Los ajustes de configuración del punto de conexión de la AWS CLI tienen prioridad en el siguiente orden:
-
La opción de línea de comandos
--endpoint-url
. -
Si está habilitada, la variable de entorno del punto de conexión
AWS_IGNORE_CONFIGURED_ENDPOINT_URLS
global o la configuración del perfilignore_configure_endpoint_urls
para ignorar los puntos de conexión personalizados. -
El valor proporcionado por una variable de entorno específica del servicio
AWS_ENDPOINT_URL_<SERVICE>
, comoAWS_ENDPOINT_URL_DYNAMODB
. -
Los valores proporcionados por las variables de entorno
AWS_USE_DUALSTACK_ENDPOINT
,AWS_USE_FIPS_ENDPOINT
yAWS_ENDPOINT_URL
. -
El valor de punto de conexión específico del servicio proporcionado por la configuración
endpoint_url
de una sección deservices
del archivo compartidoconfig
. -
El valor proporcionado por la configuración
endpoint_url
en unprofile
de un archivo compartidoconfig
. -
Configuración de
use_dualstack_endpoint
,use_fips_endpoint
yendpoint_url
. -
En último lugar, se utiliza cualquier URL de punto de conexión predeterminada para el Servicio de AWS respectivo. Para obtener una lista de los puntos de enlace de servicio estándar disponibles en cada región, consulte Regiones y puntos de enlace de AWS en la Referencia general de Amazon Web Services.
-
- AWS_MAX_ATTEMPTS
-
Especifica un valor de los intentos de reintento máximos que utiliza el controlador de reintentos de AWS CLI, donde la llamada inicial cuenta para el valor que proporciona. Para obtener más información acerca de los reintentos, consulte Reintentos de AWS CLI en la AWS CLI.
Si se define, esta variable de entorno anula el valor de la configuración de los perfiles
max_attempts
. AWS_METADATA_SERVICE_NUM_ATTEMPTS
-
Al intentar recuperar las credenciales en una instancia de Amazon EC2 que se haya configurado con un rol de IAM, AWS CLI intenta recuperar las credenciales una vez del servicio de metadatos de la instancia antes de detenerse. Si sabe que los comandos se ejecutarán en una instancia de Amazon EC2, puede aumentar este valor para que AWS CLI realice varios intentos antes de desistir.
AWS_METADATA_SERVICE_TIMEOUT
-
El número de segundos antes de que una conexión al servicio de metadatos de la instancia agote el tiempo de espera. Al intentar recuperar las credenciales en una instancia de Amazon EC2 que se ha configurado con un rol de IAM, una conexión al servicio de metadatos de instancia agotará el tiempo de espera después de 1 segundo de forma predeterminada. Si sabe que está ejecutando en una instancia de Amazon EC2 con un rol de IAM configurado, puede aumentar este valor si es necesario.
- AWS_PROFILE
-
Especifica el nombre del perfil de la AWS CLI con las credenciales y las opciones que se van a utilizar. Puede ser el nombre de un perfil almacenado en un archivo
credentials
oconfig
, o el valordefault
para utilizar el perfil predeterminado.Si se define, esta variable de entorno anula el comportamiento de utilizar el perfil llamado
[default]
en el archivo de configuración. Puede anular esta variable de entorno mediante el parámetro de la línea de comandos--profile
. - AWS_RETRY_MODE
-
Especifica el modo de reintento que utiliza AWS CLI. Hay tres modos de reintento disponibles: heredado (predeterminado), estándar y adaptativo. Para obtener más información acerca de los reintentos, consulte Reintentos de AWS CLI en la AWS CLI.
Si se define, esta variable de entorno anula el valor de la configuración de los perfiles
retry_mode
. AWS_ROLE_ARN
-
Especifica el nombre de recurso de Amazon (ARN) de un rol de IAM con un proveedor de identidades web que desea utilizar para ejecutar los comandos de AWS CLI.
Se utiliza con las variables de entorno
AWS_WEB_IDENTITY_TOKEN_FILE
yAWS_ROLE_SESSION_NAME
.Si se define, esta variable de entorno anula el valor de la configuración del perfil role_arn. No se puede especificar un nombre de sesión de rol como parámetro de línea de comandos.
nota
Esta variable de entorno solo se aplica a un rol asumido con proveedor de identidad web y no se aplican a la configuración general del proveedor de roles asumidos.
Para obtener más información sobre el uso de identidades web, consulte Adopción de un rol con una identidad web.
AWS_ROLE_SESSION_NAME
-
Especifica el nombre que se va a asociar a la sesión de rol. Este valor se proporciona al parámetro
RoleSessionName
cuando la AWS CLI llama a la operaciónAssumeRole
y pasa a formar parte del ARN del usuario del rol asumido:arn:aws:sts::
. Se trata de un parámetro opcional. Si no proporciona este valor, se genera automáticamente un nombre de sesión. Este nombre aparece en los registros de AWS CloudTrail correspondientes a las entradas asociadas a esta sesión.123456789012
:assumed-role/role_name
/role_session_name
Si se define, esta variable de entorno anula el valor de la configuración del perfil role_session_name.
Se utiliza con las variables de entorno
AWS_ROLE_ARN
yAWS_WEB_IDENTITY_TOKEN_FILE
.Para obtener más información sobre el uso de identidades web, consulte Adopción de un rol con una identidad web.
nota
Esta variable de entorno solo se aplica a un rol asumido con proveedor de identidad web y no se aplican a la configuración general del proveedor de roles asumidos.
AWS_SDK_UA_APP_ID
-
Varias aplicaciones de los clientes pueden utilizar una sola Cuenta de AWS para realizar llamadas a los Servicios de AWS. El ID de aplicación identifica qué aplicación de origen ha realizado un conjunto de llamadas mediante un Servicio de AWS. AWS Los SDK y los servicios solo utilizan e interpretan este valor para mostrarlo de nuevo en las comunicaciones con los clientes. Por ejemplo, este valor se puede incluir en los correos electrónicos operativos para identificar de forma exclusiva qué aplicaciones están asociadas a la notificación.
De manera predeterminada, no hay ningún valor.
El ID de la aplicación es una cadena con una longitud máxima de 50 caracteres. Los valores permitidos incluyen letras, números y los siguientes caracteres especiales:
! $ % & * + - . , ^ _ ` | ~
Si se define, esta variable de entorno anula el valor de la configuración del perfil sdk_ua_app_id. No se puede especificar el ID de aplicación como una opción de línea de comandos.
AWS_SECRET_ACCESS_KEY
-
Especifica la clave secreta asociada a la clave de acceso. Se trata básicamente de la "contraseña" de la clave de acceso.
Si se define, esta variable de entorno anula el valor de la configuración del perfil
aws_secret_access_key
. No se puede especificar la ID de clave de acceso secreta como una opción de línea de comandos. AWS_SESSION_TOKEN
-
Especifica el valor del token de sesión que se requiere si utiliza credenciales de seguridad temporales que ha recuperado directamente de las operaciones de AWS STS. Para obtener más información, consulte la sección Output del comando de rol asumido en la Referencia de comando de AWS CLI.
Si se define, esta variable de entorno anula el valor de la configuración del perfil
aws_session_token
. AWS_SHARED_CREDENTIALS_FILE
-
Especifica la ubicación del archivo que la AWS CLI utiliza para almacenar claves de acceso. La ruta predeterminada es
~/.aws/credentials
.No puede especificar este valor en una configuración de perfil con nombre o mediante un parámetro de la línea de comandos.
- AWS_STS_REGIONAL_ENDPOINTS
-
Especifica cómo la AWS CLI determina el punto de enlace del servicio de AWS que el cliente de la AWS CLI utiliza para comunicarse con AWS Security Token Service (AWS STS). El valor predeterminado para la versión 1 de AWS CLI es
legacy
.Puede especificar uno de estos dos valores:
-
legacy
: utiliza el punto de enlace global de STS,sts.amazonaws.com
, para las siguientes regiones de AWS:ap-northeast-1
,ap-south-1
,ap-southeast-1
,ap-southeast-2
,aws-global
,ca-central-1
,eu-central-1
,eu-north-1
,eu-west-1
,eu-west-2
,eu-west-3
,sa-east-1
,us-east-1
,us-east-2
,us-west-1
yus-west-2
. Todas las demás regiones utilizan automáticamente su punto de conexión regional respectivo. -
regional
: la AWS CLI utiliza siempre el punto de enlace de AWS STS para la región configurada actualmente. Por ejemplo, si el cliente está configurado para usarus-west-2
, todas las llamadas a AWS STS se hacen al punto de conexión regionalsts.us-west-2.amazonaws.com
en vez de al punto de conexión globalsts.amazonaws.com
. Para enviar una solicitud al punto de enlace global mientras esta configuración está habilitada, puede establecer la región enaws-global
.
-
AWS_USE_DUALSTACK_ENDPOINT
-
Permite el uso de puntos de conexión de doble pila para enviar solicitudes de AWS. Para obtener más información sobre los puntos de conexión de doble pila, que admiten tráfico de IPv4 e IPv6, consulte Uso de puntos de conexión de doble pila de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service. Los puntos de conexión de doble pila están disponibles para algunos servicios en algunas regiones. Si no existe un punto de conexión de doble pila para el servicio o Región de AWS, la solicitud produce un error. Esta opción está deshabilitada de forma predeterminada.
Los ajustes de configuración de punto de conexión se encuentran en varios lugares, como las variables de entorno del sistema o del usuario, los archivos de configuración de AWS locales o declarados explícitamente en la línea de comandos como un parámetro. Los ajustes de configuración del punto de conexión de la AWS CLI tienen prioridad en el siguiente orden:
-
La opción de línea de comandos
--endpoint-url
. -
Si está habilitada, la variable de entorno del punto de conexión
AWS_IGNORE_CONFIGURED_ENDPOINT_URLS
global o la configuración del perfilignore_configure_endpoint_urls
para ignorar los puntos de conexión personalizados. -
El valor proporcionado por una variable de entorno específica del servicio
AWS_ENDPOINT_URL_<SERVICE>
, comoAWS_ENDPOINT_URL_DYNAMODB
. -
Los valores proporcionados por las variables de entorno
AWS_USE_DUALSTACK_ENDPOINT
,AWS_USE_FIPS_ENDPOINT
yAWS_ENDPOINT_URL
. -
El valor de punto de conexión específico del servicio proporcionado por la configuración
endpoint_url
de una sección deservices
del archivo compartidoconfig
. -
El valor proporcionado por la configuración
endpoint_url
en unprofile
de un archivo compartidoconfig
. -
Configuración de
use_dualstack_endpoint
,use_fips_endpoint
yendpoint_url
. -
En último lugar, se utiliza cualquier URL de punto de conexión predeterminada para el Servicio de AWS respectivo. Para obtener una lista de los puntos de enlace de servicio estándar disponibles en cada región, consulte Regiones y puntos de enlace de AWS en la Referencia general de Amazon Web Services.
-
AWS_USE_FIPS_ENDPOINT
-
Algunos servicios de AWS ofrecen puntos de conexión compatibles que admiten el Estándar de procesamiento de la información federal (FIPS) 140-2
en algunas Regiones de AWS. Cuando el servicio de AWS es compatible con FIPS, esta configuración establece qué punto de conexión FIPS debe utilizar la AWS CLI. A diferencia de los puntos de conexión de AWS estándar, los puntos de conexión FIPS utilizan una biblioteca de software TLS que cumple con FIPS 140-2. Las empresas que trabajan con el gobierno de los Estados Unidos pueden requerir estos puntos de conexión. Si esta configuración está habilitada pero no existe un punto de conexión FIPS para el servicio en la Región de AWS, es posible que el comando AWS produzca un error. En este caso, especifique manualmente el punto de conexión que se va a utilizar en el comando mediante la opción
--endpoint-url
o utilice los puntos de conexión específicos del servicio.Para obtener más información sobre cómo especificar los puntos de conexión de FIPS por Región de AWS, consulte Puntos de conexión de FIPS por servicio
. Los ajustes de configuración de punto de conexión se encuentran en varios lugares, como las variables de entorno del sistema o del usuario, los archivos de configuración de AWS locales o declarados explícitamente en la línea de comandos como un parámetro. Los ajustes de configuración del punto de conexión de la AWS CLI tienen prioridad en el siguiente orden:
-
La opción de línea de comandos
--endpoint-url
. -
Si está habilitada, la variable de entorno del punto de conexión
AWS_IGNORE_CONFIGURED_ENDPOINT_URLS
global o la configuración del perfilignore_configure_endpoint_urls
para ignorar los puntos de conexión personalizados. -
El valor proporcionado por una variable de entorno específica del servicio
AWS_ENDPOINT_URL_<SERVICE>
, comoAWS_ENDPOINT_URL_DYNAMODB
. -
Los valores proporcionados por las variables de entorno
AWS_USE_DUALSTACK_ENDPOINT
,AWS_USE_FIPS_ENDPOINT
yAWS_ENDPOINT_URL
. -
El valor de punto de conexión específico del servicio proporcionado por la configuración
endpoint_url
de una sección deservices
del archivo compartidoconfig
. -
El valor proporcionado por la configuración
endpoint_url
en unprofile
de un archivo compartidoconfig
. -
Configuración de
use_dualstack_endpoint
,use_fips_endpoint
yendpoint_url
. -
En último lugar, se utiliza cualquier URL de punto de conexión predeterminada para el Servicio de AWS respectivo. Para obtener una lista de los puntos de enlace de servicio estándar disponibles en cada región, consulte Regiones y puntos de enlace de AWS en la Referencia general de Amazon Web Services.
-
- AWS_WEB_IDENTITY_TOKEN_FILE
-
Especifica la ruta de un archivo que contiene un token de acceso de OAuth 2.0 o un token de ID de OpenID Connect proporcionado por un proveedor de identidades. La AWS CLI carga el contenido de este archivo y lo pasa como argumento
WebIdentityToken
a la operaciónAssumeRoleWithWebIdentity
.Se utiliza con las variables de entorno
AWS_ROLE_ARN
yAWS_ROLE_SESSION_NAME
.Si se define, esta variable de entorno anula el valor de la configuración del perfil
web_identity_token_file
.Para obtener más información sobre el uso de identidades web, consulte Adopción de un rol con una identidad web.
nota
Esta variable de entorno solo se aplica a un rol asumido con proveedor de identidad web y no se aplican a la configuración general del proveedor de roles asumidos.