Documentation AWS » AWS Command Line Interface » Guide de l'utilisateur » Configuration de l'AWS CLI

Configuration de l'AWS CLI

Cette section explique comment configurer les paramètres utilisés par l'AWS Command Line Interface (AWS CLI) lors de l'interaction avec AWS, notamment les informations d'identification de sécurité, le format de sortie par défaut et la région AWS par défaut.

Note

AWS exige que toutes les demandes entrantes soient signées de manière chiffrée. L'AWS CLI le fait automatiquement. La « signature » inclut un horodatage. Par conséquent, vous devez veiller à ce que la date et l'heure de votre ordinateur soient correctement définies. Dans le cas contraire, si la date et l'heure de la signature sont trop éloignées de celles reconnues par le service AWS, AWS rejette la demande.

Sections

• Configuration rapide de l'AWS CLI
• Création de plusieurs profils
• Configuration des paramètres et des priorités
• Paramètres des fichiers de configuration et d'informations d'identification
• Profils nommés
• Configuration de l'AWS CLI pour utiliser Authentification unique AWS (AWS SSO)
• Variables d'environnement
• Options de ligne de commande
• Utilisation d'informations d'identification provenant d'un processus externe
• Métadonnées de l'instance
• Utilisation d'un proxy HTTP
• Utilisation d’un rôle IAM dans l'AWS CLI
• Saisie automatique des commandes

Configuration rapide de l'AWS CLI

Pour une utilisation générale, la commande aws configure est le moyen le plus rapide pour configurer l'installation de votre AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Lorsque vous tapez cette commande, l'AWS CLI vous invite à fournir quatre informations : la clé d'accès, la clé d'accès secrète, la région AWS et le format de sortie). Ces informations sont décrites dans les sections suivantes. L’AWS CLI stocke ces informations dans un profil (ensemble de paramètres) nommé default. Les informations du profil default sont ensuite utilisées chaque fois que vous exécutez une commande d’AWS CLI qui ne spécifie pas explicitement un profil à utiliser.

Clé d'accès et clé d'accès secrète

Les valeurs AWS Access Key ID et AWS Secret Access Key correspondent à vos informations d'identification AWS. Elles sont associées à un utilisateur ou à un rôle AWS Identity and Access Management (IAM) qui détermine les autorisations dont vous disposez. Pour plus d'informations sur la création d'un utilisateur avec le service IAM, consultez Création de votre premier utilisateur administrateur et groupe IAM dans le IAM Guide de l'utilisateur.

Les clés d'accès se composent d'un ID de clé d'accès et d'une clé d'accès secrète, qui permettent de signer les demandes par programme auprès des services AWS. Si vous n'avez pas de clé d'accès, vous pouvez en créer dans AWS Management Console. À titre de bonne pratique, n'utilisez pas les clés d'accès Utilisateur racine d'un compte AWS pour une tâche lorsque cela n'est pas nécessaire. À la place créez un utilisateur administrateur IAM avec les clés d'accès pour vous-même.

Vous pouvez uniquement afficher ou télécharger les clés d'accès secrètes lorsque vous les créez. Vous ne pouvez pas les récupérer plus tard. Cependant, vous pouvez créer de nouvelles clés d'accès à tout moment. Vous devez également disposer des autorisations permettant d'effectuer les opérations IAM nécessaires. Pour de plus amples informations, veuillez consulter Autorisations requises pour accéder aux ressources IAM dans le manuel IAM Guide de l'utilisateur.

Pour créer des clés d'accès pour un utilisateur IAM

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation, sélectionnez Utilisateurs.

3. Choisissez le nom utilisateur dont vous souhaitez gérer les clés d'accès, puis sélectionnez l'onglet Security credentials (Informations d'identification de sécurité).

4. Dans la section Access keys (Clés d'accès), cliquez sur Create access key (Créer une clé d'accès).

5. Pour afficher la nouvelle clé d'accès, choisissez Show (Afficher). Vous ne pourrez pas accéder à la clé d'accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée. Vos informations d'identification s'afficheront comme suit :

   • ID de clé d'accès : AKIAIOSFODNN7EXAMPLE

   • Clé d'accès secrète : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

6. Pour télécharger la paire de clés, choisissez Télécharger le fichier .csv. Stockez les clés dans un emplacement sûr. Vous ne pourrez pas accéder à la clé d'accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée.

   Préservez la confidentialité des clés afin de protéger votre compte AWS et ne les envoyez jamais par e-mail. Ne les divulguez à personne hors de votre entreprise, même si vous recevez une demande qui semble provenir d'AWS ou d'Amazon.com. Aucun véritable représentant d'Amazon ne vous demandera jamais de lui fournir votre clé secrète.

7. Après avoir téléchargé le fichier .csv, choisissez Close (Fermer). Lorsque vous créez une clé d'accès, la paire de clés est activée par défaut et vous pouvez utiliser la paire immédiatement.

Voir aussi

• Qu'est-ce que l'IAM? dans le IAM Guide de l'utilisateur

• Informations d'identification de sécurité AWS dans AWS General Reference

Région

Le Default region name identifie la région AWS pour laquelle vous souhaitez envoyer les requêtes aux serveurs par défaut. Il s'agit généralement de la région la plus proche de vous, mais il peut s'agir de n'importe quelle autre région. Par exemple, vous pouvez taper us-west-2 pour utiliser USA Ouest (Oregon). Il s'agit de la région à laquelle toutes les requêtes ultérieures sont envoyées, à moins que vous ne spécifiiez une autre option dans une commande individuelle.

Note

Vous devez spécifier une région AWS lors de l'utilisation de l'AWS CLI, explicitement ou en définissant une région par défaut. Pour connaître la liste des régions disponibles, consultez Régions et points de terminaison. Les indicateurs de région utilisés par l'AWS CLI sont les mêmes que ceux des URL et des points de terminaison de service de AWS Management Console.

Résultat

La valeur Default output format spécifie la façon dont les résultats sont formatés. Il peut s'agir de l'une des valeurs de la liste suivante. Si vous n'indiquez pas de format de sortie, json sera utilisé par défaut.

• json : la sortie est au format d'une chaîne JSON.

• text : la sortie se présente sous la forme de plusieurs lignes de valeurs séparées par des tabulations, ce qui peut s'avérer pratique si vous souhaitez transmettre la sortie à un éditeur de texte, comme grep, sed ou awk.

• table : la sortie est au format d'un tableau utilisant les caractères +|- pour délimiter les bordures des cellules. La présentation des informations est dans un format beaucoup plus lisible par l'utilisateur que les autres, mais peu pratique du point de vue programmation.

Création de plusieurs profils

Si vous utilisez la commande illustrée dans la section précédente, il en résulte un profil unique nommé default. Vous pouvez créer des configurations supplémentaires auxquelles vous pouvez faire référence avec un nom en spécifiant l'option --profile et en attribuant un nom. L'exemple suivant crée un profil nommé produser. Vous pouvez spécifier des informations d'identification à partir d’un compte et d'une région totalement différents des autres profils.

$ aws configure --profile produser
AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE
AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]: text

Ensuite, lorsque vous exécutez une commande, vous pouvez omettre l'option --profile et utiliser les informations d’identification et les paramètres stockés dans le profil default.

$ aws s3 ls

Vous pouvez également spécifier un --profile profilename et utiliser les informations d'identification et les paramètres stockés sous ce nom.

$ aws s3 ls --profile produser

Pour mettre à jour l'un de vos paramètres, il vous suffit d'exécuter aws configure à nouveau (avec ou sans le paramètre --profile selon le profil que vous souhaitez mettre à jour) et d'entrer les nouvelles valeurs souhaitées. Les sections suivantes contiennent plus d'informations sur les fichiers créés par aws configure, les paramètres supplémentaires et les profils nommés.

Configuration des paramètres et des priorités

L'AWS CLI utilise un ensemble de fournisseurs d'informations d'identification pour rechercher des informations d'identification AWS. Chaque fournisseur d'informations d'identification recherche celles-ci à un endroit différent, tel que les variables système ou celles de l'environnement utilisateur, les fichiers de configuration AWS locaux ou les informations explicitement déclarées sur la ligne de commande en tant que paramètre. L'AWS CLI recherche les informations d'identification et les paramètres de configuration en appelant les fournisseurs dans l'ordre suivant, en s'arrêtant lorsqu'elle détecte un ensemble d'informations d'identification à utiliser :

1. Options de ligne de commande – Vous pouvez spécifier --region, --output et --profile comme paramètres au niveau de la ligne de commande.

2. Variables d'environnement – Vous pouvez stocker les valeurs dans les variables d'environnement : AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY et AWS_SESSION_TOKEN. Si elles sont présentes, elles sont utilisées.

3. Le fichier d'informations d'identification CLI – Il s'agit de l'un des fichiers qui est mis à jour lorsque vous exécutez la commande aws configure. Ce fichier est situé dans ~/.aws/credentials sous Linux, macOS, or Unix, ou dans C:\Users\USERNAME\.aws\credentials sous Windows. Ce fichier contient les informations d'identification du profil default et de tous les profils nommés.

4. Le fichier de configuration CLI – Il s'agit d'un des autres fichiers qui est mis à jour lorsque vous exécutez la commande aws configure. Ce fichier est situé dans ~/.aws/config sous Linux, macOS, or Unix, ou dans C:\Users\USERNAME\.aws\config sous Windows. Ce fichier contient les paramètres de configuration du profil par défaut et des profils nommés.

5. Informations d'identification du conteneur – Vous pouvez associer un rôle IAM à chacune de vos définitions de tâche Amazon Elastic Container Service (Amazon ECS). Les informations d'identification temporaires pour ce rôle sont ensuite disponibles pour les conteneurs de cette tâche. Pour plus d'informations, consultez Rôles IAM pour les tâches dans le Amazon Elastic Container Service Developer Guide.

6. Informations d'identification des profils d'instance – Vous pouvez associer un rôle IAM à chacune de vos instances Amazon Elastic Compute Cloud (Amazon EC2). Les informations d'identification temporaires pour ce rôle sont ensuite disponibles pour l'exécution du code dans l'instance. Les informations d'identification sont fournies via le service de métadonnées Amazon EC2. Pour plus d'informations, consultez Rôle IAM pour Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux et Utilisation des profils d'instance dans le IAM Guide de l'utilisateur.