Configurazione del AWS CLI - AWS Command Line Interface
Raccogliere le informazioni sulle credenziali per l’accesso programmaticoConfigurazione di nuove configurazioni e credenzialiUtilizzo di file di configurazione e credenziali esistenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del AWS CLI

Questo argomento spiega come configurare rapidamente le impostazioni di base utilizzate da AWS Command Line Interface (AWS CLI) per interagire AWS. Queste includono le credenziali di sicurezza, il formato di output predefinito e la AWS regione predefinita.

Raccogliere le informazioni sulle credenziali per l’accesso programmatico

Avrai bisogno dell'accesso programmatico se desideri interagire con l' AWS esterno di. Console di gestione AWS Per istruzioni di autenticazione e credenziali, scegli una delle seguenti opzioni:

Tipo di autenticazione Scopo Istruzioni

AWS Credenziali della console di gestione

(Consigliato) Utilizza credenziali a breve termine accedendo alla AWS CLI con le credenziali della console. Consigliato se utilizzi root, utenti IAM o federazione con IAM per l'accesso all'account AWS

Accedi per lo sviluppo AWS locale utilizzando le credenziali della console

Credenziali a breve termine per gli utenti della forza lavoro del Centro identità IAM

 Utilizza credenziali a breve termine per un utente della forza lavoro di IAM Identity Center.

Le best practice di sicurezza sono da utilizzare AWS Organizations con IAM Identity Center. Combina credenziali a breve termine con una directory utente, ad esempio la directory integrata del Centro identità IAM o di Active Directory.

 Configurazione dell’autenticazione in Centro identità IAM con AWS CLI
Credenziali a breve termine per utenti IAM Utilizza le credenziali a breve termine degli utenti IAM, che sono più sicure delle credenziali a lungo termine. Se le tue credenziali sono compromesse, è previsto un periodo di tempo limitato in cui possono essere utilizzate prima della scadenza. Autenticazione con credenziali a breve termine per la AWS CLI
Utenti IAM o IAM Identity Center su un' EC2 istanza Amazon. Utilizza i metadati delle EC2 istanze Amazon per richiedere credenziali temporanee utilizzando il ruolo assegnato all'istanza Amazon EC2 . Utilizzo dei metadati dell’istanza Amazon EC2 come credenziali nella AWS CLI
Assumere ruoli per le autorizzazioni Associa un altro metodo di credenziali e assumi un ruolo per l’accesso temporaneo a cui l’utente dei Servizi AWS potrebbe non avere accesso. Utilizzo di un ruolo IAM in AWS CLI
Credenziali a lungo termine per utenti IAM (Non raccomandato) Utilizzare credenziali a lungo termine, che non hanno scadenza. Autenticazione tramite credenziali utente IAM per AWS CLI
Archiviazione esterna degli utenti della forza lavoro IAM o del Centro identità IAM (Non raccomandato) Associare un altro metodo di credenziali ma archiviare i valori delle credenziali in una posizione esterna alla AWS CLI. Questo metodo è sicuro solo quanto la posizione esterna in cui sono archiviate le credenziali. Acquisizione di credenziali con un processo esterno nella CLI

Configurazione di nuove configurazioni e credenziali

AWS CLI Memorizza le informazioni di configurazione e credenziali in un profilo (una raccolta di impostazioni) nei file and. credentials config

Esistono principalmente due metodi per eseguire rapidamente la configurazione:

Gli esempi seguenti utilizzano valori di esempio per ciascuno dei metodi di autenticazione. Sostituire i valori di esempio con i propri.

Configurazione tramite i comandi della AWS CLI

Per uso generale, i comandi aws configure sso o aws configure nel terminale preferito sono il modo più veloce per configurare l’installazione della AWS CLI . In base al metodo di credenziale che preferisci, ti AWS CLI vengono richieste le informazioni pertinenti. Per impostazione predefinita, le informazioni in questo profilo vengono utilizzate quando si esegue un AWS CLI comando che non specifica esplicitamente un profilo da utilizzare.

Per ulteriori informazioni sui file credentials e config, consulta Impostazioni dei file di configurazione e delle credenziali nella AWS CLI.

Console sessions as short-term credentials

Questo esempio consente di utilizzare le credenziali della console esistenti con il aws login comando. Questo metodo di accesso può essere utilizzato con credenziali root create durante la configurazione iniziale dell'account, con un utente IAM o con un'identità federata del provider di identità. Per ulteriori informazioni, consulta Accesso per lo sviluppo AWS locale utilizzando le credenziali della console.

$ aws login
No AWS region has been configured. The AWS region is the geographic location of your AWS resources. 

If you've used AWS before and already have resources in your account, tell us which region they were 
created in. If you haven't created resources in your account before, you can pick the region closest to you: 
https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html. You are able to change 
the region in the CLI at any time with the command `aws configure set region NEW_REGION`.
AWS Region [us-east-1]: us-east-1
Attempting to open the login page for `us-east-1` in your default browser. If the browser does not open, 
use the following URL to complete your login:

https://us-east-1.signin.aws.amazon.com/v1/authorize<abbreviated>

If you cannot connect to this URL, make sure that you have specified a valid region.

Waiting for login...

Logged in with role `arn:aws:sts::012345678910:user/iam-user`, and configured profile 
`default` to use `us-east-1`. This session will expire on October 14, 2025 at 2:04 PST. After this time, you 
can renew your session with `aws login`.
IAM Identity Center (SSO)

Questo esempio riguarda l' AWS IAM Identity Center utilizzo della aws configure sso procedura guidata. Per ulteriori informazioni, consulta Configurazione dell’autenticazione in Centro identità IAM con AWS CLI.

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

Attempting to automatically open the SSO authorization page in your default browser.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
IAM Identity Center (Legacy SSO)

Questo esempio riguarda il metodo precedente di AWS IAM Identity Center utilizzo della aws configure sso procedura guidata. Per utilizzare l’SSO precedente, lascia vuoto il nome della sessione. Per ulteriori informazioni, consulta Configurazione dell’autenticazione in Centro identità IAM con AWS CLI.

$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
Short-term credentials

Questo esempio riguarda le credenziali a breve termine di AWS Identity and Access Management. Dopo aver utilizzato la procedura guidata aws configure per impostare i valori iniziali, il comando aws configure set assegna l’ultimo valore necessario. Per ulteriori informazioni, consulta Autenticazione con credenziali a breve termine per la AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
IAM role

Questo esempio serve per assumere un ruolo IAM. I profili che utilizzano i ruoli IAM estraggono le credenziali da un altro profilo e quindi applicano le autorizzazioni dei ruoli IAM. Negli esempi seguenti, default è il profilo di origine per le credenziali e user1 prende in prestito le stesse credenziali per poi assumere un nuovo ruolo. Non esiste una procedura guidata per questo processo, pertanto ogni valore viene impostato utilizzando il comando aws configure set. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM in AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json
Amazon EC2 instance metadata credentials

Questo esempio riguarda le credenziali ottenute dai metadati dell' EC2 istanza Amazon di hosting. Non esiste una procedura guidata per questo processo, pertanto ogni valore viene impostato utilizzando il comando aws configure set. Per ulteriori informazioni, consulta Utilizzo dei metadati dell’istanza Amazon EC2 come credenziali nella AWS CLI.

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json
Long-term credentials
avvertimento

Per evitare rischi per la sicurezza, non utilizzare gli utenti IAM per l’autenticazione quando sviluppi software creato ad hoc o lavori con dati reali. Utilizza invece la federazione con un provider di identità come AWS IAM Identity Center.

Questo esempio riguarda le credenziali a lungo termine di AWS Identity and Access Management. Per ulteriori informazioni, consulta Autenticazione tramite credenziali utente IAM per AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Per informazioni più dettagliate sui metodi di autenticazione e credenziali, consulta Credenziali di autenticazione e accesso per la AWS CLI.

Modifica manuale delle credenziali e dei file di configurazione

Quando copi e incolli le informazioni, ti suggeriamo di modificare manualmente il file config e credentials. In base al metodo di credenziali preferito, i file vengono configurati in modo diverso.

I file vengono memorizzati nella home directory all’interno della cartella .aws. La posizione della home directory varia in base al sistema operativo, ma viene definita utilizzando le variabili di ambiente %UserProfile% in Windows e $HOME o ~ (tilde) nei sistemi basati su Unix. Per ulteriori informazioni su dove sono memorizzate queste impostazioni, consulta Dove vengono archiviate le impostazioni di configurazione?.

Gli esempi seguenti mostrano un profilo default e un profilo denominato user1 e utilizzano valori di esempio. Sostituire i valori di esempio con i propri. Per ulteriori informazioni sui file credentials e config, consulta Impostazioni dei file di configurazione e delle credenziali nella AWS CLI.

IAM Identity Center (SSO)

Questo esempio è per. AWS IAM Identity Center Per ulteriori informazioni, consulta Configurazione dell’autenticazione in Centro identità IAM con AWS CLI.

File di credenziali

Il file credentials non viene utilizzato per questo metodo di autenticazione.

File di configurazione

[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
IAM Identity Center (Legacy SSO)

Questo esempio riguarda il metodo legacy di AWS IAM Identity Center. Per ulteriori informazioni, consulta Configurazione dell’autenticazione in Centro identità IAM con AWS CLI.

File di credenziali

Il file credentials non viene utilizzato per questo metodo di autenticazione.

File di configurazione

[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
Short-term credentials

Questo esempio riguarda le credenziali a breve termine di AWS Identity and Access Management. Per ulteriori informazioni, consulta Autenticazione con credenziali a breve termine per la AWS CLI.

File di credenziali

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

File di configurazione

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text
IAM role

Questo esempio serve per assumere un ruolo IAM. I profili che utilizzano i ruoli IAM estraggono le credenziali da un altro profilo e quindi applicano le autorizzazioni dei ruoli IAM. Negli esempi seguenti, default è il profilo di origine per le credenziali e user1 prende in prestito le stesse credenziali per poi assumere un nuovo ruolo. Per ulteriori informazioni, consulta Utilizzo di un ruolo IAM in AWS CLI.

File di credenziali

Il file credentials dipende dall’autenticazione utilizzata dal profilo di origine. Nell’esempio seguente, il profilo di origine utilizza credenziali a breve termine.

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

File di configurazione

[default]
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text
Amazon EC2 instance metadata credentials

Questo esempio riguarda le credenziali ottenute dai metadati dell' EC2 istanza Amazon di hosting. Per ulteriori informazioni, consulta Utilizzo dei metadati dell’istanza Amazon EC2 come credenziali nella AWS CLI.

File di credenziali

Il file credentials non viene utilizzato per questo metodo di autenticazione.

File di configurazione

[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text
Long-term credentials
avvertimento

Per evitare rischi per la sicurezza, non utilizzare gli utenti IAM per l’autenticazione quando sviluppi software creato ad hoc o lavori con dati reali. Utilizza invece la federazione con un provider di identità come AWS IAM Identity Center.

Questo esempio riguarda le credenziali a lungo termine di AWS Identity and Access Management. Per ulteriori informazioni, consulta Autenticazione tramite credenziali utente IAM per AWS CLI.

File di credenziali

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

File di configurazione

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

Per informazioni più dettagliate sui metodi di autenticazione e credenziali, consulta Credenziali di autenticazione e accesso per la AWS CLI.

Utilizzo di file di configurazione e credenziali esistenti

Se disponi di file di configurazione e credenziali esistenti, questi possono essere utilizzati per AWS CLI.

Per utilizzare i file credentials e config, spostali nella cartella denominata .aws nella tua home directory. La posizione della home directory varia in base al sistema operativo, ma viene definita utilizzando le variabili di ambiente %UserProfile% in Windows e $HOME o ~ (tilde) nei sistemi basati su Unix.

Puoi specificare una posizione non predefinita per i file config e credentials impostando le variabili di ambiente AWS_CONFIG_FILE e AWS_SHARED_CREDENTIALS_FILE su un altro percorso locale. Per informazioni dettagliate, vedi Configurazione delle variabili d’ambiente per AWS CLI.

Per informazioni più dettagliate sui file di configurazione e credenziali, consulta Impostazioni dei file di configurazione e delle credenziali nella AWS CLI.