Installazione e configurazione dell' AWS CLI - AWS OpsWorks
Utilizzo di un ruolo IAMUtilizzo delle credenziali installate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Installazione e configurazione dell' AWS CLI

Importante

Il AWS OpsWorks Stacks servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disabilitato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta il AWS Support Team su AWS re:post o tramite Premium AWS Support.

Prima di registrare la prima istanza, è necessario eseguire la versione 1.16.180 AWS CLI o una versione successiva sul computer da cui si esegue. register I dettagli dell'installazione dipendono dal sistema operativo della workstation. Per ulteriori informazioni sull'installazione AWS CLI, consulta Installazione dell'interfaccia a riga di comando AWS e Configurazione dell'interfaccia a riga di comando AWS. Per verificare la versione di AWS CLI in esecuzione, immetti aws --version in una sessione shell.

Nota

Sebbene AWS Tools for PowerShell includa il Register-OpsInstancecmdlet, che richiama l'azione dell'registerAPI, consigliamo invece di utilizzare il AWS CLI per eseguire il register comando.

È necessario eseguire register con le autorizzazioni appropriate. Puoi ottenere le autorizzazioni utilizzando un ruolo IAM o, in modo meno ottimale, installando credenziali utente con le autorizzazioni appropriate sulla workstation o sull'istanza da registrare. È quindi possibile eseguire register con tali credenziali, come descritto più avanti. Specificate le autorizzazioni allegando una policy IAM all'utente o al ruolo. Infattiregister, utilizzi AWSOpsWorksRegisterCLI_OnPremises le politiche AWSOpsWorksRegisterCLI_EC2 o, che concedono le autorizzazioni per registrare istanze Amazon EC2 o locali, rispettivamente.

Nota

Se esegui register su un'istanza Amazon EC2, idealmente dovresti utilizzare un ruolo IAM per fornire le credenziali. Per ulteriori informazioni su come associare un ruolo IAM a un'istanza esistente, consulta Collegare un ruolo IAM a un'istanza o Sostituire un ruolo IAM nella Guida per l'utente di Amazon EC2.

Per frammenti di codice di esempio delle policy AWSOpsWorksRegisterCLI_EC2 e AWSOpsWorksRegisterCLI_OnPremises, consulta Policy di registrazione delle istanze. Per ulteriori informazioni sulla creazione e sulla gestione delle credenziali AWS, consulta Credenziali di sicurezza AWS.

Utilizzo di un ruolo IAM

Se stai eseguendo il comando dall'istanza Amazon EC2 che intendi registrare, la strategia preferita per fornire le credenziali register consiste nell'utilizzare un ruolo IAM con la AWSOpsWorksRegisterCLI_EC2 policy o autorizzazioni equivalenti allegate. Questo approccio consente di evitare l'installazione delle credenziali nell'istanza. Un modo per eseguire questa operazione consiste nell'utilizzare il comando Attach/Replace IAM Role (Collega/Sostituisci Ruolo di IAM) nella console EC2, come illustrato nella seguente immagine.

Per ulteriori informazioni su come associare un ruolo IAM a un'istanza esistente, consulta Collegare un ruolo IAM a un'istanza o Sostituire un ruolo IAM nella Guida per l'utente di Amazon EC2. Per istanze avviate con un profilo dell'istanza (opzione consigliata), aggiungere il parametro --use-instance-profile al comando register per fornire le credenziali. Non utilizzare il parametro --profile.

Se l'istanza è in esecuzione e ha un ruolo, è possibile concedere le autorizzazioni necessarie collegando la policy AWSOpsWorksRegisterCLI_EC2 al ruolo. Il ruolo fornisce un set di credenziali predefinite per l'istanza. Se le credenziali non sono state installate nell'istanza, register automaticamente assume il ruolo e viene eseguito con le autorizzazioni.

Importante

È consigliabile non installare le credenziali sull'istanza. Oltre a creare un rischio per la sicurezza, il ruolo dell'istanza si colloca alla fine della catena di provider predefiniti che AWS CLI utilizza per individuare le credenziali predefinite. Le credenziali installate potrebbero richiedere la precedenza sul ruolo e register potrebbe quindi non avere le autorizzazioni necessarie. Per ulteriori informazioni, consulta Nozioni di base di AWS CLI.

Se un'istanza in esecuzione non ha un ruolo, è necessario installare le credenziali con le autorizzazioni necessarie sull'istanza, come descritto in Utilizzo delle credenziali installate. È consigliabile, più semplice e meno soggetto a errori utilizzare le istanze avviate con un profilo dell'istanza.

Utilizzo delle credenziali installate

Esistono diversi modi per installare le credenziali utente su un sistema e fornirle a un AWS CLI comando. Quanto segue descrive un approccio che non è più raccomandato, ma può essere utilizzato se si registrano istanze EC2 avviate senza un profilo dell'istanza. È inoltre possibile utilizzare le credenziali esistenti di un utente purché le policy collegate concedano le autorizzazioni necessarie. Per ulteriori informazioni, tra cui una descrizione di altri modi per installare le credenziali, consulta File di configurazione e delle credenziali.

Utilizzare le credenziali installate

  1. Crea un utente IAM e salva l'ID della chiave di accesso e la chiave di accesso segreta in un luogo sicuro.

    avvertimento

    Gli utenti IAM dispongono di credenziali a lungo termine, il che rappresenta un rischio per la sicurezza. Per contribuire a mitigare questo rischio, ti consigliamo di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'attività e di rimuoverli quando non sono più necessari.

  2. Allega la AWSOpsWorksRegisterCLI_OnPremises policy all'utente. Se si preferisce, è possibile collegare una policy che concede autorizzazioni più ampie, purché includa le autorizzazioni AWSOpsWorksRegisterCLI_OnPremises.

  3. Creare un profilo per l'utente nel file credentials del sistema. Il file si trova in ~/.aws/credentials (Linux, Unix e OS X) o C:\Users\User_Name\.aws\credentials (sistemi Windows). Il file contiene uno o più profili nel seguente formato, ognuno dei quali contiene l'ID della chiave di accesso dell'utente e una chiave di accesso segreta. 

    
[profile_name]
aws_access_key_id = access_key_id
aws_secret_access_key = secret_access_key

    Sostituisci le credenziali IAM salvate in precedenza con i valori access_key_id e secret_access_key. È possibile specificare qualsiasi nome si preferisce per un nome del profilo, con due limitazioni: il nome deve essere unico e il profilo predefinito deve essere denominato default. È inoltre possibile utilizzare un profilo esistente, purché associato alle autorizzazioni necessarie.

  4. Utilizzare il parametro --profile del comando register per specificare il nome del profilo. Il comando register verrà eseguito con le autorizzazioni concesse alle credenziali associate.

    È possibile anche omettere --profile. In questo caso, register viene eseguito con le credenziali predefinite. Si noti che queste non sono necessariamente le credenziali del profilo predefinito, pertanto è necessario accertarsi che le credenziali predefinite abbiano le autorizzazioni necessarie. Per ulteriori informazioni su come AWS CLI determina le credenziali predefinite, consulta Configurazione dell'interfaccia a riga di comando di AWS.