のセットアップ AWS CLI - AWS Command Line Interface
プログラムによるアクセス用の認証情報を収集する新しい設定と認証情報のセットアップ既存の設定と認証情報ファイルの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のセットアップ AWS CLI

このトピックでは、 AWS Command Line Interface (AWS CLI) が とやり取りするために使用する基本設定をすばやく設定する方法について説明します AWS。これには、セキュリティ認証情報、デフォルトの出力形式、デフォルトの AWS リージョンが含まれます。

プログラムによるアクセス用の認証情報を収集する

の AWS 外部とやり取りする場合は、プログラムによるアクセスが必要です AWS Management Console。認証と認証情報の説明については、次のいずれかのオプションを選択します。

[Authentication type] (認証タイプ) 目的 手順

IAM Identity Center ワークフォースユーザーの短期認証情報

 (推奨) IAM Identity Center ワークフォースユーザーには短期認証情報を使用します。

セキュリティのベストプラクティスは、 を IAM Identity Center AWS Organizations で使用することです。短期認証情報を、組み込みの IAM Identity Center ディレクトリや Active Directory などのユーザーディレクトリと組み合わせます。

 を使用した IAM Identity Center 認証の設定 AWS CLI
IAM ユーザー短期認証情報 IAM ユーザーの短期認証情報を使用します。これは、長期認証情報よりも安全です。認証情報が侵害された場合、有効期限が切れる前に使用できる時間は限られています。 の短期認証情報による認証 AWS CLI
IAM Amazon EC2インスタンスの または IAM Identity Center ユーザー Amazon EC2インスタンスメタデータを使用して、Amazon EC2インスタンスに割り当てられたロールを使用して一時的な認証情報をクエリします。 Amazon EC2インスタンスメタデータを の認証情報として使用する AWS CLI
アクセス許可のロールを引き受ける 別の認証情報メソッドをペアにして、ユーザーへの一時的なアクセスのロールを引き受け AWS のサービス ると、 にアクセスできない可能性があります。 でのIAMロールの使用 AWS CLI
IAM ユーザー長期認証情報 (推奨されません) 有効期限のない長期的な認証情報を使用します。 のIAMユーザー認証情報を使用した認証 AWS CLI
IAM または IAM Identity Center ワークフォースユーザーの外部ストレージ (推奨されません) 別の認証情報メソッドをペアリングしますが、認証情報の値は の外部に保存します AWS CLI。この方法は、認証情報が保存されている外部の場所と同じくらい安全です。 の外部プロセスを使用して認証情報を調達する AWS CLI

新しい設定と認証情報のセットアップ

は、設定と認証情報を credentialsおよび configファイルのプロファイル (設定のコレクション) に AWS CLI 保存します。

すばやくセットアップするには、主に 2 つの方法があります。

以下の例では、各認証方法でサンプル値を使用しています。サンプル値を自分の値に置き換えてください。

AWS CLI コマンドを使用した設定

一般的には、任意のターミナルの aws configure または aws configure sso コマンドを使用するのが、 AWS CLI のインストールをセットアップするための最も簡単な方法です。希望する認証情報方法に基づいて、 は関連情報の入力 AWS CLI を求めます。デフォルトでは、このプロファイルの情報は、使用するプロファイルを明示的に指定しない AWS CLI コマンドを実行するときに使用されます。

credentials ファイルとconfig ファイルの詳細については、「の設定と認証情報ファイルの設定 AWS CLI」を参照してください。

IAM Identity Center (SSO)

この例では、 aws configure sso ウィザード AWS IAM Identity Center を使用します。詳細については、「を使用した IAM Identity Center 認証の設定 AWS CLI」を参照してください。

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

Attempting to automatically open the SSO authorization page in your default browser.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
IAM Identity Center (Legacy SSO)

この例では、aws configure ssoウィザード AWS IAM Identity Center を使用する従来の方法を示しています。レガシー を使用するにはSSO、セッション名を空白のままにします。詳細については、「を使用した IAM Identity Center 認証の設定 AWS CLI」を参照してください。

$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]:us-east-1

SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333) 
  ProductionAccount, production-account-admin@example.com (444455556666)

Using the account ID 111122223333

There are 2 roles available to you.
> ReadOnly
  FullAccess

Using the role name "ReadOnly"

CLI default client Region [None]: us-west-2
CLI default output format [None]: json
CLI profile name [123456789011_ReadOnly]: user1
Short-term credentials

この例は、 AWS Identity and Access Managementの短期の認証情報用です。aws configure ウィザードを使用して初期値を設定すると、aws configure set コマンドは必要な最後の値を割り当てます。詳細については、「の短期認証情報による認証 AWS CLI」を参照してください。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
IAM role

この例では、 IAM ロールを引き受けます。IAM ロールを使用するプロファイルは、別のプロファイルから認証情報を取得し、IAMロールのアクセス許可を適用します。以下の例で、default は認証情報のソースプロファイルです。user1 は同じ認証情報を借り出して新しいロールを継承します。このプロセス用のウィザードは存在しないため、各値の設定には aws configure set コマンドを使用します。詳細については、「でのIAMロールの使用 AWS CLI」を参照してください。

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json
Amazon EC2 instance metadata credentials

この例では、ホストする Amazon EC2インスタンスメタデータから取得した認証情報を使用します。このプロセス用のウィザードは存在しないため、各値の設定には aws configure set コマンドを使用します。詳細については、「Amazon EC2インスタンスメタデータを の認証情報として使用する AWS CLI」を参照してください。

$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json
Long-term credentials
警告

セキュリティ上のリスクを回避するため、専用ソフトウェアの開発時や実際のデータの使用時に、認証にIAMユーザーを使用しないでください。代わりに、AWS IAM Identity Center などの ID プロバイダーとのフェデレーションを使用してください。

この例は、 AWS Identity and Access Managementの長期の認証情報用です。詳細については、「のIAMユーザー認証情報を使用した認証 AWS CLI」を参照してください。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

認証方法と認証情報メソッドの詳細については、「の認証認証情報とアクセス認証情報 AWS CLI」を参照してください。

認証情報と設定ファイルの手動編集

情報をコピーして貼り付ける場合は、config ファイルと credentials ファイルを手動で編集することをお勧めします。希望する認証情報メソッドに応じて、ファイルは異なる方法で設定されます。

ファイルはホームディレクトリの .aws フォルダの下に保存されます。ホームディレクトリの場所はオペレーティングシステムによって異なりますが、環境変数 %UserProfile% (Windows の場合) および $HOME またはチルド ~ (Unix ベースのシステムの場合) を使用して参照されます。これらの設定が保存される場所の詳細については、「構成設定はどこに保存されていますか?」を参照してください。

次の例は、default プロファイルと user1 という名前のプロファイルを示しており、サンプル値を使用しています。サンプル値を自分の値に置き換えてください。credentials ファイルとconfig ファイルの詳細については、「の設定と認証情報ファイルの設定 AWS CLI」を参照してください。

IAM Identity Center (SSO)

この例は 用です AWS IAM Identity Center。詳細については、「を使用した IAM Identity Center 認証の設定 AWS CLI」を参照してください。

認証情報ファイル

credentials ファイルは、この認証方法には使用しません。

設定ファイル

[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
IAM Identity Center (Legacy SSO)

この例では、 のレガシーメソッド用です AWS IAM Identity Center。詳細については、「を使用した IAM Identity Center 認証の設定 AWS CLI」を参照してください。

認証情報ファイル

credentials ファイルは、この認証方法には使用しません。

設定ファイル

[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text

[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
Short-term credentials

この例は、 AWS Identity and Access Managementの短期の認証情報用です。詳細については、「の短期認証情報による認証 AWS CLI」を参照してください。

認証情報ファイル

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

設定ファイル

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text
IAM role

この例では、 IAM ロールを引き受けます。IAM ロールを使用するプロファイルは、別のプロファイルから認証情報を取得し、IAMロールのアクセス許可を適用します。以下の例で、default は認証情報のソースプロファイルで、user1 は同じ認証情報を借り出して新しいロールを継承します。詳細については、「でのIAMロールの使用 AWS CLI」を参照してください。

認証情報ファイル

credentials ファイルは、ソースプロファイルが使用する認証によって異なります。次の例で、ソースプロファイルは短期の認証情報を使用しています。

[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

設定ファイル

[default]
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text
Amazon EC2 instance metadata credentials

この例では、ホストする Amazon EC2インスタンスメタデータから取得した認証情報を使用します。詳細については、「Amazon EC2インスタンスメタデータを の認証情報として使用する AWS CLI」を参照してください。

認証情報ファイル

credentials ファイルは、この認証方法には使用しません。

設定ファイル

[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json

[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text
Long-term credentials
警告

セキュリティ上のリスクを回避するため、専用ソフトウェアの開発時や実際のデータの使用時に、認証にIAMユーザーを使用しないでください。代わりに、AWS IAM Identity Center などの ID プロバイダーとのフェデレーションを使用してください。

この例は、 AWS Identity and Access Managementの長期の認証情報用です。詳細については、「のIAMユーザー認証情報を使用した認証 AWS CLI」を参照してください。

認証情報ファイル

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

設定ファイル

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

認証方法と認証情報メソッドの詳細については、「の認証認証情報とアクセス認証情報 AWS CLI」を参照してください。

既存の設定と認証情報ファイルの使用

既存の設定および認証情報ファイルがある場合は、 AWS CLIにこれらのファイルを使用できます。

config ファイルと credentials ファイルを使用するには、これらのファイルをホームディレクトリの .aws という名前の付いたフォルダに移動します。ホームディレクトリの場所はオペレーティングシステムによって異なりますが、環境変数 %UserProfile% (Windows の場合) および $HOME またはチルド ~ (Unix ベースのシステムの場合) を使用して参照されます。

AWS_CONFIG_FILEAWS_SHARED_CREDENTIALS_FILE の環境変数を別のローカルパスに設定することで、config ファイルと credentials ファイルの場所をデフォルト以外の場所に指定できます。詳細については、「の環境変数の設定 AWS CLI」を参照してください。

設定と認証情報ファイルの設定の詳細については、「の設定と認証情報ファイルの設定 AWS CLI」を参照してください。