翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
をセットアップする AWS CLI
このトピックでは、 AWS Command Line Interface (AWS CLI) が操作に使用する基本設定をすばやく構成する方法について説明します AWS。これらには、セキュリティ認証情報、デフォルトの出力形式、 AWS デフォルトのリージョンが含まれます。
プログラムによるアクセス用の認証情報を収集する
AWS 外部とやりとりする場合は、プログラムによるアクセスが必要です。 AWS Management Console認証と認証情報の説明については、次のいずれかのオプションを選択します。
| [Authentication type] (認証タイプ) |
目的 |
手順 |
|
IAM ID センターのワークフォースユーザー、短期認証情報
|
(推奨) IAM Identity Center ワークフォースユーザーには短期認証情報を使用してください。 セキュリティのベストプラクティスは IAM Identity AWS Organizations Center と併用することです。短期間の認証情報を、組み込みの IAM ID センターディレクトリや Active Directory などのユーザーディレクトリと組み合わせます。 |
AWS CLI を使用するように設定します AWS IAM Identity Center |
| IAM ユーザーの短期認証情報 |
IAM ユーザーの短期認証情報を使用してください。これは長期認証情報よりも安全です。認証情報が漏えいした場合、有効期限が切れる前に使用できる時間は限られています。 |
短期認証情報を使用して認証を行う |
| Amazon EC2 インスタンス上の IAM または IAM アイデンティティセンターのユーザー。 |
Amazon EC2 インスタンスメタデータを使用して、Amazon EC2 インスタンスに割り当てられたロールを使用して一時的な認証情報をクエリします。 |
Amazon EC2 インスタンスメタデータの認証情報を使用する |
| 権限の役割を引き受ける |
別の認証方法を組み合わせて、 AWS のサービス ユーザーがアクセスできないような一時的なアクセス用のロールを引き受けてください。 |
AWS CLI で IAM ロールを使用する |
| IAM ユーザーの長期認証情報 |
(非推奨) 有効期限のない長期認証情報を使用してください。 |
IAM ユーザー認証情報を使用して認証を行う |
| IAM または IAM ID センターのワークフォースユーザーの外部ストレージ |
(非推奨) 別の認証方法を組み合わせて、認証情報の値を外部の場所に保存します。 AWS CLIこの方法の安全性は、認証情報が保存されている外部の場所によって決まります。 |
外部プロセスを使用して認証情報を作成する |
新しい設定と認証情報のセットアップ
は、credentialsconfig設定と認証情報をおよびファイル内のプロファイル(設定の集まり) AWS CLI に保存します。
すばやくセットアップするには、主に 2 つの方法があります。
以下の例では、各認証方法でサンプル値を使用しています。サンプル値を自分の値に置き換えてください。
AWS CLI
コマンドを使用した設定
一般的には、任意のターミナルの aws configure または aws configure sso コマンドを使用するのが、 AWS CLI
のインストールをセットアップするための最も簡単な方法です。は、希望する認証方法に基づいて、 AWS CLI 関連情報の入力を求めます。デフォルトでは、 AWS CLI 使用するプロファイルを明示的に指定しないコマンドを実行すると、このプロファイルの情報が使用されます。
credentials ファイルとconfig ファイルの詳細については、「設定ファイルと認証情報ファイルの設定」を参照してください。
- IAM Identity Center
(SSO)
-
AWS IAM Identity Center aws configure ssoこの例はウィザードを使用する場合です。詳細については、「自動認証更新で IAM Identity Center AWS CLI トークンプロバイダーの認証情報を使用するようにを設定します」を参照してください。
$ aws configure sso
SSO session name (Recommended): my-ssoSSO start URL [None]: https://my-sso-portal.awsapps.com/startSSO region [None]:us-east-1Attempting to automatically open the SSO authorization page in your default browser.
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333)
ProductionAccount, production-account-admin@example.com (444455556666)
Using the account ID 111122223333
There are 2 roles available to you.
> ReadOnly
FullAccess
Using the role name "ReadOnly"
CLI default client Region [None]: us-west-2CLI default output format [None]: jsonCLI profile name [123456789011_ReadOnly]: user1
- IAM Identity Center
(Legacy SSO)
-
この例は、 AWS IAM Identity Center aws configure sso従来のウィザードの使用方法に関するものです。従来の SSO を使用するには、セッション名を空白のままにします。詳細については、「AWS IAM Identity Centerの更新不可のレガシー設定」を参照してください。
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/startSSO region [None]:us-east-1SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333)
ProductionAccount, production-account-admin@example.com (444455556666)
Using the account ID 111122223333
There are 2 roles available to you.
> ReadOnly
FullAccess
Using the role name "ReadOnly"
CLI default client Region [None]: us-west-2CLI default output format [None]: jsonCLI profile name [123456789011_ReadOnly]: user1
- Short-term credentials
-
この例は、 AWS Identity and Access Managementの短期の認証情報用です。aws configure ウィザードを使用して初期値を設定すると、aws configure set コマンドは必要な最後の値を割り当てます。詳細については、「短期認証情報を使用して認証を行う」を参照してください。
$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLEwJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYus-west-2json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
- IAM role
-
この例は IAM ロールを引き受けるためのものです。IAM ロールを使用するプロファイルは、別のプロファイルから認証情報を取得し、IAM ロールのアクセス許可を適用します。以下の例で、default は認証情報のソースプロファイルです。user1 は同じ認証情報を借り出して新しいロールを継承します。このプロセス用のウィザードは存在しないため、各値の設定には aws configure set コマンドを使用します。詳細については、「AWS CLI で IAM ロールを使用する」を参照してください。
$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json
- Amazon EC2 instance metadata credentials
-
次の例は、ホストしている Amazon EC2 インスタンスメタデータから取得した認証情報用です。このプロセス用のウィザードは存在しないため、各値の設定には aws configure
set コマンドを使用します。詳細については、「Amazon EC2 インスタンスメタデータの認証情報を使用する」を参照してください。
$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json
- Long-term credentials
-
セキュリティリスクを避けるため、専用ソフトウェアの開発や実際のデータを扱うときは、IAM ユーザーを認証に使用しないでください。代わりに、AWS IAM Identity Center などの ID プロバイダーとのフェデレーションを使用してください。
この例は、 AWS Identity and Access Managementの長期の認証情報用です。詳細については、「IAM ユーザー認証情報を使用して認証を行う」を参照してください。
$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLEwJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYus-west-2json
認証方法と認証情報メソッドの詳細については、「認証とアクセス認証情報」を参照してください。
認証情報と設定ファイルの手動編集
情報をコピーして貼り付ける場合は、config ファイルと credentials ファイルを手動で編集することをお勧めします。希望する認証情報メソッドに応じて、ファイルは異なる方法で設定されます。
ファイルはホームディレクトリの .aws フォルダの下に保存されます。ホームディレクトリの場所はオペレーティングシステムによって異なりますが、環境変数 %UserProfile% (Windows の場合) および $HOME またはチルド ~ (Unix ベースのシステムの場合) を使用して参照されます。これらの設定が保存される場所の詳細については、「構成設定はどこに保存されていますか?」を参照してください。
次の例は、default プロファイルと user1 という名前のプロファイルを示しており、サンプル値を使用しています。サンプル値を自分の値に置き換えてください。credentials ファイルとconfig ファイルの詳細については、「設定ファイルと認証情報ファイルの設定」を参照してください。
- IAM Identity Center
(SSO)
-
この例は用です AWS IAM Identity Center。詳細については、「自動認証更新で IAM Identity Center AWS CLI トークンプロバイダーの認証情報を使用するようにを設定します」を参照してください。
認証情報ファイル
credentials ファイルは、この認証方法には使用しません。
設定ファイル
[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text
[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
- IAM Identity Center
(Legacy SSO)
-
AWS IAM Identity Centerこの例はのレガシーメソッド用です。詳細については、「AWS IAM Identity Centerの更新不可のレガシー設定」を参照してください。
認証情報ファイル
credentials ファイルは、この認証方法には使用しません。
設定ファイル
[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text
[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
- Short-term credentials
-
この例は、 AWS Identity and Access Managementの短期の認証情報用です。詳細については、「短期認証情報を使用して認証を行う」を参照してください。
認証情報ファイル
[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
設定ファイル
[default]
region=us-west-2
output=json
[profile user1]
region=us-east-1
output=text
- IAM role
-
この例は IAM ロールを引き受けるためのものです。IAM ロールを使用するプロファイルは、別のプロファイルから認証情報を取得し、IAM ロールのアクセス許可を適用します。以下の例で、default は認証情報のソースプロファイルで、user1 は同じ認証情報を借り出して新しいロールを継承します。詳細については、「AWS CLI で IAM ロールを使用する」を参照してください。
認証情報ファイル
credentials ファイルは、ソースプロファイルが使用する認証によって異なります。次の例で、ソースプロファイルは短期の認証情報を使用しています。
[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
設定ファイル
[default]
region=us-west-2
output=json
[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text
- Amazon EC2 instance metadata credentials
-
次の例は、ホストしている Amazon EC2 インスタンスメタデータから取得した認証情報用です。詳細については、「Amazon EC2 インスタンスメタデータの認証情報を使用する」を参照してください。
認証情報ファイル
credentials ファイルは、この認証方法には使用しません。
設定ファイル
[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json
[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text
- Long-term credentials
-
セキュリティリスクを避けるため、専用ソフトウェアの開発や実際のデータを扱うときは、IAM ユーザーを認証に使用しないでください。代わりに、AWS IAM Identity Center などの ID プロバイダーとのフェデレーションを使用してください。
この例は、 AWS Identity and Access Managementの長期の認証情報用です。詳細については、「IAM ユーザー認証情報を使用して認証を行う」を参照してください。
認証情報ファイル
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
設定ファイル
[default]
region=us-west-2
output=json
[profile user1]
region=us-east-1
output=text
認証方法と認証情報メソッドの詳細については、「認証とアクセス認証情報」を参照してください。
既存の設定と認証情報ファイルの使用
既存の設定および認証情報ファイルがある場合は、 AWS CLIにこれらのファイルを使用できます。
config ファイルと credentials ファイルを使用するには、これらのファイルをホームディレクトリの .aws という名前の付いたフォルダに移動します。ホームディレクトリの場所はオペレーティングシステムによって異なりますが、環境変数 %UserProfile% (Windows の場合) および $HOME またはチルド ~ (Unix ベースのシステムの場合) を使用して参照されます。
AWS_CONFIG_FILE と AWS_SHARED_CREDENTIALS_FILE の環境変数を別のローカルパスに設定することで、config ファイルと credentials ファイルの場所をデフォルト以外の場所に指定できます。詳細については、「を設定する環境変数 AWS CLI」を参照してください。
設定と認証情報ファイルの設定の詳細については、「設定ファイルと認証情報ファイルの設定」を参照してください。
