Documentação da AWS » AWS Command Line Interface » Guia do usuário » Configurar o AWS CLI

Configurar o AWS CLI

Esta seção explica como definir as configurações que a AWS Command Line Interface (AWS CLI) usa para interagir com a AWS, inclusive suas credenciais de segurança, o formato de saída padrão e a região padrão da AWS.

nota

A AWS exige que todas as solicitações recebidas sejam assinadas criptograficamente. A AWS CLI faz isso para você. A "assinatura"'' inclui uma data/time stamp. Portanto, você deve garantir que a data e a hora do seu computador estejam definidas corretamente. Se não fizer isso, e a data/hora na assinatura estiver muito longe da data/hora reconhecida pelo serviço da AWS, a AWS rejeitará a solicitação.

Seções

• Como configurar a AWS CLI rapidamente
• Criar vários perfis
• Definições de Configuração e Precedência
• Arquivos de configuração e credencial
• Perfis nomeados
• Variáveis de ambiente
• Opções de linha de comando
• Credenciais de fornecimento com um processo externo
• Metadados da instância
• Usar um proxy HTTP
• Usar uma função do IAM na AWS CLI
• Conclusão de comando

Como configurar a AWS CLI rapidamente

Para uso geral, o comando aws configure é a maneira mais rápida de configurar sua instalação da AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Quando você digita esse comando, a AWS CLI solicita quatro informações: chave de acesso, chave de acesso secreta, região da AWS e formato de saída. Elas são descritas nas seções a seguir. A AWS CLI armazena essas informações em um perfil (um conjunto de configurações) chamado default. As informações no perfil default serão usadas sempre que você executar um comando da AWS CLI que não especifique explicitamente um perfil a ser usado.

Chave de acesso e chave de acesso secreta

O AWS Access Key ID e a AWS Secret Access Key são credenciais da AWS. Elas estão associadas a um usuário ou função do AWS Identity and Access Management (IAM) que determina quais permissões você tem. Para obter um tutorial sobre como criar um usuário com o serviço do IAM, consulte Criar seu primeiro usuário administrativo e grupo do IAM no Guia do usuário do IAM.

As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usados para assinar as solicitações programáticas que você faz à AWS. Se você não tiver chaves de acesso, poderá criá-las no Console de gerenciamento da AWS. Como melhores práticas, não utilize chaves de acesso Usuário raiz da conta da AWS para nenhuma tarefa para a qual não seja necessário. Em vez disso, crie um novo usuário do IAM com chaves de acesso para você mesmo.

A única ocasião em que você poderá visualizar ou fazer download da chave de acesso secreta é quando você criar as chaves. Não será possível recuperá-las posteriormente. No entanto, você pode criar novas chaves de acesso a qualquer momento. Você também deve ter permissões para realizar as ações do IAM necessárias. Para obter mais informações, consulte Permissões necessárias para acessar os recursos do IAM no Guia do usuário do IAM.

Para criar chaves de acesso para um usuário do IAM

1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação, escolha Users (Usuários).

3. Escolha o nome do usuário cujas chaves de acesso você deseja criar e a guia Security credentials (Credenciais de segurança).

4. Na seção Access keys (Chaves de acesso), escolha Create access key (Criar chave de acesso).

5. Para visualizar a nova chave de acesso, escolha Show (Mostrar). Você não terá mais acesso à chave de acesso secreta depois que essa caixa de diálogo for fechada. Suas credenciais terão a seguinte aparência:

   • ID de chave de acesso: AKIAIOSFODNN7EXAMPLE

   • Chave de acesso secreta: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

6. Para baixar o par de chaves, escolha Baixar arquivo .csv. Armazene as chaves em um lugar seguro. Você não terá mais acesso à chave de acesso secreta depois que essa caixa de diálogo for fechada.

   Mantenha a confidencialidade das chaves para proteger sua conta da AWS e nunca envie-as por e-mail. Não compartilhe as chaves fora da sua organização, mesmo se uma pesquisa parecer vir da AWS ou da Amazon.com. Alguém que legitimamente represente a Amazon jamais pedirá a você sua chave secreta.

7. Depois de baixar do arquivo .csv, selecione Close (Fechar). Quando você cria uma chave de acesso, o par de chaves é ativo por padrão, e você pode usar o par imediatamente.

Tópicos relacionados

• O que é o IAM? no Guia do usuário do IAM

• Credenciais de segurança da AWS no AWS General Reference

Região

O Default region name identifica a região da AWS dos servidores para os quais você deseja enviar suas solicitações por padrão. Normalmente, é a região mais próxima de você, mas pode ser qualquer região. Por exemplo, você pode usar digitar us-west-2 para usar Oeste dos EUA (Oregon). Essa é a região para a qual todas as solicitações posteriores são enviadas, a menos que você especifique o contrário em um comando individual.

nota

Você deve especificar uma região da AWS ao usar a AWS CLI, explicitamente ou definindo uma região padrão. Para obter uma lista das regiões disponíveis, consulte Regiões e endpoints Os designadores de região usados pela AWS CLI têm os mesmos nomes que você vê nos URLs nos endpoints de serviço do Console de gerenciamento da AWS.

Output Format

O Default output format especifica como os resultados são formatados. O valor pode ser qualquer um dos valores na lista a seguir. Se você não especificar um formato de saída, json será usado como padrão.

• json: a saída é formatada como uma string JSON.

• text: a saída é formatada como várias linhas de valores de string separados por tabulação, o que poderá ser útil se você quiser transmitir a saída para um processador de texto, como grep, sed ou awk.

• table: a saída é formatada como uma tabela usando os caracteres +|- para formar as bordas da célula. Geralmente, a informação é apresentada em um formato "amigável", que é muito mais fácil de ler do que outros, mas não tão útil programaticamente.

Criar vários perfis

Se você usar o comando mostrado na seção anterior, o resultado será um único perfil chamado default. É possível criar configurações adicionais e fazer referência a elas pelo nome especificando a opção --profile e atribuindo um nome. O exemplo a seguir cria um perfil chamado produser. É possível especificar credenciais de uma conta e região completamente diferentes dos outros perfis.

$ aws configure --profile produser
AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE
AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]: text

Assim, quando um comando é executado, é possível omitir a opção --profile e usar as credenciais e as configurações armazenadas no perfil default.

$ aws s3 ls

Ou é possível especificar um --profile profilename e usar as credenciais e as configurações armazenadas com esse nome.

$ aws s3 ls --profile produser

Para atualizar qualquer uma das suas configurações, basta executar aws configure novamente (com ou sem o parâmetro --profile, dependendo do perfil que deseja atualizar) e inserir novos valores como apropriado. As próximas seções contêm mais informações sobre os arquivos que aws configure cria, configurações adicionais e perfis nomeados.

Definições de Configuração e Precedência

A AWS CLI usa um conjunto de provedores de credenciais para procurar credenciais da AWS. Cada provedor de credenciais procura por credenciais em um local diferente, como as variáveis de ambiente do sistema ou do usuário, arquivos de configuração locais da AWS ou explicitamente declarado na linha de comando como um parâmetro. A AWS CLI procura por credenciais e definições de configuração chamando os provedores na seguinte ordem, interrompendo quando encontra um conjunto de credenciais para usar:

1. Opções de linha de comando – Você pode especificar --region, --output e --profile como parâmetros na linha de comando.

2. Variáveis de ambiente – Você pode armazenar valores nas variáveis de ambiente: AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY e AWS_SESSION_TOKEN. Se estiverem presentes, eles serão usados.

3. O arquivo de credenciais da CLI – Esse é um dos arquivos que é atualizado quando você executa o comando aws configure. O arquivo está localizado em ~/.aws/credentials, Linux, macOS, or Unix ou C:\Users\USERNAME\.aws\credentials no Windows. Esse arquivo pode conter os detalhes da credencial para o perfil default e quaisquer perfis nomeados.

4. O arquivo de configuração da CLI – Esse é outro arquivo que é atualizado quando você executa o comando aws configure. O arquivo está localizado em ~/.aws/config, Linux, macOS, or Unix ou C:\Users\USERNAME\.aws\config no Windows. Esse arquivo contém as definições de configuração para o perfil padrão e quaisquer perfis nomeados.

5. Credenciais de contêiner – Você pode associar uma função do IAM a cada uma das suas definições de tarefa do Amazon Elastic Container Service (Amazon ECS). As credenciais temporárias para essa função estão disponíveis para os contêineres dessa tarefa. Para obter mais informações, consulte Funções do IAM para tarefas no Amazon Elastic Container Service Developer Guide.

6. Credenciais do perfil de instância – Você pode associar uma função do IAM a cada uma das suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). As credenciais temporárias para essa função estão disponíveis para o código em execução na instância. As credenciais são fornecidas por meio do serviço de metadados do Amazon EC2. Para obter mais informações, consulte Funções do IAM para o Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux e Uso de perfis de instância no Guia do usuário do IAM.