Documentação da AWS » AWS Command Line Interface » Guia do usuário » Configurar o AWS CLI

Configurar o AWS CLI

Esta seção explica como definir as configurações que a AWS Command Line Interface (AWS CLI) usa para interagir com a AWS, inclusive suas credenciais de segurança, o formato de saída padrão e a região padrão da AWS.

nota

A AWS exige que todas as solicitações recebidas sejam assinadas criptograficamente. A AWS CLI faz isso para você. A "assinatura"'' inclui uma data/time stamp. Portanto, você deve garantir que a data e a hora do seu computador estejam definidas corretamente. Se não fizer isso, e a data/hora na assinatura estiver muito longe da data/hora reconhecida pelo serviço da AWS, a AWS rejeitará a solicitação.

Seções

• Como configurar a AWS CLI rapidamente
• Definições de Configuração e Precedência
• Arquivos de configuração e credencial
• Perfis nomeados
• Variáveis de ambiente
• Opções de linha de comando
• Credenciais de fornecimento com um processo externo
• Metadados da instância
• Usar um proxy HTTP
• Assumir uma função do IAM na AWS CLI
• Conclusão de comando

Como configurar a AWS CLI rapidamente

Para uso geral, o comando aws configure é a maneira mais rápida de configurar sua instalação da AWS CLI.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Quando você digita esse comando, a AWS CLI solicita quatro informações (chave de acesso, chave de acesso secreta, região da AWS e formato de saída) e armazena-as em um perfil (uma coleção de configurações) denominado default. Esse perfil é usado sempre que você executar um comando da AWS CLI que não especifique explicitamente um perfil a ser usado.

Chave de acesso e chave de acesso secreta

O AWS Access Key ID e a AWS Secret Access Key são credenciais da AWS. Elas estão associadas a um usuário ou função do AWS Identity and Access Management (IAM) que determina quais permissões você tem. Para obter um tutorial sobre como criar um usuário com o serviço do IAM, consulte Criar seu primeiro usuário administrativo e grupo do IAM no Guia do usuário do IAM.

Para obter o ID de chave de acesso e a chave de acesso secreta para um usuário do IAM

As chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usados para assinar as solicitações programáticas que você faz à AWS. Se você não tiver chaves de acesso, poderá criá-las no Console de gerenciamento da AWS. Recomendamos que você use as chaves de acesso do IAM em vez de usar as chaves de acesso de Usuário raiz da conta da AWS. O IAM permite que você controle com segurança o acesso aos serviços e recursos da AWS em sua conta da AWS.

A única ocasião em que você poderá visualizar ou fazer download das chaves de acesso secretas é quando você criar as chaves. Não será possível recuperá-las posteriormente. No entanto, você pode criar novas chaves de acesso a qualquer momento. Você também deve ter permissões para realizar as ações do IAM necessárias. Para obter mais informações sobre permissões e políticas, consulte Permissões necessárias para acessar os recursos do IAM no Guia do usuário do IAM.

1. Abra o console do IAM.

2. No painel de navegação do console, escolha Users.

3. Selecione seu nome de usuário do IAM (não a caixa de seleção).

4. Escolha a guia Credenciais de segurança e escolha Criar chave de acesso.

5. Para ver a nova chave de acesso, escolha Mostrar. Suas credenciais terão a seguinte aparência:

   • ID de chave de acesso: AKIAIOSFODNN7EXAMPLE

   • Chave de acesso secreta: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

6. Para baixar o par de chaves, escolha Baixar arquivo .csv. Armazene as chaves em um lugar seguro.

   Mantenha a confidencialidade das chaves para proteger sua conta da AWS e nunca envie-as por e-mail. Não compartilhe as chaves fora da sua organização, mesmo se uma pesquisa parecer vir da AWS ou da Amazon.com. Alguém que legitimamente represente a Amazon jamais pedirá a você sua chave secreta.

Tópicos relacionados

• O que é o IAM? no Guia do usuário do IAM

• Credenciais de segurança da AWS no AWS General Reference

Região

O Default region name identifica a região da AWS dos servidores para os quais você deseja enviar suas solicitações por padrão. Normalmente, é a região mais próxima de você, mas pode ser qualquer região. Por exemplo, você pode usar digitar us-west-2 para usar Oeste dos EUA (Oregon). Essa é a região para a qual todas as solicitações posteriores são enviadas, a menos que você especifique o contrário em um comando individual.

nota

Você deve especificar uma região da AWS ao usar a AWS CLI, explicitamente ou definindo uma região padrão. Para obter uma lista das regiões disponíveis, consulte Regiões e endpoints Os designadores de região usados pela AWS CLI têm os mesmos nomes que você vê nos URLs nos endpoints de serviço do Console de gerenciamento da AWS.

Output Format

O Default output format especifica como os resultados são formatados. O valor pode ser qualquer um dos valores na lista a seguir. Se você não especificar um formato de saída, json será usado como padrão.

• json: a saída é formatada como uma string JSON.

• text: a saída é formatada como várias linhas de valores de string separados por tabulação, o que poderá ser útil se você quiser transmitir a saída para um processador de texto, como grep, sed ou awk.

• table: a saída é formatada como uma tabela usando os caracteres +|- para formar as bordas da célula. Geralmente, a informação é apresentada em um formato "amigável", que é muito mais fácil de ler do que outros, mas não tão útil programaticamente.

Configuração rápida e diversos perfis

Se você usar o comando como mostrado anteriormente, o resultado será um único perfil denominado default. Você também pode criar configurações adicionais especificando o nome de um perfil usando a opção --profile.

$ aws configure --profile user2
AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE
AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]: text

Assim, quando executar um comando, você pode omitir a opção --profile e usar as configurações armazenadas no perfil default.

$ aws s3 ls

Ou você pode especificar um --profile profilename e usar as configurações armazenadas com esse nome.

$ aws s3 ls --profile myuser

Para atualizar qualquer uma das suas configurações, basta executar aws configure novamente (com ou sem o parâmetro --profile, dependendo do perfil que deseja atualizar) e inserir novos valores como apropriado. As próximas seções contêm mais informações sobre os arquivos que aws configure cria, configurações adicionais e perfis nomeados.

Definições de Configuração e Precedência

A AWS CLI usa um conjunto de provedores de credenciais para procurar credenciais da AWS. Cada provedor de credenciais procura por credenciais em um local diferente, como as variáveis de ambiente do sistema ou do usuário, arquivos de configuração locais da AWS ou explicitamente declarado na linha de comando como um parâmetro. A AWS CLI procura por credenciais e definições de configuração chamando os provedores na seguinte ordem, interrompendo quando encontra um conjunto de credenciais para usar:

1. Opções de linha de comando – Você pode especificar --region, --output e --profile como parâmetros na linha de comando.

2. Variáveis de ambiente – Você pode armazenar valores nas variáveis de ambiente: AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY e AWS_SESSION_TOKEN. Se estiverem presentes, eles serão usados.

3. O arquivo de credenciais da CLI – Esse é um dos arquivos que é atualizado quando você executa o comando aws configure. O arquivo está localizado em ~/.aws/credentials, Linux, macOS, or Unix ou C:\Users\USERNAME\.aws\credentials no Windows. Esse arquivo pode conter os detalhes da credencial para o perfil default e quaisquer perfis nomeados.

4. O arquivo de configuração da CLI – Esse é outro arquivo que é atualizado quando você executa o comando aws configure. O arquivo está localizado em ~/.aws/config, Linux, macOS, or Unix ou C:\Users\USERNAME\.aws\config no Windows. Esse arquivo contém as definições de configuração para o perfil padrão e quaisquer perfis nomeados.

5. Credenciais de contêiner – Você pode associar uma função do IAM a cada uma das suas definições de tarefa do Amazon Elastic Container Service (Amazon ECS). As credenciais temporárias para essa função estão disponíveis para os contêineres dessa tarefa. Para obter mais informações, consulte Funções do IAM para tarefas no Amazon Elastic Container Service Developer Guide.

6. Credenciais do perfil de instância – Você pode associar uma função do IAM a cada uma das suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). As credenciais temporárias para essa função estão disponíveis para o código em execução na instância. As credenciais são fornecidas por meio do serviço de metadados do Amazon EC2. Para obter mais informações, consulte Funções do IAM para o Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias do Linux e Uso de perfis de instância no Guia do usuário do IAM.