Noções básicas de configuração - AWS Command Line Interface
Configuração rápida com aws configureID da chave de acesso e a chave de acesso secreta.RegiãoFormato de saídaPerfisDefinições de configuração e precedência

Noções básicas de configuração

Esta seção explica como definir rapidamente as configurações básicas usando os arquivos config e credentials que a AWS Command Line Interface (AWS CLI) usa para interagir com a AWS. Elas incluem as credenciais de segurança, o formato de saída padrão e a região padrão da AWS. Em vez disso, veja as instruções de configuração do AWS IAM Identity Center (successor to AWS Single Sign-On); consulte Configurar a AWS CLI para usar o AWS IAM Identity Center (successor to AWS Single Sign-On).

nota

A AWS exige que todas as solicitações recebidas sejam assinadas criptograficamente. O AWS CLI faz isso para você. A “assinatura” inclui uma data/time stamp. Portanto, você deve garantir que a data e a hora do seu computador estejam definidas corretamente. Se não fizer isso, e a data/hora na assinatura estiver muito longe da data/hora reconhecida pelo serviço da AWS, a AWS rejeitará a solicitação.

Configuração rápida com aws configure

Para uso geral, o comando aws configure é a maneira mais rápida de configurar sua instalação da AWS CLI. Quando você digita esse comando, a AWS CLI solicita quatro informações:

A AWS CLI armazena essas informações em um perfil (um conjunto de configurações) chamado default no arquivo credentials. Por padrão, as informações neste perfil são usadas quando você executa um comando da AWS CLI que não especifica explicitamente um perfil a ser usado. Para obter mais informações sobre o arquivo credentials, consulte Configurações de arquivos de configuração e credenciais

O exemplo a seguir mostra valores de amostra. Substitua-os por seus próprios valores, conforme descrito nas seções a seguir.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

ID da chave de acesso e a chave de acesso secreta.

As chaves de acesso usam um ID da chave de acesso e uma chave de acesso secreta, que são utilizadas para assinar solicitações programáticas à AWS.

Criando um par de chaves

Os usuários precisam de acesso programático se quiserem interagir com a AWS de fora do AWS Management Console. A forma de conceder acesso programático depende do tipo de usuário que está acessando a AWS:

  • Se você gerencia identidades no Centro de Identidade do IAM, as APIs da AWS exigem um perfil e a AWS Command Line Interface exige um perfil ou uma variável de ambiente.

  • Se você tiver usuários do IAM, as APIs da AWS e a AWS Command Line Interface exigem chaves de acesso. Sempre que possível, crie credenciais temporárias, que consistem em um ID de acesso, uma chave de acesso secreta e um token de segurança que indica quando as credenciais expiram.

Para conceder acesso programático aos usuários, escolha uma das seguintes opções:

Qual usuário precisa de acesso programático? Para Por

Identificação da força de trabalho

(Usuários gerenciados no Centro de Identidade do IAM)

 Use credenciais de curto prazo para assinar solicitações programáticas para as APIs da AWS ou a AWS CLI (diretamente ou usando os AWS SDKs).

Siga as instruções para a interface que você deseja usar:
IAM Use credenciais de curto prazo para assinar solicitações programáticas para as APIs da AWS ou a AWS CLI (diretamente ou usando os AWS SDKs). Siga as instruções em Como usar credenciais temporárias com recursos da AWS no Guia do usuário do IAM.
IAM Use credenciais de longo prazo para assinar solicitações programáticas para as APIs da AWS ou a AWS CLI (diretamente ou usando os AWS SDKs).

(Não recomendado)

 Siga as instruções em Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM.

Importar um par de chaves via arquivo .CSV

Em vez de usar aws configure para inserir um par de chaves, você pode importar o arquivo .csv que você baixou depois de criar seu par de chaves.

O arquivo .csv deve conter os cabeçalhos a seguir.

  • Nome de usuário: essa coluna deve ser adicionada ao .csv. Isso é usado para criar o nome do perfil ao importar.

  • Access key ID (ID da chave de acesso)

  • Secret access key (Chave de acesso secreta)

nota

Durante a criação inicial do par de chaves, depois de fechar a caixa de diálogo Download .csv file (Baixar arquivo .csv), você não poderá acessar a chave de acesso secreta depois de fechar a caixa de diálogo. Se você precisar de um arquivo .csv, será necessário criar um por conta própria com os cabeçalhos necessários e as informações do par de chaves armazenado. Se você não tiver acesso às informações do par de chaves, será necessário criar outro par de chaves.

Para importar o arquivo .csv, use o comando aws configure import com a opção --csv da seguinte forma:

$ aws configure import --csv file://credentials.csv

Para obter mais informações, consulte aws_configure_import.

Região

O Default region name identifica a região da AWS dos servidores para os quais você deseja enviar suas solicitações por padrão. Normalmente, é a região mais próxima de você, mas pode ser qualquer região. Por exemplo, você pode digitar us-west-2 para usar a região Oeste dos EUA (Oregon). Essa é a região para a qual todas as solicitações posteriores são enviadas, a menos que você especifique o contrário em um comando individual.

nota

Você deve especificar uma região da AWS ao usar a AWS CLI, explicitamente ou definindo uma região padrão. Para obter uma lista das regiões disponíveis, consulte Regiões e endpoints Os designadores de região usados pela AWS CLI têm os mesmos nomes que você vê nos URLs nos endpoints de serviço do AWS Management Console.

Formato de saída

O Default output format especifica como os resultados são formatados. O valor pode ser qualquer um dos valores na lista a seguir. Se você não especificar um formato de saída, json será usado como padrão.

  • json: a saída é formatada como uma string JSON.

  • yaml: a saída é formatada como uma string YAML.

  • yaml-stream: a saída é transmitida e formatada como uma string YAML. A transmissão possibilita um manuseio mais rápido de tipos de dados grandes.

  • text: a saída é formatada como várias linhas de valores de string separados por tabulação. Isso pode ser útil para passar a saída para um processador de texto, como grep, sed ou awk.

  • table: a saída é formatada como uma tabela usando os caracteres +|- para formar as bordas da célula. Geralmente, a informação é apresentada em um formato "amigável", que é muito mais fácil de ler do que outros, mas não tão útil programaticamente.

Perfis

Uma coleção de configurações é chamada de perfil. Por padrão, a AWS CLI usa o perfil default. Você pode criar e usar perfis nomeados adicionais com credenciais e configurações variáveis especificando a opção --profile e atribuindo um nome.

O exemplo a seguir cria um perfil chamado produser.

$ aws configure --profile produser
AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE
AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
Default region name [None]: us-east-1
Default output format [None]: text

É possível especificar um --profile profilename e usar as credenciais e as configurações armazenadas com esse nome.

$ aws s3 ls --profile produser

Para atualizar essas configurações, execute o comando aws configure novamente (com ou sem o parâmetro --profile, dependendo do perfil que você deseja atualizar) e insira os novos valores de forma adequada. As próximas seções contêm mais informações sobre os arquivos que o aws configure cria, configurações adicionais e perfis nomeados.

Para obter mais informações sobre os perfis nomeados, consulte Perfis nomeados da AWS CLI.

Definições de configuração e precedência

A AWS CLI usa credenciais e configurações localizadas em vários locais, como variáveis de ambiente do sistema ou do usuário, arquivos de configuração local da AWS, ou explicitamente declaradas na linha de comando como um parâmetro. Certos locais têm precedência sobre outros. As credenciais da AWS CLI e as definições de configuração têm precedência na seguinte ordem:

  1. Opções de linha de comando: sobrescreve configurações em qualquer outro local. Você pode especificar --region, --output e --profile como parâmetros na linha de comando.

  2. Variáveis de ambiente: você pode armazenar valores nas variáveis de ambiente do sistema.

  3. Arquivo de credenciais da CLI: os arquivos credentials e config são atualizados quando você executa o comando aws configure. O arquivo credentials está localizado em ~/.aws/credentials no Linux ou MacOS ou em C:\Users\USERNAME\.aws\credentials no Windows. Esse arquivo pode conter os detalhes da credencial para o perfil default e quaisquer perfis nomeados.

  4. Arquivo de configuração da CLI: os arquivos credentials e config são atualizados quando você executa o comando aws configure. O arquivo config está localizado em ~/.aws/config no Linux ou MacOS ou em C:\Users\USERNAME\.aws\config no Windows. Esse arquivo contém as definições de configuração para o perfil padrão e quaisquer perfis nomeados.

  5. Credenciais de container: você pode associar uma função do IAM a cada uma das suas definições de tarefa do Amazon Elastic Container Service (Amazon ECS). As credenciais temporárias para essa função estão disponíveis para os contêineres dessa tarefa. Para obter mais informações, consulte Funções do IAM para tarefas no Guia do desenvolvedor do Amazon Elastic Container Service.

  6. Credenciais de perfil de instância: você pode associar um perfil do IAM a cada uma das suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2). As credenciais temporárias para essa função estão disponíveis para o código em execução na instância. As credenciais são fornecidas por meio do serviço de metadados do Amazon EC2. Para obter mais informações, consulte Funções do IAM para o Amazon EC2 no Manual do usuário do Amazon EC2 para instâncias do Linux e Uso de perfis de instância no Manual do usuário do IAM.