AWS Command Line Interface
用户指南

实例元数据

从 Amazon EC2 实例中运行 AWS CLI 时,可以简化向命令提供凭证的过程。每个 Amazon EC2 实例都包含 AWS CLI 能够直接查询临时凭证的元数据。要提供这些元数据,请创建一个对所需资源有访问权限的 AWS Identity and Access Management (IAM) 角色,然后在 Amazon EC2 实例启动时向其附加该角色。

启动实例并进行检查,看是否已安装了 AWS CLI(在 Amazon Linux 上是预安装的)。如有必要,安装 AWS CLI。您仍必须配置默认区域,以免在每个命令中指定它。

要在命名配置文件中指定要使用托管 Amazon EC2 实例配置文件中可用的凭证,请在配置文件中指定以下行:

credential_source = Ec2InstanceMetadata

以下示例说明如何通过在 Amazon EC2 实例配置文件中引用 marketingadminrole 角色来代入该角色:

[profile marketingadmin] role_arn = arn:aws:iam::123456789012:role/marketingadminrole credential_source = Ec2InstanceMetadata

您可以通过运行 aws configure 来设置区域和默认输出格式,而无需通过按两次 Enter 跳过前两条提示来指定凭证。

$ aws configure AWS Access Key ID [None]: ENTER AWS Secret Access Key [None]: ENTER Default region name [None]: us-west-2 Default output format [None]: json

向实例附加 IAM 角色后,AWS CLI 可以自动并且安全地从实例元数据检索凭证。有关更多信息,请参阅 IAM 用户指南 中的向 Amazon EC2 实例中运行的应用程序授予访问 AWS 资源的权限