使用 Amazon EC2 实例元数据作为 AWS CLI 证书

当您在亚马逊弹性计算云 (AmazonEC2) 实例 AWS CLI 中运行时，可以简化为命令提供凭证的过程。每个 Amazon EC2 实例都包含 AWS CLI 可以直接查询临时证书的元数据。将IAM角色附加到实例后， AWS CLI 会自动安全地从实例元数据中检索证书。

要禁用此服务，请使用 AWS_EC2 METADATA_DISABLED 环境变量。

先决条件

要将 Amazon EC2 凭证与一起使用 AWS CLI，您需要完成以下操作：

• 安装和配置 AWS CLI。有关更多信息，请参阅 安装或更新到最新版本的 AWS CLI 和 身份验证和访问凭证。

• 您了解配置文件和命名配置文件。有关更多信息，请参阅 配置和凭证文件设置。

• 您已经创建了一个可以访问所需资源的 AWS Identity and Access Management (IAM) 角色，并在启动该EC2实例时将该角色附加到 Amazon 实例。有关更多信息，请参阅亚马逊用户指南EC2中的亚马逊IAM政策以及EC2用户指南中的授予在亚马逊EC2实例上运行的IAM应用程序访问 AWS 资源的权限。

为 Amazon EC2 元数据配置配置文件

要指定您要使用托管 Amazon EC2 实例配置文件中提供的证书，请在配置文件的命名配置文件中使用以下语法。有关更多说明，请参阅以下步骤。

[profile profilename]
role_arn = arn:aws:iam::123456789012:role/rolename
credential_source = Ec2InstanceMetadata
region = region

1. 在配置文件中创建配置文件。

   [profile profilename]

2. 添加有权访问所需资源的 IAM arn 角色。

   role_arn = arn:aws:iam::123456789012:role/rolename

3. 指定 Ec2InstanceMetadata 作为凭证源。

   credential_source = Ec2InstanceMetadata

4. 设置您的区域。

   region = region

示例

以下示例假设 营销管理员角色 角色并在名为的 Amazon EC2 实例配置文件中使用us-west-2该区域marketingadmin。

[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata
region = us-west-2