使用 的 IAM 使用者登入資料進行驗證 AWS CLI

警告

為避免安全風險，在開發專用軟體或使用真實資料時，請勿使用 IAM 使用者進行身分驗證。相反地，搭配使用聯合功能和身分提供者，例如 AWS IAM Identity Center。

本節說明如何以 IAM 使用者進行基本設定。其中包含使用 config 和 credentials 檔案的安全憑證。要改為查看 AWS IAM Identity Center的配置說明，請參閱 使用 AWS CLI 設定 IAM Identity Center 身分驗證。

主題

• 步驟 1：建立 IAM 使用者

• 步驟 2：取得您的存取金鑰

• 步驟 3：設定 AWS CLI

  • 使用 aws configure

  • 透過 .CSV 檔案匯入存取金鑰

  • 直接編輯 config 和 credentials 檔案

• （選用） 搭配 IAM 使用者憑證使用多重驗證

步驟 1：建立 IAM 使用者

按照 IAM 使用者指南中的建立 IAM 使用者 (主控台) 程序來建立 IAM 使用者。

• 針對權限選項，請選擇直接連接政策做為您指派權限給此使用者的方式。

• 多數「入門」SDK 教學都使用 Amazon S3 服務做為範例。若要讓應用程式能夠完整存取 Amazon S3，請選取要連接至此使用者的 AmazonS3FullAccess 政策。

步驟 2：取得您的存取金鑰

1. 登入 AWS 管理主控台 並開啟位於 https：//https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在 IAM 主控台的導覽窗格中，選取使用者，然後選取您先前建立使用者的 User name。

3. 在使用者頁面上，選取安全憑證頁面。接著，在存取金鑰下，選取建立存取金鑰。

4. 針對建立存取金鑰步驟 1，請選擇命令列界面 (CLI)。

5. 在建立存取金鑰步驟 2 中，輸入選用標籤並選取下一步。

6. 在建立存取金鑰步驟 3 中，選取下載 .csv 檔案，以儲存包含 IAM 使用者存取金鑰和私密存取金鑰的 .csv 檔案。您之後將會用到此資訊。

7. 選取完成。

步驟 3：設定 AWS CLI

對於一般用途， AWS CLI 需要下列資訊：

• 存取金鑰 ID

• 私密存取金鑰

• AWS 區域

• 輸出格式

會將此資訊 AWS CLI 儲存在 credentials 檔案中名為 的設定檔 （設定集合） default中。根據預設，當您執行未明確指定要使用之設定檔的 AWS CLI 命令時，會使用此設定檔中的資訊。如需有關 credentials 檔案的詳細資訊，請參閱AWS CLI中的組態與憑證檔案設定。

若要設定 AWS CLI，請使用下列其中一個程序：

主題

• 使用 aws configure

• 透過 .CSV 檔案匯入存取金鑰

• 直接編輯 config 和 credentials 檔案

使用 aws configure

對於一般用途， aws configure命令是設定 AWS CLI 安裝的最快方式。此設定精靈會針對您要使用的每項資訊給予提示。除非使用 --profile選項另有指定，否則 會將此資訊 AWS CLI 存放在 default 設定檔中。

下列範例使用範例值來設定 default 設定檔。將範本值取代為您自己的值，如下列章節所述。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

下列範例使用範例值來設定名為 userprod 的設定檔。將範本值取代為您自己的值，如下列章節所述。

$ aws configure --profile userprod
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

透過 .CSV 檔案匯入存取金鑰

您可以匯入建立存取金鑰後下載的純文字 .csv 檔案，而非使用 aws configure 來輸入存取金鑰。

.csv 檔案必須包含以下標頭。

• User Name (使用者名稱) - 此欄必須加入您的 .csv。這是用來在匯入時建立 config 與 credentials 檔案中使用的設定檔名稱。

• 存取金鑰 ID

• 私密存取金鑰

注意

在初始存取金鑰建立過程中，一旦關閉下載 .csv 檔案對話方塊中，您將無法在關閉對話方塊之後存取私密存取金鑰。如果您需要 .csv 檔案，您必須自己建立一個包含所需標頭和您所儲存存取金鑰資訊的檔案。如果您無法存取您的存取金鑰資訊，則必須建立新的存取金鑰。

若要匯入 .csv 檔案，請使用 aws configure import 命令與 --csv 選項，如以下所示：

$ aws configure import --csv file://credentials.csv

如需詳細資訊，請參閱 aws_configure_import。

直接編輯 config 和 credentials 檔案

若要直接編輯 config 和 credentials 檔案，請執行下列動作。

1. 建立或開啟共用的 AWS credentials 檔案。這個檔案是位於 Linux 和 macOS 系統上的 ~/.aws/credentials 和 Windows 上的 %USERPROFILE%\.aws\credentials。如需詳細資訊，請參閱 AWS CLI中的組態與憑證檔案設定。

2. 將以下文字新增至共用的 credentials 檔案。取代您先前下載 .csv 檔案中的範例值，然後儲存檔案。

   [default] 
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE 
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

（選用） 搭配 IAM 使用者憑證使用多重驗證

為了提高安全性，您可以在嘗試呼叫時，使用從多重驗證 (MFA) 裝置、U2F 裝置或行動應用程式產生的一次性金鑰。

使用已啟用 MFA 的 IAM 使用者，執行 aws configure mfa-login命令來設定新的設定檔，以搭配指定設定檔的多重要素驗證 (MFA) 使用。如果未指定設定檔，則 MFA 是以default設定檔為基礎。如果未設定預設設定檔，mfa-login命令會在要求 MFA 資訊之前，提示您輸入 AWS 登入資料。下列命令範例使用您的預設組態並建立 MFA 設定檔。

$ aws configure mfa-login
MFA serial number or ARN: arn:aws:iam::123456789012:mfa/MFADeviceName
MFA token code: 123456
Profile to update [session-MFADeviceName]:
Temporary credentials written to profile 'session-MFADeviceName'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile session-MFADeviceName when running AWS CLI commands

若要更新現有的設定檔，請使用 --update-profile 參數。

$ aws configure mfa-login --profile myprofile --update-profile mfaprofile
MFA token code: 123456
Temporary credentials written to profile 'mfaprofile'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile mfaprofile when running AWS CLI commands

此命令目前僅支援硬體或軟體型一次性密碼 (OTP) 驗證器。此命令目前不支援通行金鑰和 U2F 裝置。

若要使用您的 MFA 設定檔，請將 --profile選項與 命令搭配使用。

$ aws s3 ls --profile mfaprofile

如需搭配 IAM 使用 MFA 的詳細資訊，包括如何將 MFA 指派給 IAM 使用者，請參閱AWS Identity and Access Management 《 使用者指南》中的 AWS IAM 中的多重要素驗證。