本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
驗證與存取憑證
當您使用服務開發 AWS 時,您必須建立 AWS CLI 驗證方式。 AWS 若要設定以程式設計方式存取的認證 AWS CLI,請選擇下列其中一個選項。選項是按照建議順序排列的。
哪個使用者需要程式設計存取權? | 用途 | 指示 |
---|---|---|
人力身分識別 (AWS IAM Identity Center 使用者) |
(建議) 使用短期憑證。 | 設定 AWS CLI 要使用的 AWS IAM Identity Center |
IAM | 使用短期憑證。 | 使用短期憑證進行驗證 |
IAM 或員工身份(AWS IAM Identity Center 用戶) |
將 Amazon EC2 執行個體中繼資料用於憑證。 | 使用 Amazon EC2 執行個體中繼資料的憑證 |
IAM 或員工身份(AWS IAM Identity Center 用戶) |
配對其他憑證方法,並擔任角色以獲得許可權。 | 在 AWS CLI 中使用 IAM 角色 |
IAM | (不建議) 使用長期憑證。 | 使用 IAM 使用者憑證進行驗證 |
IAM 或員工身份(AWS IAM Identity Center 用戶) |
(不建議) 配對其他憑證方法,但使用非儲存於 AWS CLI的憑證值。 | 透過外部程序取得憑證 |
組態和憑證優先順序
認證和組態設定位於多個位置,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些驗證優先於其他身份驗證。 AWS CLI 驗證設定的優先順序如下:
-
命令列選項 – 覆寫任何其他位置 (例如
--region
、--output
和--profile
參數) 的設定。 -
環境變數 – 您可以將數值存放在環境變數中。
-
擔任角色—透過組態或
aws sts assume-role
命令,獲得 IAM 角色許可。 -
擔任具有 Web 身分的角色—透過組態或
aws sts assume-role
命令,使用 Web 身分獲得 IAM 角色許可。 -
AWS IAM Identity Center— 執行
aws configure sso
命令時,會更新config
檔案中儲存的 IAM 身分中心組態設定。然後,當您執行aws sso login
命令時,會驗證認證。config
檔案在 Linux 或 macOS 上位於~/.aws/config
,在 Windows 上位於C:\Users\
。USERNAME
\.aws\config -
憑證檔案 – 當您執行
aws configure
命令時,會更新credentials
和config
檔案。credentials
檔案在 Linux 或 macOS 上位於~/.aws/credentials
,在 Windows 上位於C:\Users\
。USERNAME
\.aws\credentials -
自訂程序—從外部來源取得憑證。
-
組態檔 – 當您執行
aws configure
命令時,會更新credentials
和config
檔案。config
檔案在 Linux 或 macOS 上位於~/.aws/config
,在 Windows 上位於C:\Users\
。USERNAME
\.aws\config -
容器憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義關聯起來。然後,該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》中的任務 IAM 角色。
-
Amazon EC2 執行個體設定檔憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體關聯起來。然後,該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資訊,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的 Amazon EC2 IAM 角色,以及《IAM 使用者指南》中的使用執行個體描述檔。