的身分驗證和存取憑證 AWS CLI

當您使用 服務進行開發 AWS 時，您必須建立 如何向 AWS 進行 AWS CLI 身分驗證。若要為 設定程式設計存取的登入資料 AWS CLI，請選擇下列其中一個選項。選項是按照建議順序排列的。

身分驗證類型	用途	指示
IAM Identity Center 人力資源使用者短期憑證	（建議） 使用 IAM Identity Center 人力資源使用者的短期憑證。 安全最佳實務是 AWS Organizations 搭配 IAM Identity Center 使用 。它將短期憑證與使用者目錄結合，例如內建 IAM Identity Center 目錄或 Active Directory。	使用 設定 IAM Identity Center 身分驗證 AWS CLI
IAM 使用者短期憑證	使用 IAM 使用者短期憑證，這比長期憑證更安全。如果您的登入資料遭到入侵，在過期之前，可以使用這些登入資料的時間有限。	使用 的短期登入資料進行驗證 AWS CLI
Amazon EC2 執行個體上的 IAM 或 IAM Identity Center 使用者。	使用 Amazon EC2 執行個體中繼資料，使用指派給 Amazon EC2 執行個體的角色來查詢臨時登入資料。	在 中使用 Amazon EC2 執行個體中繼資料做為登入資料 AWS CLI
擔任 許可的角色	配對另一個登入資料方法，並擔任角色以暫時存取 AWS 服務 您的使用者，可能無法存取 。	在 中使用 IAM 角色 AWS CLI
IAM 使用者長期憑證	（不建議） 使用沒有過期的長期登入資料。	使用 的 IAM 使用者登入資料進行驗證 AWS CLI
IAM 或 IAM Identity Center 人力資源使用者的外部儲存	（不建議） 配對其他登入資料方法，但將登入資料值存放在 外部的位置 AWS CLI。此方法僅與存放登入資料的外部位置一樣安全。	在 中使用外部程序來採購登入資料 AWS CLI

組態和憑證優先順序

登入資料和組態設定位於多個位置，例如系統或使用者環境變數、本機 AWS 組態檔案，或在命令列上明確宣告為參數。某些身分驗證優先於其他身分驗證。 AWS CLI 身分驗證設定優先順序如下：

1. 命令列選項 – 覆寫任何其他位置 (例如 --region、--output 和 --profile 參數) 的設定。

2. 環境變數 – 您可以將數值存放在環境變數中。

3. 擔任角色—透過組態或 assume-role 命令，獲得 IAM 角色許可。

4. 擔任具有 Web 身分的角色—透過組態或 assume-role-with-web-identity 命令，使用 Web 身分獲得 IAM 角色許可。

5. AWS IAM Identity Center – 當您執行 aws configure sso命令時，會更新存放在 config 檔案中的 IAM Identity Center 組態設定。然後，當您執行 aws sso login命令時，會驗證登入資料。config 檔案在 Linux 或 macOS 上位於 ~/.aws/config，在 Windows 上位於 C:\Users\USERNAME\.aws\config。

6. 憑證檔案 – 當您執行 aws configure 命令時，會更新 credentials 和 config 檔案。credentials 檔案在 Linux 或 macOS 上位於 ~/.aws/credentials，在 Windows 上位於 C:\Users\USERNAME\.aws\credentials。

7. 自訂程序—從外部來源取得憑證。

8. 組態檔 – 當您執行 aws configure 命令時，會更新 credentials 和 config 檔案。config 檔案在 Linux 或 macOS 上位於 ~/.aws/config，在 Windows 上位於 C:\Users\USERNAME\.aws\config。

9. 容器憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義關聯起來。然後，該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊，請參閱《Amazon Elastic Container Service 開發人員指南》中的任務 IAM 角色。

10. Amazon EC2 執行個體設定檔憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體關聯起來。然後，該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資訊，請參閱《Amazon EC2 使用者指南》中的 Amazon EC2 的 IAM 角色和《IAM 使用者指南》中的使用執行個體描述檔。 Amazon EC2

本區段的其他主題

• 使用 設定 IAM Identity Center 身分驗證 AWS CLI

• 使用 的短期登入資料進行驗證 AWS CLI

• 在 中使用 IAM 角色 AWS CLI

• 使用 的 IAM 使用者登入資料進行驗證 AWS CLI

• 在 中使用 Amazon EC2 執行個體中繼資料做為登入資料 AWS CLI

• 在 中使用外部程序來採購登入資料 AWS CLI