AWS Command Line Interface
使用者指南

設定 AWS CLI

本節說明如何設定 AWS Command Line Interface (AWS CLI) 在與 AWS 互動時使用的設定,包括安全登入資料、預設輸出格式和預設 AWS 區域。

注意

AWS 要求所有傳入請求都經過加密簽署。AWS CLI 會為您妥善處理。「簽章」包含日期/時間戳記。因此,您必須確定電腦的日期和時間設定正確。如果不確定,且簽章中的日期和時間與 AWS 服務所辨識的日期/時間相差太多,AWS 會拒絕請求。

快速設定 AWS CLI

一般來說,aws configure 命令是最快的方法來設定您的 AWS CLI 安裝。

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

輸入此命令時,AWS CLI 會提示您輸入四項資訊 (存取金鑰、私密存取金鑰、AWS 區域和輸出格式),並將它們存放在名為 default描述檔 (一組設定集合) 中。之後,每當您執行的 AWS CLI 命令未明確指定要使用的描述檔時,就會使用此描述檔。

存取金鑰和私密存取金鑰

AWS Access Key IDAWS Secret Access Key 是您的 AWS 登入資料。它們與一個 AWS Identity and Access Management (IAM) 使用者或角色相關聯,而該使用者或角色可決定您擁有的許可。如需如何使用 IAM 服務建立使用者的教學課程,請參閱 IAM User Guide中的建立您的第一個 IAM 管理員使用者和群組

Access keys consist of an access key ID and secret access key, which are used to sign programmatic requests that you make to AWS. If you don't have access keys, you can create them from the AWS Management Console. As a best practice, do not use the AWS account root user access keys for any task where it's not required. Instead, create a new administrator IAM user with access keys for yourself.

The only time that you can view or download the secret access key is when you create the keys. You cannot recover them later. However, you can create new access keys at any time. You must also have permissions to perform the required IAM actions. For more information, see Permissions Required to Access IAM Resources in the IAM User Guide.

To create access keys for an IAM user

  1. Sign in to the AWS Management Console and open the IAM console at https://console.aws.amazon.com/iam/.

  2. In the navigation pane, choose Users.

  3. Choose the name of the user whose access keys you want to create, and then choose the Security credentials tab.

  4. In the Access keys section, choose Create access key.

  5. To view the new access key pair, choose Show. You will not have access to the secret access key again after this dialog box closes. Your credentials will look something like this:

    • Access key ID: AKIAIOSFODNN7EXAMPLE

    • Secret access key: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. To download the key pair, choose Download .csv file. Store the keys in a secure location. You will not have access to the secret access key again after this dialog box closes.

    Keep the keys confidential in order to protect your AWS account and never email them. Do not share them outside your organization, even if an inquiry appears to come from AWS or Amazon.com. No one who legitimately represents Amazon will ever ask you for your secret key.

  7. After you download the .csv file, choose Close. When you create an access key, the key pair is active by default, and you can use the pair right away.

Related topics

區域

您希望請求依預設傳送到的伺服器就在 Default region name 所識別的 AWS 區域中。這通常是最接近您的區域,但它可以是任何區域。例如,您可以輸入 us-west-2 以使用US West (Oregon)。除非您在個別命令中另外指定,否則此為所有後續請求傳送到的區域。

注意

當您使用 AWS CLI 時,您必須明確指定或經由設定預設區域來指定 AWS 區域。如需可用區域的清單,請參閱區域和端點。AWS CLI 使用的區域指示項與您在 AWS Management Console URL 和服務端點中看到的名稱相同。

輸出格式

Default output format 指定如何將結果格式化。值可以是以下清單中的任何值。如果您不指定輸出格式,則會使用 json 作為預設值。

  • json:輸出的格式為 JSON 字串。

  • text:輸出的格式為多行 Tab 鍵分隔字串值,如果您要將輸出傳遞至文字處理器 (例如 grepsedawk),這會很有用。

  • table:輸出的格式為使用字元 +|- 形成儲存格框線的表格。它通常以「方便人類使用」的格式來呈現資訊,這種格式比其他格式更容易閱讀,但在編寫程式方面較不有用。

快速組態和多個描述檔

如果您使用先前所示的命令,其結果會是名為 default 的單一描述檔。您也可以使用 --profile 選項來指定描述檔的名稱,以建立其他組態。

$ aws configure --profile user2 AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY Default region name [None]: us-east-1 Default output format [None]: text

然後,當您執行命令時,您可以省略 --profile 選項,而使用於 default 描述檔中存放的設定。

$ aws s3 ls

或者,您可以指定 --profile profilename 並使用以該名稱存放的設定。

$ aws s3 ls --profile myuser

若要更新任何設定,簡單地再次執行 aws configure 即可 (使用或不使用 --profile 參數,視您要更新的描述檔而定),並視需要輸入新的值。下一節包含有關 aws configure 建立的檔案、其他設定和具名描述檔的更多資訊。

組態設定和優先順序

AWS CLI使用一組登入資料供應者來尋找 AWS 登入資料。每個登入資料供應者在不同的地方尋找登入資料,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列明確宣告為參數。AWS CLI 依下列順序叫用供應者,以尋找登入資料和組態設定,並於找到要使用的一組登入資料時停止:

  1. 命令列選項 – 您可以在命令列指定 --region--output--profile 做為參數。

  2. 環境變數 – 您可以將值存放在環境變數中:AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEYAWS_SESSION_TOKEN。如果值存在,就會拿來使用。

  3. CLI 登入資料檔案 – 這是您執行命令 aws configure 時所更新的其中一個檔案。此檔案在 Linux, macOS, or Unix 上位於 ~/.aws/credentials,在 Windows 上位於 C:\Users\USERNAME\.aws\credentials。此檔案可包含 default 描述檔和任何具名描述檔的登入資料詳細資訊。

  4. CLI 組態檔 – 這是您執行命令 aws configure 時所更新的另一個檔案。此檔案在 Linux, macOS, or Unix 上位於 ~/.aws/config,在 Windows 上位於 C:\Users\USERNAME\.aws\config。此檔案包含預設描述檔和任何具名描述檔的組態設定。

  5. 容器登入資料 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義建立關聯。然後,該角色的臨時登入資料就可供該任務的容器使用。如需詳細資訊,請參閱 Amazon Elastic Container Service Developer Guide中的任務的 IAM 角色

  6. 執行個體描述檔登入資料 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立關聯。然後,該角色的臨時登入資料就可供執行個體中執行的程式碼使用。登入資料是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資訊,請參閱 Amazon EC2 User Guide for Linux Instances中的 Amazon EC2 的 IAM 角色IAM User Guide中的使用執行個體描述檔