本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EC2 執行個體中繼資料的憑證
當您 AWS CLI 從 Amazon 彈性運算雲端 (Amazon EC2) 執行個體內執行時,您可以簡化為命令提供登入資料的程序。每個 Amazon EC2 執行個體都包含中繼資料,可供 AWS CLI 直接查詢臨時憑證。將 IAM 角色連接至執行個體時, AWS CLI 會自動且安全地從執行個體中繼資料擷取登入資料。
若要停用此服務,請使用 AWS_EC2_METADATA_DISABLED 環境變數。
必要條件
若要搭配使用 Amazon EC2 登入資料 AWS CLI,您需要完成以下操作:
-
安裝及設定 AWS CLI。如需詳細資訊,請參閱 安裝或更新到最新版本的 AWS CLI 及 驗證與存取憑證。
-
您瞭解組態檔案和命名設定檔。如需詳細資訊,請參閱 組態與憑證檔案設定。
-
您已建立可存取所需資源的 AWS Identity and Access Management (IAM) 角色,並在啟動 Amazon EC2 執行個體時將該角色附加到 Amazon EC2 執行個體。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的適用於 Amazon EC2 的 IAM 政策和在 Amazon EC2 執行個體上執行的應用程式授與 IAM 使用者指南中的 AWS 資源存取權。
設定用於 Amazon EC2 中繼資料的設定檔
若要指定您想要使用託管 Amazon EC2 執行個體設定檔中可用的憑證,請在組態檔案中的具名設定檔使用下列語法。如需詳細說明,請參閱下列步驟。
[profile
profilename
] role_arn =arn:aws:iam::123456789012:role/rolename
credential_source = Ec2InstanceMetadata region =region
-
在組態檔案中建立設定檔。
[profile
profilename
] -
新增可存取所需資源的 IAM ARN 角色。
role_arn =
arn:aws:iam::123456789012:role/rolename
-
指定
Ec2InstanceMetadata
作為憑證來源。credential_source = Ec2InstanceMetadata
-
設定您的區域。
region =
region
範例
下列範例會假設
角色,並在名為 marketingadminrole
的 Amazon EC2 執行個體描述檔中使用 marketingadmin
區域。us-west-2
[profile
marketingadmin
] role_arn =arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata region =us-west-2