本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EC2 執行個體中繼資料的憑證
在從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體內執行 AWS CLI 時,您可以簡化將憑證提供給命令的作業。每個 Amazon EC2 執行個體都包含中繼資料,可供 AWS CLI 直接查詢臨時憑證。當 IAM 角色連接到執行個體時,AWS CLI 會自動安全地從執行個體中繼資料擷取憑證。
若要停用此服務,請使用 AWS_EC2_METADATA_DISABLED 環境變數。
必要條件
若要搭配 AWS CLI 使用 Amazon EC2 憑證,您需要完成下列作業:
-
安裝及設定 AWS CLI。如需詳細資訊,請參閱安裝或更新到最新版本的 AWS CLI及驗證與存取憑證。
-
您瞭解組態檔案和命名設定檔。如需更多詳細資訊,請參閱 組態與憑證檔案設定。
-
您已建立有權存取所需資源的 AWS Identity and Access Management (IAM) 角色,並在啟動 Amazon EC2 執行個體時將該角色連接到了該執行個體。如需詳細資訊,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的 Amazon EC2 IAM 政策,以及《IAM 使用者指南》中的授予在 Amazon EC2 執行個體上執行的應用程式存取 AWS 資源的權限。
設定用於 Amazon EC2 中繼資料的設定檔
若要指定您想要使用託管 Amazon EC2 執行個體設定檔中可用的憑證,請在組態檔案中的具名設定檔使用下列語法。如需詳細說明,請參閱下列步驟。
[profile
profilename
] role_arn =arn:aws:iam::123456789012:role/rolename
credential_source = Ec2InstanceMetadata region =region
-
在組態檔案中建立設定檔。
[profile
profilename
] -
新增可存取所需資源的 IAM ARN 角色。
role_arn =
arn:aws:iam::123456789012:role/rolename
-
指定
Ec2InstanceMetadata
作為憑證來源。credential_source = Ec2InstanceMetadata
-
設定您的區域。
region =
region
範例
下列範例會假設
角色,並在名為 marketingadminrole
的 Amazon EC2 執行個體描述檔中使用 marketingadmin
區域。us-west-2
[profile
marketingadmin
] role_arn =arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata region =us-west-2