將憑證用於 Amazon EC2 執行個體中繼資料 - AWS Command Line Interface

將憑證用於 Amazon EC2 執行個體中繼資料

在從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體內執行 AWS CLI 時,您可以簡化將憑證提供給命令的作業。每個 Amazon EC2 執行個體都包含中繼資料,可供 AWS CLI 直接查詢臨時憑證。當 IAM 角色連接到執行個體時,AWS CLI 會自動安全地從執行個體中繼資料擷取憑證。

若要停用此服務,請使用 AWS_EC2_METADATA_DISABLED 環境變數。

先決條件

若要搭配 AWS CLI 使用 Amazon EC2 憑證,您需要完成下列作業:

設定用於 Amazon EC2 中繼資料的設定檔

若要指定您想要使用託管 Amazon EC2 執行個體設定檔中可用的憑證,請在組態檔案中的具名設定檔使用下列語法。如需詳細說明,請參閱下列步驟。

[profile profilename] role_arn = arn:aws:iam::123456789012:role/rolename credential_source = Ec2InstanceMetadata region = region
  1. 在組態檔案中建立設定檔。

    [profile profilename]
  2. 新增可存取所需資源的 IAM ARN 角色。

    role_arn = arn:aws:iam::123456789012:role/rolename
  3. 指定 Ec2InstanceMetadata 作為憑證來源。

    credential_source = Ec2InstanceMetadata
  4. 設定您的區域。

    region = region

範例

下列範例會假設 marketingadminrole 角色,並在名為 marketingadmin 的 Amazon EC2 執行個體描述檔中使用 us-west-2 區域。

[profile marketingadmin] role_arn = arn:aws:iam::123456789012:role/marketingadminrole credential_source = Ec2InstanceMetadata region = us-west-2