組態基礎概念 - AWS Command Line Interface

組態基礎概念

本節說明如何快速設定 AWS Command Line Interface (AWS CLI) 用於與 AWS 互動的基本設定。這些包含您的安全憑證、預設輸出格式和預設 AWS 區域。

注意

AWS 要求所有傳入請求都經過加密簽署。AWS CLI會為您妥善處理。「簽章」包含日期/時間戳記。因此,您必須確定電腦的日期和時間設定正確。如果不確定,且簽章中的日期/時間與 AWS 服務所辨識的日期/時間相差太多,AWS 會拒絕請求。

使用 aws configure 的快速組態

一般來說,aws configure 命令是最快的方法來設定您的 AWS CLI 安裝。當您輸入此命令時,AWS CLI 會提示您輸入四項資訊:

AWS CLI 會將此資訊存放在 credentials 檔案中名為 default設定檔 (設定集合)。根據預設,當您執行未明確指定要使用之設定檔的 AWS CLI 命令時,會使用此設定檔中的資訊。如需 credentials 檔案的詳細資訊,請參閱 組態與憑證檔案設定

下列範例顯示範本值。將範本值取代為您自己的值,如下列章節所述。

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

存取金鑰 ID 和私密存取金鑰

存取金鑰包含存取金鑰 ID 與私密存取金鑰,這兩者可用來簽署您對 AWS 提出的程式設計要求。

建立金鑰對

存取金鑰包含存取金鑰 ID 與 私密存取金鑰,這兩者可用來簽署您對 AWS 提出的程式設計要求。如果您沒有存取金鑰,可以從 AWS Management Console 建立。做為最佳實務,請勿在不必要時針對任何任務使用 AWS 帳戶 根使用者存取金鑰。相反地,為您自己建立新的管理員 IAM 使用者 (含存取金鑰)。

您只能在建立金鑰時,檢視或下載私密存取金鑰。稍後您便無法復原。不過,您隨時可以建立新的存取金鑰。您也必須有執行必要 IAM 動作的許可。如需詳細資訊,請參閱IAM 使用者指南中的存取 IAM 資源的必要許可

建立 IAM 使用者專用的存取金鑰

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Users (使用者)。

  3. 選擇要為其建立存取金鑰的使用者名稱,然後選擇 Security credentials (安全憑證) 標籤。

  4. Access keys (存取金鑰) 區段中,選擇 Create access key (建立存取金鑰)

  5. 若要查看新的存取金鑰,請選擇 Show (顯示)。在關閉此對話方塊後,您將無法再次存取該私密存取金鑰。您的憑證看起來如下:

    • 存取金鑰 ID:AKIAIOSFODNN7EXAMPLE

    • 私密存取金鑰:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  6. 若要下載金鑰對,請選擇 Download .csv file (下載 .csv 檔案)。請將金鑰存放在安全位置。在關閉此對話方塊後,您將無法再次存取該私密存取金鑰。

    為了保護您的 AWS 帳戶,請保持金鑰機密性,絕不要使用電子郵件寄送它們。請不要在組織外部分享它們,即使查詢似乎來自 AWS 或 Amazon.com 也是一樣。沒有任何人可合法代表 Amazon 來要求您輸入私密金鑰。

  7. 在您下載 .csv 檔案後,選擇 Close (關閉)。當您建立存取金鑰時,在預設情況下,該金鑰對是作用中的,且您可以立即使用該金鑰對。

相關主題

透過 .CSV 檔案 匯入金鑰對

您可以匯入您在建立金鑰對後下載的 .csv 檔案,而不是使用 aws configure 來輸入金鑰對。

.csv 檔案必須包含以下標頭。

  • 使用者名稱

  • 存取金鑰 ID

  • 私密存取金鑰

注意

在初始金鑰對建立過程中,一旦關閉 Download .csv file (下載 .csv 檔案) 對話方塊中,您將無法在關閉對話方塊之後存取私密金鑰。如果您需要 .csv 檔案,您必須自己建立一個包含所需標頭和您所儲存金鑰對資訊的檔案。如果您無法存取您的金鑰對資訊,則必須建立新的金鑰對。

若要匯入 .csv 檔案,請使用 aws configure import 命令與 --csv 選項,如以下所示:

$ aws configure import --csv file://credentials.csv

如需詳細資訊,請參閱 aws_configure_import

區域

您希望請求依預設傳送到的伺服器就在 Default region name 所識別的 AWS 區域中。這通常是最接近您的區域,但它可以是任何區域。例如,您可以輸入 us-west-2 來使用美國西部 (奧勒岡)。除非您在個別命令中另外指定,否則此為所有後續請求傳送到的區域。

注意

當您使用 AWS CLI 時,您必須明確指定或經由設定預設區域來指定 AWS 區域。如需可用區域的清單,請參閱區域和端點。AWS CLI 使用的區域指示項與您在 AWS Management Console URL 和服務端點中看到的名稱相同。

輸出格式

Default output format 指定如何將結果格式化。數值可以是以下清單中的任何數值。如果您不指定輸出格式,則會使用 json 作為預設值。

  • json – 輸出的格式為 JSON 字串。

  • yaml – 輸出的格式為 YAML 字串。

  • yaml-stream – 輸出採用串流方式且格式為 YAML 字串。串流可加速處理大型資料類型。

  • text – 輸出的格式是多行以 Tab 分隔的字串值。這對於將輸出傳遞給文字處理器 (如 grepsedawk) 非常有用。

  • table – 輸出的格式為使用字元 +|- 形成儲存格框線的表格。它通常以「方便人類使用」的格式來呈現資訊,這種格式比其他格式更容易閱讀,但在編寫程式方面較不有用。

描述檔

設定集合稱為設定檔。依預設,AWS CLI 會使用 default 設定檔。您可以透過指定 --profile 選項並指派名稱,來建立和使用具有不同憑證和設定的其他具名設定檔。

以下範例會建立名為 produser 的設定檔。

$ aws configure --profile produser AWS Access Key ID [None]: AKIAI44QH8DHBEXAMPLE AWS Secret Access Key [None]: je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY Default region name [None]: us-east-1 Default output format [None]: text

您可以接著指定 --profile profilename 並使用以該名稱存放的憑證和設定。

$ aws s3 ls --profile produser

若要更新任何設定,請再次執行 aws configure (使用或不使用 --profile 參數,視您要更新的設定檔而定),並視需要輸入新的數值。下一節包含有關 aws configure 建立的檔案、其他設定和具名設定檔的更多資訊。

如需具名設定檔的詳細資訊,請參閱 AWS CLI 的命名設定檔

組態設定和優先順序

AWS CLI 會使用位於多個位置的憑證和組態設定,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些位置的優先順序高於其他位置。AWS CLI 憑證和組態設定的優先順序如下:

  1. 命令列選項 – 會覆寫任何其他位置的設定。您可以在命令列上指定--region--output--profile 作為參數。

  2. 環境變數 – 您可以將數值存放在環境變數中。

  3. CLI 憑證檔案 – 當您執行命令 aws configure 時,會更新 credentialsconfig 檔案。credentials 檔案在 Linux 或 macOS 上位於 ~/.aws/credentials,在 Windows 上位於 C:\Users\USERNAME\.aws\credentials。此檔案可包含 default 描述檔和任何具名描述檔的憑證詳細資訊。

  4. CLI 組態檔 – 當您執行命令 aws configure 時,會更新 credentialsconfig 檔案。config 檔案在 Linux 或 macOS 上位於 ~/.aws/config,在 Windows 上位於 C:\Users\USERNAME\.aws\config。此檔案包含預設描述檔和任何具名描述檔的組態設定。

  5. 容器憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義關聯起來。然後,該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》中的任務 IAM 角色

  6. Amazon EC2 執行個體設定檔憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體關聯起來。然後,該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資訊,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的 Amazon EC2 IAM 角色,以及《IAM 使用者指南》中的使用執行個體描述檔