組態基礎概念
本節說明如何快速設定 AWS Command Line Interface (AWS CLI) 用於與 AWS 互動的基本設定。這些包含您的安全憑證、預設輸出格式和預設 AWS 區域。
AWS 要求所有傳入請求都經過加密簽署。AWS CLI會為您妥善處理。「簽章」包含日期/時間戳記。因此,您必須確定電腦的日期和時間設定正確。如果不確定,且簽章中的日期/時間與 AWS 服務所辨識的日期/時間相差太多,AWS 會拒絕請求。
使用 aws
configure 的快速組態
一般來說,aws configure 命令是最快的方法來設定您的 AWS CLI 安裝。當您輸入此命令時,AWS CLI 會提示您輸入四項資訊:
AWS CLI 會將此資訊存放在 credentials 檔案中名為 default 的設定檔 (設定集合)。根據預設,當您執行未明確指定要使用之設定檔的 AWS CLI 命令時,會使用此設定檔中的資訊。如需 credentials 檔案的詳細資訊,請參閱 組態與憑證檔案設定
下列範例顯示範本值。將範本值取代為您自己的值,如下列章節所述。
$aws configureAWS Access Key ID [None]:AWS Secret Access Key [None]:AKIAIOSFODNN7EXAMPLEDefault region name [None]:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYDefault output format [None]:us-west-2json
存取金鑰 ID 和私密存取金鑰
存取金鑰包含存取金鑰 ID 與私密存取金鑰,這兩者可用來簽署您對 AWS 提出的程式設計要求。
建立金鑰對
存取金鑰包含存取金鑰 ID 與 私密存取金鑰,這兩者可用來簽署您對 AWS 提出的程式設計要求。如果您沒有存取金鑰,可以從 AWS Management Console 建立。做為最佳實務,請勿在不必要時針對任何任務使用 AWS 帳戶 根使用者存取金鑰。相反地,為您自己建立新的管理員 IAM 使用者 (含存取金鑰)。
您只能在建立金鑰時,檢視或下載私密存取金鑰。稍後您便無法復原。不過,您隨時可以建立新的存取金鑰。您也必須有執行必要 IAM 動作的許可。如需詳細資訊,請參閱IAM 使用者指南中的存取 IAM 資源的必要許可。
建立 IAM 使用者專用的存取金鑰
登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在導覽窗格中,選擇 Users (使用者)。
-
選擇要為其建立存取金鑰的使用者名稱,然後選擇 Security credentials (安全憑證) 標籤。
-
在 Access keys (存取金鑰) 區段中,選擇 Create access key (建立存取金鑰)。
-
若要查看新的存取金鑰,請選擇 Show (顯示)。在關閉此對話方塊後,您將無法再次存取該私密存取金鑰。您的憑證看起來如下:
-
存取金鑰 ID:AKIAIOSFODNN7EXAMPLE
-
私密存取金鑰:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
-
-
若要下載金鑰對,請選擇 Download .csv file (下載 .csv 檔案)。請將金鑰存放在安全位置。在關閉此對話方塊後,您將無法再次存取該私密存取金鑰。
為了保護您的 AWS 帳戶,請保持金鑰機密性,絕不要使用電子郵件寄送它們。請不要在組織外部分享它們,即使查詢似乎來自 AWS 或 Amazon.com 也是一樣。沒有任何人可合法代表 Amazon 來要求您輸入私密金鑰。
-
在您下載
.csv檔案後,選擇 Close (關閉)。當您建立存取金鑰時,在預設情況下,該金鑰對是作用中的,且您可以立即使用該金鑰對。
相關主題
透過 .CSV 檔案 匯入金鑰對
您可以匯入您在建立金鑰對後下載的 .csv 檔案,而不是使用 aws configure 來輸入金鑰對。
.csv 檔案必須包含以下標頭。
-
使用者名稱
-
存取金鑰 ID
-
私密存取金鑰
在初始金鑰對建立過程中,一旦關閉 Download .csv file (下載 .csv 檔案) 對話方塊中,您將無法在關閉對話方塊之後存取私密金鑰。如果您需要 .csv 檔案,您必須自己建立一個包含所需標頭和您所儲存金鑰對資訊的檔案。如果您無法存取您的金鑰對資訊,則必須建立新的金鑰對。
若要匯入 .csv 檔案,請使用 aws configure
import 命令與 --csv 選項,如以下所示:
$aws configure import --csvfile://credentials.csv
如需詳細資訊,請參閱 aws_configure_import。
區域
您希望請求依預設傳送到的伺服器就在 Default region name 所識別的 AWS 區域中。這通常是最接近您的區域,但它可以是任何區域。例如,您可以輸入 us-west-2 來使用美國西部 (奧勒岡)。除非您在個別命令中另外指定,否則此為所有後續請求傳送到的區域。
當您使用 AWS CLI 時,您必須明確指定或經由設定預設區域來指定 AWS 區域。如需可用區域的清單,請參閱區域和端點。AWS CLI 使用的區域指示項與您在 AWS Management Console URL 和服務端點中看到的名稱相同。
輸出格式
Default output format 指定如何將結果格式化。數值可以是以下清單中的任何數值。如果您不指定輸出格式,則會使用 json 作為預設值。
描述檔
設定集合稱為設定檔。依預設,AWS CLI 會使用 default 設定檔。您可以透過指定 --profile 選項並指派名稱,來建立和使用具有不同憑證和設定的其他具名設定檔。
以下範例會建立名為 produser 的設定檔。
$aws configure --profile produserAWS Access Key ID [None]:AKIAI44QH8DHBEXAMPLEAWS Secret Access Key [None]:je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEYDefault region name [None]:us-east-1Default output format [None]:text
您可以接著指定 --profile 並使用以該名稱存放的憑證和設定。profilename
$aws s3 ls --profileproduser
若要更新任何設定,請再次執行 aws configure (使用或不使用 --profile 參數,視您要更新的設定檔而定),並視需要輸入新的數值。下一節包含有關 aws configure 建立的檔案、其他設定和具名設定檔的更多資訊。
如需具名設定檔的詳細資訊,請參閱 AWS CLI 的命名設定檔。
組態設定和優先順序
AWS CLI 會使用位於多個位置的憑證和組態設定,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些位置的優先順序高於其他位置。AWS CLI 憑證和組態設定的優先順序如下:
-
命令列選項 – 會覆寫任何其他位置的設定。您可以在命令列上指定
--region、--output和--profile作為參數。 -
環境變數 – 您可以將數值存放在環境變數中。
-
CLI 憑證檔案 – 當您執行命令
aws configure時,會更新credentials和config檔案。credentials檔案在 Linux 或 macOS 上位於~/.aws/credentials,在 Windows 上位於C:\Users\。此檔案可包含USERNAME\.aws\credentialsdefault描述檔和任何具名描述檔的憑證詳細資訊。 -
CLI 組態檔 – 當您執行命令
aws configure時,會更新credentials和config檔案。config檔案在 Linux 或 macOS 上位於~/.aws/config,在 Windows 上位於C:\Users\。此檔案包含預設描述檔和任何具名描述檔的組態設定。USERNAME\.aws\config -
容器憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義關聯起來。然後,該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》中的任務 IAM 角色。
-
Amazon EC2 執行個體設定檔憑證 – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體關聯起來。然後,該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資訊,請參閱《Amazon EC2 Linux 執行個體使用者指南》中的 Amazon EC2 IAM 角色,以及《IAM 使用者指南》中的使用執行個體描述檔。
