Authentifizierung und Anmeldeinformationen für die AWS CLI - AWS Command Line Interface
Vorrang der Konfiguration und der AnmeldeinformationenWeitere Themen in diesem Abschnitt

Diese Dokumentation bezieht sich ausschließlich auf Version 1 der AWS CLI. Eine Dokumentation zu Version 2 der AWS CLI finden Sie im Benutzerhandbuch für Version 2.

Authentifizierung und Anmeldeinformationen für die AWS CLI

Sie müssen festlegen, wie sich die AWS CLI bei AWS authentifiziert, wenn Sie Entwicklungsprozesse mit AWS-Services durchführen. Wählen Sie eine der folgenden Optionen aus, um Anmeldeinformationen für programmgesteuerten Zugriff für die AWS CLI zu konfigurieren. Die Optionen sind in der Reihenfolge aufgeführt, in der sie empfohlen werden.

Authentifizierungstyp Zweck Anweisungen
Kurzfristige Anmeldeinformationen für IAM-Benutzer Verwenden Sie kurzfristige Anmeldeinformationen für IAM-Benutzer, die sicherer als langfristige Anmeldeinformationen sind. Wenn Ihre Anmeldeinformationen kompromittiert werden, können sie nur für einen begrenzten Zeitraum verwendet werden, bevor sie ablaufen. Authentifizierung mit kurzfristigen Anmeldeinformationen für die AWS CLI
Benutzer von IAM auf einer Amazon-EC2-Instance Verwenden Sie Metadaten einer Amazon-EC2-Instance, um mithilfe der Rolle, die der Amazon-EC2-Instance zugewiesen ist, temporäre Anmeldeinformationen abzufragen. Verwenden von Metadaten der Amazon-EC2-Instance als Anmeldeinformationen in der AWS CLI
Übernehmen von Rollen für Berechtigungen Kombinieren Sie eine andere Anmeldeinformationsmethode und übernehmen Sie eine Rolle für den temporären Zugriff auf AWS-Services, auf die Ihr Benutzer möglicherweise keinen Zugriff hat. Verwenden einer IAM-Rolle in der AWS CLI
Langfristige Anmeldeinformationen für IAM-Benutzer (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen ohne Ablaufdatum. Authentifizierung mit Anmeldeinformationen eines IAM-Benutzers für die AWS CLI
Externe Speicherung für Unternehmensbenutzer von IAM (Nicht empfohlen) Sie kombinieren mit einer anderen Anmeldeinformationsmethode, speichern die Anmeldeinformationswerte jedoch an einem Ort außerhalb der AWS CLI. Diese Methode ist nur so sicher wie der externe Ort, an dem die Anmeldeinformationen gespeichert werden. Beschaffung von Anmeldeinformationen über einen externen Prozess in der AWS CLI

Vorrang der Konfiguration und der Anmeldeinformationen

Anmeldeinformationen und Konfigurationseinstellungen befinden sich an mehreren Speicherorten, z. B. System- oder Benutzerumgebungsvariablen, lokale AWS-Konfigurationsdateien, oder werden in der Befehlszeile als Parameter explizit deklariert. Bestimmte Speicherorte haben Vorrang vor anderen. Die AWS CLI-Anmeldeinformationen und Konfigurationseinstellungen haben Vorrang in der folgenden Reihenfolge:

  1. Befehlszeilenoptionen – überschreiben Einstellungen an jedem anderen Speicherort, z. B. die Parameter --region, --output und --profile.

  2. Umgebungsvariablen – Sie können Werte in den Umgebungsvariablen Ihres Systems speichern.

  3. Rolle übernehmen – übernehmen Sie die Berechtigungen einer IAM-Rolle durch die Konfiguration oder den Befehl assume-role.

  4. Rolle mit Webidentität übernehmen – übernehmen Sie die Berechtigungen einer IAM-Rolle mit Webidentität durch die Konfiguration oder den Befehl assume-role-with-web-identity.

  5. Anmeldeinformationsdatei – die Dateien credentials und config werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei credentials befindet sich in ~/.aws/credentials unter Linux und in macOS oder in C:\Users\USERNAME\.aws\credentials unter Windows.

  6. Benutzerdefinierter Prozess – rufen Sie Ihre Anmeldeinformationen von einer externen Quelle ab.

  7. Konfigurationsdatei – die Dateien credentials und config werden aktualisiert, wenn Sie den Befehl aws configure ausführen. Die Datei config befindet sich in ~/.aws/config unter Linux und in macOS oder in C:\Users\USERNAME\.aws\config unter Windows.

  8. Container Anmeldeinformationen Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Container-Service-(Amazon-ECS)-Aufgabendefinitionen verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für die Container dieser Aufgabe zur Verfügung. Weitere Informationen finden Sie unter IAM-Rollen für Aufgaben im Entwicklerhandbuch zum Amazon Elastic Container Service.

  9. Amazon-EC2-Instance-Profil-Anmeldeinformationen – Sie können eine IAM-Rolle mit jeder Ihrer Amazon-Elastic-Compute-Cloud(Amazon-EC2)-Instances verknüpfen. Temporäre Anmeldeinformationen für diese Rolle stehen dann für den Code zur Verfügung, der in dieser Instance ausgeführt wird. Die Anmeldeinformationen werden über den Amazon-EC2-Metadaten-Service bereitgestellt. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2 im Amazon-EC2-Benutzerhandbuch und unter Verwenden von Instance-Profilen im IAM-Benutzerhandbuch.

Weitere Themen in diesem Abschnitt