Installieren und Konfigurieren der AWS CLI - AWS OpsWorks
Verwenden einer IAM-RolleVerwenden von installierten Anmeldeinformationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Installieren und Konfigurieren der AWS CLI

Wichtig

Der AWS OpsWorks Stacks Service hat am 26. Mai 2024 das Ende seiner Lebensdauer erreicht und wurde sowohl für neue als auch für bestehende Kunden deaktiviert. Wir empfehlen Kunden dringend, ihre Workloads so bald wie möglich auf andere Lösungen zu migrieren. Wenn Sie Fragen zur Migration haben, wenden Sie sich an das AWS -Support Team auf AWS re:POST oder über den AWS Premium-Support.

Bevor Sie Ihre erste Instanz registrieren, müssen Sie Version 1.16.180 von AWS CLI oder neuer auf dem Computer ausführen, von dem aus Sie die Instance ausführen. register Die Installationsdetails hängen vom Betriebssystem Ihrer Workstation ab. Weitere Informationen zur Installation von finden Sie unter Installation der AWS-Befehlszeilenschnittstelle und Konfiguration der AWS-Befehlszeilenschnittstelle. AWS CLI Um zu überprüfen, welche Version der AWS CLI Sie ausführen, geben Sie in einer Shell-Sitzung aws --version ein.

Anmerkung

AWS Tools for PowerShell enthält zwar das Register-OpsInstanceCmdlet, das die register API-Aktion aufruft, wir empfehlen jedoch, den register Befehl stattdessen AWS CLI mit dem auszuführen.

Sie müssen „register“ mit den entsprechenden Berechtigungen ausführen. Sie können Berechtigungen mithilfe einer IAM-Rolle oder — weniger optimal — durch die Installation von Benutzeranmeldedaten mit den entsprechenden Berechtigungen auf der zu registrierenden Workstation oder Instance erhalten. Anschließend können Sie die register mit diesen Anmeldeinformationen ausführen, wie weiter unten beschrieben. Geben Sie Berechtigungen an, indem Sie dem Benutzer oder der Rolle eine IAM-Richtlinie zuordnen. Für register verwenden Sie entweder die AWSOpsWorksRegisterCLI_OnPremises Richtlinien AWSOpsWorksRegisterCLI_EC2 oder, die Berechtigungen zur Registrierung von Amazon EC2 - bzw. lokalen Instances gewähren.

Anmerkung

Wenn Sie register auf einer EC2 Amazon-Instance laufen, sollten Sie idealerweise eine IAM-Rolle verwenden, um Anmeldeinformationen bereitzustellen. Weitere Informationen zum Anhängen einer IAM-Rolle an eine bestehende Instance finden Sie unter Eine IAM-Rolle an eine Instance anhängen oder Eine IAM-Rolle ersetzen im EC2 Amazon-Benutzerhandbuch.

Beispiel-Codeausschnitte der AWSOpsWorksRegisterCLI_EC2- und AWSOpsWorksRegisterCLI_OnPremises-Richtlinien finden Sie unter Instance-Registrierungsrichtlinien. Weitere Informationen zum Erstellen und Verwalten von AWS-Anmeldeinformationen finden Sie unter AWS-Sicherheitsanmeldeinformationen.

Verwenden einer IAM-Rolle

Wenn Sie den Befehl von der EC2 Amazon-Instance aus ausführen, die Sie registrieren möchten, besteht die bevorzugte Strategie für die Bereitstellung von Anmeldeinformationen register darin, eine IAM-Rolle zu verwenden, der die AWSOpsWorksRegisterCLI_EC2 Richtlinie oder gleichwertige Berechtigungen zugeordnet sind. Bei dieser Methode ist es nicht erforderlich, die Anmeldeinformationen auf der Instance zu installieren. Eine Möglichkeit, dies zu tun, besteht darin, den Befehl Attach/Replace IAM Role in der EC2 Konsole zu verwenden, wie in der folgenden Abbildung dargestellt.

AWS EC2 console showing Instance Settings menu with Attach/Replace IAM Role option highlighted.

Weitere Informationen zum Anhängen einer IAM-Rolle an eine bestehende Instance finden Sie unter Eine IAM-Rolle an eine Instance anhängen oder Eine IAM-Rolle ersetzen im EC2 Amazon-Benutzerhandbuch. Für Instances, die mit einem Instance-Profil gestartet wurden (empfohlen), fügen Sie den --use-instance-profile-Switch zu Ihrem register-Befehl hinzu, um Anmeldeinformationen anzugeben; verwenden Sie nicht den --profile-Parameter.

Wenn die Instance ausgeführt wird und ihr eine Rolle zugeordnet ist, können Sie die erforderlichen Berechtigungen erteilen, indem Sie der Rolle die AWSOpsWorksRegisterCLI_EC2-Richtlinie zuweisen. Die Rolle stellt die Standardanmeldeinformationen für die Instance bereit. Sofern Sie keine Anmeldeinformationen auf der Instance installiert haben, werden die Rolle und deren Berechtigungen von register automatisch übernommen.

Wichtig

Es wird empfohlen, keine Anmeldeinformationen auf der Instance zu installieren. Die Rolle der Instance stellt nicht nur ein Sicherheitsrisiko dar, sondern befindet sich auch am Ende der Standardanbieterkette, AWS CLI anhand derer sie die Standardanmeldedaten ausfindig macht. Somit könnten installierte Anmeldeinformationen Vorrang vor der Rolle haben, sodass register ggf. nicht über die erforderlichen Berechtigungen verfügt. Weitere Informationen finden Sie unter Erste Schritte mit AWS CLI.

Wird eine Instance ohne Rolle ausgeführt, müssen Sie die Anmeldeinformationen mit den erforderlichen Berechtigungen auf der Instance selbst installieren, wie beschrieben unter Verwenden von installierten Anmeldeinformationen. Es ist empfohlen, einfacher und weniger fehleranfällig, Instances zu verwenden mit einem Instance-Profil gestartet werden.

Verwenden von installierten Anmeldeinformationen

Es gibt mehrere Möglichkeiten, Benutzeranmeldeinformationen auf einem System zu installieren und sie einem AWS CLI Befehl zur Verfügung zu stellen. Im Folgenden wird ein Ansatz beschrieben, der nicht mehr empfohlen wird, aber verwendet werden kann, wenn Sie EC2 Instances registrieren, die ohne ein Instanzprofil gestartet wurden. Sie können auch die Anmeldeinformationen eines vorhandenen -Benutzers nutzen, sofern die zugeordneten Richtlinien die erforderlichen Berechtigungen erteilen. Weitere Informationen, darunter andere Möglichkeiten zur Installation von Anmeldeinformationen, finden Sie unter Konfigurations- und Anmeldeinformationsdateien.

So verwenden Sie installierte Anmeldeinformationen

  1. Erstellen Sie einen IAM-Benutzer und speichern Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Ort.

    Warnung

    IAM-Benutzer verfügen über langfristige Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.

  2. Hängen Sie die AWSOpsWorksRegisterCLI_OnPremises Richtlinie an den Benutzer an. Ggf. können Sie auch eine Richtlinie mit weiteren Berechtigungen zuweisen, allerdings müssen die Berechtigungen von AWSOpsWorksRegisterCLI_OnPremises enthalten sein.

  3. Erstellen Sie in der credentials-Datei des Systems ein Profil für den Benutzer. Die Datei finden Sie unter ~/.aws/credentials (Linux, Unix und OS X) oder C:\Users\User_Name\.aws\credentials (Windows-Systeme). Die Datei enthält ein oder mehrere Profile im folgenden Format, von denen jedes die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel eines Benutzers enthält. 

    
[profile_name]
aws_access_key_id = access_key_id
aws_secret_access_key = secret_access_key

    Ersetzen Sie die secret_access_key Werte access_key_id und durch die IAM-Anmeldeinformationen, die Sie zuvor gespeichert haben. Sie können einen beliebigen Namen als Profilnamen angeben (mit zwei Einschränkungen: der Name muss eindeutig sein und das Standardprofil muss default heißen). Sie können auch ein vorhandenes Profil verwenden, sofern es über die notwendigen Berechtigungen verfügt.

  4. Geben Sie den Profilnamen im --profile-Parameter des register-Befehls an. Der Befehl register wird mit den Berechtigungen ausgeführt, die den zugeordneten Anmeldeinformationen erteilt wurden.

    Sie können --profile auch auslassen. In dem Fall wird register mit den Standardanmeldeinformationen ausgeführt. Beachten Sie, dass es sich dabei nicht zwangsläufig um die Anmeldeinformationen des Standardprofils handelt. Sie müssen daher sicherstellen, dass die Standardanmeldeinformationen über die erforderlichen Berechtigungen verfügen. Weitere Informationen darüber, wie der die Standardanmeldedaten AWS CLI bestimmt, finden Sie unter Konfiguration der AWS-Befehlszeilenschnittstelle.