Authentification et informations d’identification d’accès pour l’ AWS CLI - AWS Command Line Interface
Configuration et priorité des informations d’identificationRubriques supplémentaires de cette section

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et informations d’identification d’accès pour l’ AWS CLI

Vous devez établir la manière dont ils AWS CLI s'authentifient AWS lorsque vous développez avec des AWS services. Pour configurer les informations d'identification pour l'accès par programmation au AWS CLI, choisissez l'une des options suivantes. Les options sont présentées par ordre de recommandation.

Type d’authentification Objectif Instructions

AWS Identifiants de la console de gestion

(Recommandé) Utilisez des informations d'identification à court terme en vous connectant à la AWS CLI avec les informations d'identification de votre console. Recommandé si vous utilisez root, des utilisateurs IAM ou une fédération avec IAM pour AWS accéder au compte

 Connectez-vous pour le développement AWS local à l'aide des informations d'identification de console

Informations d’identification à court terme des utilisateurs du personnel IAM Identity Center

 Utilisez des informations d'identification à court terme pour un utilisateur du personnel d'IAM Identity Center.

La meilleure pratique en matière de sécurité consiste AWS Organizations à utiliser IAM Identity Center. Ce service combine les informations d’identification à court terme à un annuaire d’utilisateurs, comme l’annuaire intégré IAM Identity Center ou Active Directory.

 Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI
Informations d’identification à court terme pour les utilisateurs IAM Utiliser les informations d’identification à court terme pour les utilisateurs IAM, qui sont plus sécurisées que celles à long terme. Si des informations d’identification sont compromises, leur durée d’utilisation est limitée avant qu’elles n’expirent. Authentification à l’aide d’informations d’identification à court terme pour l’AWS CLI
Utilisateurs d'IAM ou d'IAM Identity Center sur une instance Amazon EC2 . Utilisez les métadonnées de l' EC2 instance Amazon pour demander des informations d'identification temporaires à l'aide du rôle attribué à l' EC2 instance Amazon. Utilisation de métadonnées d’instance Amazon EC2 comme informations d’identification dans l’AWS CLI
Endosser des rôles pour les autorisations Associer une autre méthode d’identification et endosser un rôle pour un accès temporaire aux Services AWS auxquels le compte utilisateur n’a peut-être pas accès. Utilisation d'un rôle IAM dans AWS CLI
Informations d’identification à long terme des utilisateurs IAM (Non recommandé) Utiliser des informations d’identification à long terme qui n’expirent jamais. Authentification à l'aide des informations d'identification utilisateur IAM pour AWS CLI
Stockage externe des utilisateurs du personnel IAM ou IAM Identity Center (Non recommandé) Associer une autre méthode d’identification, mais stocker les valeurs d’informations d’identification dans un emplacement extérieur à l’ AWS CLI. Cette méthode n’est sécurisée que dans la mesure où l’emplacement externe où les informations d’identification sont stockées est sûr. Utilisation d’informations d’identification provenant d’un processus externe dans l’AWS CLI

Configuration et priorité des informations d’identification

Les informations d'identification et les paramètres de configuration se trouvent à plusieurs endroits, tels que les variables d'environnement système ou utilisateur, les fichiers de AWS configuration locaux, ou sont explicitement déclarés sur la ligne de commande en tant que paramètre. Certaines authentifications ont priorité sur d’autres. Les paramètres d’authentification de l’ AWS CLI sont prioritaires dans l’ordre suivant :

  1. Options de ligne de commande : remplacent les paramètres de tout autre emplacement, par exemple les paramètres --region, --output et --profile.

  2. Variables d’environnement : vous pouvez stocker les valeurs dans les variables d’environnement système.

  3. Endosser un rôle : endossez les autorisations d’un rôle IAM au moyen de la configuration ou de la commande assume-role.

  4. Endosser un rôle avec une identité web : endossez les autorisations d’un rôle IAM utilisant une identité web au moyen de la configuration ou de la commande assume-role-with-web-identity.

  5. AWS IAM Identity Center : les paramètres de configuration d’IAM Identity Center stockés dans le fichier config sont mis à jour lorsque vous exécutez la commande aws configure sso. Les informations d’identification sont ensuite authentifiées lorsque vous exécutez la commande aws sso login. Le fichier config est situé dans ~/.aws/config sous Linux ou macOS, ou dans C:\Users\USERNAME\.aws\config sous Windows.

  6. Fichier d’informations d’identification : les fichiers credentials et config sont mis à jour lorsque vous exécutez la commande aws configure. Le fichier credentials est situé dans ~/.aws/credentials sous Linux ou macOS, ou dans C:\Users\USERNAME\.aws\credentials sous Windows.

  7. Processus personnalisé : obtenez vos informations d’identification auprès d’une source externe.

  8. Fichier de configuration : les fichiers credentials et config sont mis à jour lorsque vous exécutez la commande aws configure. Le fichier config est situé dans ~/.aws/config sous Linux ou macOS, ou dans C:\Users\USERNAME\.aws\config sous Windows.

  9. Informations d’identification de conteneur : vous pouvez associer un rôle IAM à chacune de vos définitions de tâches Amazon Elastic Container Service (Amazon ECS). Les informations d’identification temporaires pour ce rôle sont ensuite disponibles pour les conteneurs de cette tâche. Pour plus d’informations, consultez Rôles IAM pour les tâches dans le Guide du développeur Amazon Elastic Container Service.

  10. Informations d'identification du profil d' EC2instance Amazon : vous pouvez associer un rôle IAM à chacune de vos instances Amazon Elastic Compute Cloud (Amazon EC2). Les informations d’identification temporaires pour ce rôle sont ensuite disponibles pour l’exécution du code dans l’instance. Les informations d'identification sont fournies via le service de EC2 métadonnées Amazon. Pour plus d'informations, consultez les sections Rôles IAM pour Amazon EC2 dans le guide de l' EC2 utilisateur Amazon et Utilisation des profils d'instance dans le guide de l'utilisateur IAM.

Rubriques supplémentaires de cette section