Configuration de l’AWS CLI
Cette rubrique explique comment configurer rapidement les paramètres de base qu’utilise l’AWS Command Line Interface (AWS CLI) pour interagir avec AWS. Ceux-ci incluent vos informations d'identification de sécurité, le format de sortie par défaut et la région AWS par défaut.
Recueil de vos informations d’identification pour un accès par programmation
Un accès par programmation est nécessaire quand vous souhaitez interagir avec AWS en dehors de la AWS Management Console. Pour obtenir des instructions concernant l’authentification et les informations d’identification, choisissez l’une des options suivantes :
Paramétrage d’une nouvelle configuration et de nouvelles informations d’identification
L’AWS CLI stocke votre configuration et les informations d’identification dans un profil (ensemble de paramètres) dans les fichiers credentials et config.
Il existe principalement deux méthodes pour effectuer une configuration rapide :
Les exemples suivants utilisent des exemples de valeurs pour chacune des méthodes d’authentification. Remplacez ceux-ci par vos propres valeurs.
Configuration à l’aide des commandes de l’AWS CLI
Pour une utilisation générale, les commandes aws configure ou aws configure sso de votre terminal préféré constituent le moyen le plus rapide de configurer votre installation de l’AWS CLI. En fonction de la méthode d’identification que vous préférez, l’AWS CLI vous invite à saisir les informations pertinentes. Par défaut, les informations de ce profil sont utilisées lorsque vous exécutez une commande de l’AWS CLI qui ne spécifie pas explicitement un profil à utiliser.
Pour plus d’informations sur les fichiers credentials et config, consultez Paramètres des fichiers de configuration et d’informations d’identification dans l’AWS CLI.
- IAM Identity Center
(SSO)
-
Cet exemple concerne AWS IAM Identity Center avec une utilisation de l’assistant aws configure sso. Pour plus d’informations, consultez Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI.
$ aws configure sso
SSO session name (Recommended): my-ssoSSO start URL [None]: https://my-sso-portal.awsapps.com/startSSO region [None]:us-east-1Attempting to automatically open the SSO authorization page in your default browser.
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333)
ProductionAccount, production-account-admin@example.com (444455556666)
Using the account ID 111122223333
There are 2 roles available to you.
> ReadOnly
FullAccess
Using the role name "ReadOnly"
CLI default client Region [None]: us-west-2CLI default output format [None]: jsonCLI profile name [123456789011_ReadOnly]: user1
- IAM Identity Center
(Legacy SSO)
-
Cet exemple concerne la méthode héritée d’AWS IAM Identity Center avec une utilisation de l’assistant aws configure sso. Pour utiliser l’authentification unique héritée, laissez le nom de session vide. Pour plus d’informations, consultez Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI.
$ aws configure sso
SSO session name (Recommended):
SSO start URL [None]: https://my-sso-portal.awsapps.com/startSSO region [None]:us-east-1SSO authorization page has automatically been opened in your default browser.
Follow the instructions in the browser to complete this authorization request.
There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (111122223333)
ProductionAccount, production-account-admin@example.com (444455556666)
Using the account ID 111122223333
There are 2 roles available to you.
> ReadOnly
FullAccess
Using the role name "ReadOnly"
CLI default client Region [None]: us-west-2CLI default output format [None]: jsonCLI profile name [123456789011_ReadOnly]: user1
- Short-term credentials
-
Cet exemple concerne les informations d’identification AWS Identity and Access Management à court terme. L’assistant de configuration AWS est utilisé pour définir les valeurs initiales, puis la commande aws configure set attribue la dernière valeur requise. Pour plus d’informations, consultez Authentification à l’aide d’informations d’identification à court terme pour l’AWS CLI.
$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLEwJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYus-west-2json
$ aws configure set aws_session_token fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
- IAM role
-
Cet exemple concerne l’endossement d’un rôle IAM. Les profils qui utilisent des rôles IAM extraient les informations d’identification d’un autre profil, puis appliquent les autorisations des rôles IAM. Dans les exemples suivants, default est le profil source des informations d’identification et user1 emprunte les mêmes informations d’identification, puis endosse un nouveau rôle. Il n’existe pas d’assistant pour ce processus, chaque valeur est donc définie à l’aide de la commande aws configure set. Pour plus d’informations, consultez Utilisation d’un rôle IAM dans l’AWS CLI.
$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set source_profile default
$ aws configure set role_session_name session_user1
$ aws configure set region us-west-2
$ aws configure set output json
- Amazon EC2 instance metadata credentials
-
Cet exemple concerne les informations d’identification obtenues à partir des métadonnées de l’instance d’hébergement Amazon EC2. Il n’existe pas d’assistant pour ce processus, chaque valeur est donc définie à l’aide de la commande aws configure
set. Pour plus d’informations, consultez Utilisation de métadonnées d’instance Amazon EC2 comme informations d’identification dans l’AWS CLI.
$ aws configure set role_arn arn:aws:iam::123456789012:role/defaultrole
$ aws configure set credential_source Ec2InstanceMetadata
$ aws configure set region us-west-2
$ aws configure set output json
- Long-term credentials
-
Afin d’éviter les risques de sécurité, n'employez pas les utilisateurs IAM pour l'authentification lorsque vous développez des logiciels spécialisés ou lorsque vous travaillez avec des données réelles. Préférez la fédération avec un fournisseur d'identité tel que AWS IAM Identity Center.
Cet exemple concerne les informations d’identification à long terme d’AWS Identity and Access Management. Pour plus d’informations, consultez Authentification à l’aide des informations d’identification d’utilisateur IAM pour l’AWS CLI.
$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLEwJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYus-west-2json
Pour plus d’informations sur les méthodes d’authentification et les informations d’identification, consultez Authentification et informations d’identification d’accès pour l’AWS CLI.
Modification manuelle des fichiers de configuration et d’informations d’identification
Quand vous copiez et collez des informations, nous vous suggérons de modifier manuellement les fichiers config et credentials. Selon la méthode d’identification que vous préférez, les fichiers sont configurés différemment.
Les fichiers sont stockés dans votre répertoire de base, sous le dossier .aws. L'emplacement du répertoire de base varie selon le système d'exploitation, mais il est référencé à l'aide de variables d'environnement %UserProfile% sous Windows et $HOME ou ~ (tilde) sur les systèmes Unix. Pour plus d’informations sur l’emplacement de stockage de ces paramètres, consultez Où les paramètres de configuration sont-ils stockés ?.
Les exemples suivants montrent un profil default ainsi qu’un profil nommé user1, et utilisent des exemples de valeurs. Remplacez ceux-ci par vos propres valeurs. Pour plus d’informations sur les fichiers credentials et config, consultez Paramètres des fichiers de configuration et d’informations d’identification dans l’AWS CLI.
- IAM Identity Center
(SSO)
-
Cet exemple s’applique à AWS IAM Identity Center. Pour plus d’informations, consultez Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI.
Fichier d'informations d'identification
Le fichier credentials n’est pas utilisé pour cette méthode d’authentification.
Fichier de configuration
[default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text
[profile user1]
sso_session = my-sso
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
- IAM Identity Center
(Legacy SSO)
-
Cet exemple concerne la méthode héritée d’AWS IAM Identity Center. Pour plus d’informations, consultez Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI.
Fichier d'informations d'identification
Le fichier credentials n’est pas utilisé pour cette méthode d’authentification.
Fichier de configuration
[default]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 111122223333
sso_role_name = readOnly
region = us-west-2
output = text
[profile user1]
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_region = us-east-1
sso_account_id = 444455556666
sso_role_name = readOnly
region = us-east-1
output = json
- Short-term credentials
-
Cet exemple concerne les informations d’identification AWS Identity and Access Management à court terme. Pour plus d’informations, consultez Authentification à l’aide d’informations d’identification à court terme pour l’AWS CLI.
Fichier d'informations d'identification
[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
[user1]
aws_access_key_id=ASIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
aws_session_token = fcZib3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
Fichier de configuration
[default]
region=us-west-2
output=json
[profile user1]
region=us-east-1
output=text
- IAM role
-
Cet exemple concerne l’endossement d’un rôle IAM. Les profils qui utilisent des rôles IAM extraient les informations d’identification d’un autre profil, puis appliquent les autorisations des rôles IAM. Dans les exemples suivants, default est le profil source des informations d’identification et user1 emprunte les mêmes informations d’identification, puis endosse un nouveau rôle. Pour plus d’informations, consultez Utilisation d’un rôle IAM dans l’AWS CLI.
Fichier d'informations d'identification
Le fichier credentials dépend de l’authentification utilisée par votre profil source. Dans l’exemple suivant, le profil source utilise des informations d’identification à court terme.
[default]
aws_access_key_id=ASIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
Fichier de configuration
[default]
region=us-west-2
output=json
[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
source_profile=default
role_session_name=session_user1
region=us-east-1
output=text
- Amazon EC2 instance metadata credentials
-
Cet exemple concerne les informations d’identification obtenues à partir des métadonnées de l’instance d’hébergement Amazon EC2. Pour plus d’informations, consultez Utilisation de métadonnées d’instance Amazon EC2 comme informations d’identification dans l’AWS CLI.
Fichier d'informations d'identification
Le fichier credentials n’est pas utilisé pour cette méthode d’authentification.
Fichier de configuration
[default]
role_arn=arn:aws:iam::123456789012:role/defaultrole
credential_source=Ec2InstanceMetadata
region=us-west-2
output=json
[profile user1]
role_arn=arn:aws:iam::777788889999:role/user1role
credential_source=Ec2InstanceMetadata
region=us-east-1
output=text
- Long-term credentials
-
Afin d’éviter les risques de sécurité, n'employez pas les utilisateurs IAM pour l'authentification lorsque vous développez des logiciels spécialisés ou lorsque vous travaillez avec des données réelles. Préférez la fédération avec un fournisseur d'identité tel que AWS IAM Identity Center.
Cet exemple concerne les informations d’identification à long terme d’AWS Identity and Access Management. Pour plus d’informations, consultez Authentification à l’aide des informations d’identification d’utilisateur IAM pour l’AWS CLI.
Fichier d'informations d'identification
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
Fichier de configuration
[default]
region=us-west-2
output=json
[profile user1]
region=us-east-1
output=text
Pour plus d’informations sur les méthodes d’authentification et les informations d’identification, consultez Authentification et informations d’identification d’accès pour l’AWS CLI.
Utilisation de fichiers de configuration et d’informations d’identification existants
Si vous disposez de fichiers de configuration et d’informations d’identification existants, vous pouvez utiliser ceux-ci pour l’AWS CLI.
Pour utiliser les fichiers config et credentials, déplacez-les vers le dossier nommé .aws dans votre répertoire de base. L'emplacement du répertoire de base varie selon le système d'exploitation, mais il est référencé à l'aide de variables d'environnement %UserProfile% sous Windows et $HOME ou ~ (tilde) sur les systèmes Unix.
Pour spécifier un emplacement autre que celui par défaut pour les fichiers config et credentials, définissez un autre chemin local pour les variables d’environnement AWS_CONFIG_FILE et AWS_SHARED_CREDENTIALS_FILE. Consultez Configuration des variables d’environnement pour l’AWS CLI pour plus de détails.
Pour plus d’informations sur les fichiers de configuration et d’informations d’identification, consultez Paramètres des fichiers de configuration et d’informations d’identification dans l’AWS CLI.
