Credenziali di autenticazione e accesso per la AWS CLI - AWS Command Line Interface
Configurazione e precedenza delle credenzialiArgomenti aggiuntivi in questa sezione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Credenziali di autenticazione e accesso per la AWS CLI

È necessario stabilire la modalità di AWS CLI autenticazione AWS quando si sviluppa con i servizi. AWS Per configurare le credenziali per l'accesso programmatico per il AWS CLI, scegliete una delle seguenti opzioni. Le opzioni sono elencate in ordine di raccomandazione.

Tipo di autenticazione Scopo Istruzioni

AWS Credenziali della console di gestione

(Consigliato) Utilizza credenziali a breve termine accedendo alla AWS CLI con le credenziali della console. Consigliato se utilizzi root, utenti IAM o federazione con IAM per l'accesso all'account AWS

Accedi per lo sviluppo AWS locale utilizzando le credenziali della console

Credenziali a breve termine per gli utenti della forza lavoro del Centro identità IAM

 Utilizza credenziali a breve termine per un utente della forza lavoro di IAM Identity Center.

Le best practice di sicurezza sono da utilizzare AWS Organizations con IAM Identity Center. Combina credenziali a breve termine con una directory utente, ad esempio la directory integrata del Centro identità IAM o di Active Directory.

 Configurazione dell’autenticazione in Centro identità IAM con AWS CLI
Credenziali a breve termine per utenti IAM Utilizza le credenziali a breve termine degli utenti IAM, che sono più sicure delle credenziali a lungo termine. Se le tue credenziali sono compromesse, è previsto un periodo di tempo limitato in cui possono essere utilizzate prima della scadenza. Autenticazione con credenziali a breve termine per la AWS CLI
Utenti IAM o IAM Identity Center su un' EC2 istanza Amazon. Utilizza i metadati delle EC2 istanze Amazon per richiedere credenziali temporanee utilizzando il ruolo assegnato all'istanza Amazon EC2 . Utilizzo dei metadati dell’istanza Amazon EC2 come credenziali nella AWS CLI
Assumere ruoli per le autorizzazioni Associa un altro metodo di credenziali e assumi un ruolo per l’accesso temporaneo a cui l’utente dei Servizi AWS potrebbe non avere accesso. Utilizzo di un ruolo IAM in AWS CLI
Credenziali a lungo termine per utenti IAM (Non raccomandato) Utilizzare credenziali a lungo termine, che non hanno scadenza. Autenticazione tramite credenziali utente IAM per AWS CLI
Archiviazione esterna degli utenti della forza lavoro IAM o del Centro identità IAM (Non raccomandato) Associare un altro metodo di credenziali ma archiviare i valori delle credenziali in una posizione esterna alla AWS CLI. Questo metodo è sicuro solo quanto la posizione esterna in cui sono archiviate le credenziali. Acquisizione di credenziali con un processo esterno nella CLI

Configurazione e precedenza delle credenziali

Le credenziali e le impostazioni di configurazione si trovano in più posizioni, come le variabili di sistema o di ambiente utente, i file di AWS configurazione locali o sono dichiarate esplicitamente nella riga di comando come parametro. Alcune autenticazioni hanno la precedenza su altre. Le impostazioni di autenticazione della AWS CLI hanno la precedenza nell’ordine seguente:

  1. Opzioni della riga di comando: sovrascrive le impostazioni in qualsiasi altra posizione, come i parametri --region, --output e --profile.

  2. Variabili di ambiente: puoi archiviare i valori nelle variabili di ambiente del sistema.

  3. Assumere un ruolo: assumi le autorizzazioni di un ruolo IAM tramite la configurazione o il comando assume-role.

  4. Assumere un ruolo con l’identità web: assumi le autorizzazioni di un ruolo IAM utilizzando l’identità web tramite la configurazione o il comando assume-role-with-web-identity.

  5. AWS IAM Identity Center: le impostazioni di configurazione del centro identità IAM memorizzate nel file config vengono aggiornate quando si esegue il comando aws configure sso. Le credenziali vengono quindi autenticate quando si esegue il comando aws sso login. Il file config si trova in ~/.aws/config su Linux o macOS o in C:\Users\USERNAME\.aws\config su Windows.

  6. File delle credenziali della CLI: i file credentials e config vengono aggiornati quando esegui il comando aws configure. Il file credentials si trova in ~/.aws/credentials su Linux o macOS o in C:\Users\USERNAME\.aws\credentials su Windows.

  7. Processo personalizzato: ottieni le tue credenziali da una fonte esterna.

  8. File di configurazione: i file credentials e config vengono aggiornati quando esegui il comando aws configure. Il file config si trova in ~/.aws/config su Linux o macOS o in C:\Users\USERNAME\.aws\config su Windows.

  9. Credenziali del container: puoi associare un ruolo IAM a ciascuna delle definizioni di attività di Amazon Elastic Container Service (Amazon ECS). Le credenziali temporanee per tale ruolo sono quindi disponibili per i contenitori dell'attività. Per ulteriori informazioni, consulta Ruoli IAM per le attività nella Guida per sviluppatori di Amazon Elastic Container Service.

  10. Credenziali del profilo dell' EC2istanza Amazon: puoi associare un ruolo IAM a ciascuna delle tue istanze Amazon Elastic Compute Cloud EC2 (Amazon). Le credenziali temporanee per tale ruolo sono quindi disponibili per il codice in esecuzione nell'istanza. Le credenziali vengono fornite tramite il servizio di EC2 metadati Amazon. Per ulteriori informazioni, consulta IAM Roles for Amazon EC2 nella Amazon EC2 User Guide e Using Instance Profiles nella IAM User Guide.

Argomenti aggiuntivi in questa sezione