Using Amazon EC2 instance metadata as credentials in the AWS CLI
Amazon Elastic Compute Cloud (Amazon EC2) インスタンス内から AWS CLI を実行すると、コマンドへの認証情報の提供を簡素化できます。各 Amazon EC2 インスタンスには、AWS CLI が一時的な認証情報を直接クエリできるメタデータが含まれています。IAM ロールがインスタンスにアタッチされている場合、AWS CLI はインスタンスメタデータから認証情報を自動的かつ安全に取得します。
このサービスを無効にするには、AWS_EC2_METADATA_DISABLED 環境変数を使用します。
前提条件
AWS CLI で Amazon EC2 認証情報を使用するには、以下を完了する必要があります。
-
AWS CLI をインストールして設定します。詳細については、「AWS CLI の最新バージョンのインストールまたは更新」および「Authentication and access credentials for the AWS CLI」を参照してください。
-
設定ファイルおよび名前付きプロファイルについて理解します。詳細については、「Configuration and credential file settings in the AWS CLI」を参照してください。
-
必要なリソースへのアクセス権を持つ AWS Identity and Access Management (IAM) ロールが作成されており、Amazon EC2 インスタンスの起動時にそのロールをインスタンスに割り当てた。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 の IAM ポリシー」および「IAM ユーザーガイド」の「Amazon EC2 インスタンスで実行されるアプリケーションに AWS リソースへのアクセス許可を付与する」を参照してください。
Amazon EC2 メタデータのプロファイルの設定
ホスティングする Amazon EC2 インスタンスプロファイルで使用可能な認証情報の使用を指定するには、設定ファイルの名前付きプロファイルで次の構文を使用します。詳細な手順については、以下のステップを参照してください。
[profileprofilename] role_arn =arn:aws:iam::123456789012:role/rolenamecredential_source = Ec2InstanceMetadata region =region
-
設定ファイルにプロファイルを作成します。
[profileprofilename] -
必要なリソースにアクセスできる IAM arn ロールを追加します。
role_arn =arn:aws:iam::123456789012:role/rolename -
認証情報のソースとして
Ec2InstanceMetadataを指定します。credential_source = Ec2InstanceMetadata -
リージョンを設定します。
region =region
例
次の例では、marketingadminrolemarketingadminus-west-2
[profilemarketingadmin] role_arn =arn:aws:iam::123456789012:role/marketingadminrolecredential_source = Ec2InstanceMetadata region =us-west-2
