本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的身分驗證和存取憑證 AWS CLI
當您使用 服務進行開發 AWS 時,您必須建立 的 AWS CLI AWS 身分驗證方式。若要為 設定程式設計存取的登入資料 AWS CLI,請選擇下列其中一個選項。選項是按照建議順序排列的。
****
| 身分驗證類型 | 用途 | 指示 |
| --- | --- | --- |
| AWS 管理主控台登入資料 | **(建議)** 使用您的主控台登入資料登入 AWS CLI,以使用短期登入資料。如果您使用根、IAM 使用者或聯合身分搭配 IAM 進行 AWS 帳戶存取,則建議使用 | [使用主控台登入資料登入 AWS 進行本機開發](cli-configure-sign-in.md) |
| IAM Identity Center 人力使用者短期憑證 | 使用 IAM Identity Center 人力資源使用者的短期憑證。安全最佳實務是 AWS Organizations 搭配 IAM Identity Center 使用 。它結合了短期憑證與使用者目錄,例如內建的 IAM Identity Center 目錄或 Active Directory。 | [使用 設定 IAM Identity Center 身分驗證 AWS CLI](cli-configure-sso.md) |
| IAM 使用者短期憑證 | 使用比長期憑證更安全的 IAM 使用者短期憑證。如果憑證遭到入侵,憑證在過期前被利用的時間有限。 | [使用 的短期登入資料進行驗證 AWS CLI](cli-authentication-short-term.md) |
| Amazon EC2 執行個體上的 IAM 或 IAM Identity Center 使用者。 | 使用 Amazon EC2 執行個體中繼資料,以使用指派給 Amazon EC2 執行個體的角色來查詢臨時憑證。 | [在 中使用 Amazon EC2 執行個體中繼資料做為登入資料 AWS CLI](cli-configure-metadata.md) |
| 擔任許可的角色 | 配對另一個憑證方法,並擔任可暫時存取您的使用者可能無法存取之 AWS 服務 的角色。 | [在 中使用 IAM 角色 AWS CLI](cli-configure-role.md) |
| IAM 使用者長期憑證 | (不建議) 使用不會過期的長期憑證。 | [使用 的 IAM 使用者登入資料進行驗證 AWS CLI](cli-authentication-user.md) |
| IAM 或 IAM Identity Center 人力使用者外部儲存裝置 | (不建議) 配對另一個憑證方法,但將憑證值存放於 AWS CLI之外的位置。此方法的安全性僅與存放憑證的外部位置一樣安全。 | [在 中使用外部程序來採購登入資料 AWS CLI](cli-configure-sourcing-external.md) |
## 組態和憑證優先順序
登入資料和組態設定位於多個位置,例如系統或使用者環境變數、本機 AWS 組態檔案,或在命令列上明確宣告為參數。某些身分驗證優先於其他身分驗證。 AWS CLI 身分驗證設定優先順序如下:
1. **[命令列選項](cli-configure-options.md)** – 覆寫任何其他位置 (例如 `--region`、`--output` 和 `--profile` 參數) 的設定。
1. **[環境變數](cli-configure-envvars.md)** – 您可以將數值存放在環境變數中。
1. **[擔任角色](cli-configure-role.md)**—透過組態或 [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role.html) 命令,獲得 IAM 角色許可。
1. **[擔任具有 Web 身分的角色](cli-configure-role.md)**—透過組態或 [https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-web-identity.html) 命令,使用 Web 身分獲得 IAM 角色許可。
1. **[AWS IAM Identity Center](cli-configure-files.md)** – 存放在 `config` 檔案中的 IAM Identity Center 組態設定會在您執行 `aws configure sso` 命令時更新。之後當您執行 `aws sso login` 命令時,系統會驗證憑證。`config` 檔案在 Linux 或 macOS 上位於 `~/.aws/config`,在 Windows 上位於 `C:\Users\{{USERNAME}}\.aws\config`。
1. **[憑證檔案](cli-configure-files.md)** – 當您執行 `aws configure` 命令時,會更新 `credentials` 和 `config` 檔案。`credentials` 檔案在 Linux 或 macOS 上位於 `~/.aws/credentials`,在 Windows 上位於 `C:\Users\{{USERNAME}}\.aws\credentials`。
1. **[自訂程序](cli-configure-sourcing-external.md)**—從外部來源取得憑證。
1. **[組態檔](cli-configure-files.md)** – 當您執行 `aws configure` 命令時,會更新 `credentials` 和 `config` 檔案。`config` 檔案在 Linux 或 macOS 上位於 `~/.aws/config`,在 Windows 上位於 `C:\Users\{{USERNAME}}\.aws\config`。
1. **[容器憑證](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html)** – 您可以將 IAM 角色與您的每一個 Amazon Elastic Container Service (Amazon ECS) 任務定義關聯起來。然後,該角色的臨時憑證就可供該任務的容器使用。如需詳細資訊,請參閱《Amazon Elastic Container Service 開發人員指南》**中的[任務 IAM 角色](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html)。
1. **[Amazon EC2 執行個體設定檔憑證](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)** – 您可以將 IAM 角色與您的每一個 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體關聯起來。然後,該角色的臨時憑證就可供執行個體中執行的程式碼使用。憑證是透過 Amazon EC2 中繼資料服務傳遞。如需詳細資料,請參閱《Amazon EC2 使用者指南》**中的 [Amazon EC2 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html),以及《IAM 使用者指南》**中的[使用執行個體設定檔](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html)。
## 本區段的其他主題
+ [使用 設定 IAM Identity Center 身分驗證 AWS CLI](cli-configure-sso.md)
+ [使用 的短期登入資料進行驗證 AWS CLI](cli-authentication-short-term.md)
+ [在 中使用 IAM 角色 AWS CLI](cli-configure-role.md)
+ [使用 的 IAM 使用者登入資料進行驗證 AWS CLI](cli-authentication-user.md)
+ [在 中使用 Amazon EC2 執行個體中繼資料做為登入資料 AWS CLI](cli-configure-metadata.md)
+ [在 中使用外部程序來採購登入資料 AWS CLI](cli-configure-sourcing-external.md)