本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS CLI 中使用 Amazon EC2 執行個體中繼資料做為憑證
在從 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體內執行 AWS CLI 時,您可以簡化將憑證提供給命令的作業。每個 Amazon EC2 執行個體都包含中繼資料,可供 AWS CLI 直接查詢臨時憑證。當 IAM 角色連接到執行個體時,AWS CLI 會自動安全地從執行個體中繼資料擷取憑證。
若要停用此服務,請使用 AWS_EC2_METADATA_DISABLED 環境變數。
先決條件
若要搭配 AWS CLI 使用 Amazon EC2 憑證,您需要完成下列作業:
-
安裝及設定 AWS CLI。如需詳細資訊,請參閱安裝或更新至 AWS CLI 的最新版本及AWS CLI的驗證與存取憑證。
-
您瞭解組態檔案和命名設定檔。如需詳細資訊,請參閱 AWS CLI中的組態與憑證檔案設定。
-
您已建立有權存取所需資源的 AWS Identity and Access Management (IAM) 角色,並在啟動 Amazon EC2 執行個體時將該角色連接到了該執行個體。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的 Amazon EC2 IAM 政策,以及《IAM 使用者指南》中的授予在 Amazon EC2 執行個體上執行的應用程式存取 AWS 資源的權限。
設定用於 Amazon EC2 中繼資料的設定檔
若要指定您想要使用託管 Amazon EC2 執行個體設定檔中可用的憑證,請在組態檔案中的具名設定檔使用下列語法。如需詳細說明,請參閱下列步驟。
[profileprofilename] role_arn =arn:aws:iam::123456789012:role/rolenamecredential_source = Ec2InstanceMetadata region =region
-
在組態檔案中建立設定檔。
[profileprofilename] -
新增可存取所需資源的 IAM ARN 角色。
role_arn =arn:aws:iam::123456789012:role/rolename -
指定
Ec2InstanceMetadata作為憑證來源。credential_source = Ec2InstanceMetadata -
設定您的區域。
region =region
範例
下列範例會假設 marketingadminrolemarketingadminus-west-2
[profilemarketingadmin] role_arn =arn:aws:iam::123456789012:role/marketingadminrolecredential_source = Ec2InstanceMetadata region =us-west-2
