本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安裝並設定 AWS CLI
<a name="registered-instances-register-registering-cli"></a>

**重要**  
 AWS OpsWorks Stacks 此服務已於 2024 年 5 月 26 日終止，並已針對新客戶和現有客戶停用。我們強烈建議客戶盡快將其工作負載遷移至其他解決方案。如果您對遷移有任何疑問，請透過 [AWS re：Post](https://repost.aws/) 或透過 [AWS Premium Support](https://aws.amazon.com/support) 聯絡 AWS 支援 團隊。

註冊第一個執行個體之前，您必須在執行 的電腦上執行 1.16.180 版 AWS CLI 或更新版本`register`。安裝詳細資訊取決於您工作站的作業系統。如需安裝 的詳細資訊 AWS CLI，請參閱[安裝 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)和[設定 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。若要檢查您正在執行的 AWS CLI 版本，請在 shell 工作階段中輸入 `aws --version`。

**注意**  
雖然 [AWS Tools for PowerShell ](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-welcome.html)包含呼叫 `register` API 動作的 [https://docs.aws.amazon.com/powershell/latest/reference/items/Register-OPSInstance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-OPSInstance.html) cmdlet，但我們建議您改用 AWS CLI 來執行 `register`命令。

您必須以適當許可執行 `register`。您可以在要註冊的工作站或執行個體上安裝具有適當許可的使用者登入資料，以使用 IAM 角色取得許可，或以最佳方式取得許可。然後，您可以使用這些登入資料來執行 `register`，如稍後所述。透過將 IAM 政策連接至使用者或角色來指定許可。對於 `register`，您可以使用 `AWSOpsWorksRegisterCLI_EC2`或 `AWSOpsWorksRegisterCLI_OnPremises`政策，分別授予註冊 Amazon EC2 或內部部署執行個體的許可。

**注意**  
如果您在 Amazon EC2 執行個體`register`上執行 ，最好使用 IAM 角色來提供登入資料。如需如何將 IAM 角色連接至現有執行個體的詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[將 IAM 角色連接至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)或[取代 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#replace-iam-role)。

如需 `AWSOpsWorksRegisterCLI_EC2` 和 `AWSOpsWorksRegisterCLI_OnPremises` 政策的範例程式碼片段，請參閱[執行個體註冊政策](registered-instances-register-registering-template.md)。如需建立及管理 AWS 登入資料的詳細資訊，請參閱 [AWS 安全登入資料](https://docs.aws.amazon.com/general/latest/gr/aws-security-credentials.html)。

**Topics**
+ [

## 使用 IAM 角色
](#registered-instances-register-registering-cli-role)
+ [

## 使用安裝的登入資料
](#registered-instances-register-registering-cli-creds)

## 使用 IAM 角色
<a name="registered-instances-register-registering-cli-role"></a>

如果您從要註冊的 Amazon EC2 執行個體執行 命令，提供登入資料給 的偏好策略`register`是使用已連接`AWSOpsWorksRegisterCLI_EC2`政策或同等許可的 IAM 角色。此方法可讓您避免在執行個體上安裝您的登入資料。其中一種做法是在 EC2 主控台中使用 **Attach/Replace IAM Role (連接/取代 IAM 角色)** 命令，如下圖所述。

![\[AWS EC2 console showing Instance Settings menu with Attach/Replace IAM Role option highlighted.\]](http://docs.aws.amazon.com/zh_tw/opsworks/latest/userguide/images/instance_register_attachrole.png)


如需如何將 IAM 角色連接至現有執行個體的詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[將 IAM 角色連接至執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role)或[取代 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#replace-iam-role)。對於使用執行個體描述檔所啟動的執行個體 (建議)，將 `--use-instance-profile` 參數新增至 `register` 命令，以提供登入資料；請不要使用 `--profile` 參數。

如果執行個體正在執行且具有角色，您可以透過將 `AWSOpsWorksRegisterCLI_EC2` 政策連接至該角色來授予必要許可。該角色會提供一組預設登入資料給執行個體。只要您尚未在執行個體上安裝任何登入資料，`register` 就會自動擔任該角色並以其許可執行。

**重要**  
我們建議您不要在執行個體上安裝登入資料。除了建立安全風險之外，執行個體的角色也位於 AWS CLI 用來尋找預設登入資料的預設提供者鏈結尾。安裝的登入資料可能會優先於角色，因此 `register` 可能沒有必要許可。如需詳細資訊，請參閱 [AWS CLI入門](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#config-settings-and-precedence)。

如果執行中的執行個體沒有角色，您必須安裝在執行個體上安裝具備必要許可的登入資料，如[使用安裝的登入資料](#registered-instances-register-registering-cli-creds)中所述。建議使用透過執行個體描述檔所啟動的執行個體，而這種方式較為簡單，也較不容易出錯。

## 使用安裝的登入資料
<a name="registered-instances-register-registering-cli-creds"></a>

有數種方式可在系統上安裝使用者登入資料，並將其提供給 AWS CLI 命令。以下說明不再建議使用的方法，但此方法可以用於您註冊未使用執行個體描述檔所啟動的 EC2 執行個體時。只要連接的政策授予必要許可，您也可以使用現有 使用者的登入資料。如需詳細資訊，包括安裝登入資料之其他方式的說明，請參閱[組態與登入資料檔案](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-config-files)。

**使用安裝的登入資料**

1. [建立 IAM 使用者](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-config-files)，並將存取金鑰 ID 和私密存取金鑰儲存在安全的位置。
**警告**  
IAM 使用者具有長期憑證，這會造成安全風險。為了協助降低此風險，建議您只為這些使用者提供執行任務所需的許可，並在不再需要這些使用者時將其移除。

1. [連接 AWSOpsWorksRegisterCLI\$1OnPremises 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html)至使用者。如果您想要，也可以連接授予更廣泛許可的政策，只要其中包含 `AWSOpsWorksRegisterCLI_OnPremises` 許可。

1. 在系統的 `credentials` 檔案中建立使用者的描述檔。該檔案位於 `~/.aws/credentials` (Linux、Unix 和 OS X) 或 `C:\Users\User_Name\.aws\credentials` (Windows 系統) 中。檔案包含以下格式的一或多個設定檔，每個設定檔都包含使用者的存取金鑰 ID 和私密存取金鑰。

   ```
   [profile_name]
   aws_access_key_id = access_key_id
   aws_secret_access_key = secret_access_key
   ```

   將您先前儲存的 IAM 登入資料替換為 *access\$1key\$1id* 和 *secret\$1access\$1key* 值。您可以為描述檔名稱指定任何想要的名稱，但有兩項限制：該名稱必須是唯一的，而且預設描述檔必須命名為 `default`。您也可以使用現有的描述檔，只要該檔案具備必要許可。

1. 使用 `register` 命令的 `--profile` 參數來指定描述檔名稱。`register` 命令會以授予相關聯登入資料的許可執行。

   您也可以省略 `--profile`。在此情況下，`register` 會使用預設登入資料執行。請注意，這些不一定是預設描述檔的登入資料，因此您必須確定預設登入資料具備必要許可。如需 如何 AWS CLI 決定預設登入資料的詳細資訊，請參閱[設定 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。