AWS CLI 权限配置

已于 2023-08-23 11:10:32 修改
阅读量2.2k 收藏 3
点赞数
分类专栏: aws 文章标签: aws 云计算
于 2023-05-03 13:01:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boshansolo/article/details/130472047
版权

目录

01 配置秘钥

环境变量秘钥

声明 profile

aws configure

02 aws configure 命令

list [--profile PROFILE]

list-profiles 

import 

03 配置文档字段

范例

credential​s

config

04 AWS IAM Identity Center (SSO)配置

configure 配置

再次登录过程

登出

配置 IAM 角色

基本设置

同账号带有 MFA 信息

带有External ID 的配置

带有 Session Name 的配置

清除凭证缓存

01 配置秘钥

环境变量秘钥

Linux | Mac

export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_DEFAULT_REGION=us-west-2

Windows CMD

setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE
setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
setx AWS_DEFAULT_REGION us-west-2

Powershell

$Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
$Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
$Env:AWS_DEFAULT_REGION="us-west-2"

声明 profile

CLI 参数声明

aws ec2 describe-instances --profile user1

环境变量声明

linux | mac

export AWS_PROFILE=user1

Windows

setx AWS_PROFILE user1

aws configure

配置 default profile

# aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

02 aws configure 命令

list [--profile PROFILE]

获取某个 profile 的配置信息

# aws configure list --profle xxx
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

list-profiles 

获取已配置的所有 profile

# aws configure list-profiles
default
test

import 

从在 console 中下载的 csv 中导入

aws configure import --csv file://credentials.csv

get

# aws configure get region --profile integ
us-west-2

set

# aws configure set region us-west-2 --profile integ

03 配置文档字段

范例

~/.aws/credentials​(Linux 和 Mac)或 ​%USERPROFILE%\.aws\credentials​ (Windows)

[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[user1]
aws_access_key_id=AKIAI44QH8DHBEXAMPLE
aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY

~/.aws/config​(Linux 和 Mac)或 ​%USERPROFILE%\.aws\config​ (Windows)

[default]
region=us-west-2
output=json

[profile user1]
region=us-east-1
output=text

credential​s

秘钥相关

aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

config

cli_auto_prompt

为 AWS CLI 版本 2 启用自动提示。可以使用两种设置:

  • on​​ 每次尝试运行 ​​aws​​ 命令时都会使用完整的自动提示模式。这包括在完整或不完整的命令之后按 ENTER 键。
cli_auto_prompt = on
  • on-partial​ 使用部分自动提示模式。如果命令不完整或由于客户端验证错误而无法运行,则使用自动提示。如果您已有现有脚本、运行手册,或者如果您希望只对于不熟悉的命令收到自动提示,而不是每个命令都收到提示,则此模式将非常有帮助。
cli_auto_prompt = on-partial

您可以使用 ​​aws_cli_auto_prompt​​​ 环境变量或 ​​--cli-auto-prompt​​​ 和 ​​--no-cli-auto-prompt​​ 命令行参数覆盖此设置。

cli_pager

指定用于处理输出的分页程序。预设情况下,AWS CLI 版本 2 会通过操作系统的原定设置分页程序返回所有输出。

可以被 AWS_PAGER 环境变量覆盖。

cli_pager=less

要完全禁用外部分页程序,请将该变量设置为空字符串,如以下示例所示。

cli_pager=

cli_timestamp_format

指定输出中包含的时间戳值的格式。可以指定以下任一值:

  • iso8601 – AWS CLI 版本 2 的原定设置值。如果指定,AWS CLI 根据 ​​ISO 8601​​​ 对所有时间戳进行重新格式化。
    ISO 8601 格式的时间戳与以下示例类似。第一个示例通过在时间之后加入 ​​​Z​​​,显示以​​协调世界时 (UTC)​​​ 表示的时间。日期和时间由 ​​T​​ 分隔。
2019-10-31T22:21:41Z

要指定不同的时区,不是使用 ​​Z​​​,而是指定 ​​+​​​ 或 ​​-​​ 以及所需时区在 UTC 之前或之后的小时数作为两位数值。以下示例显示的时间与上一个示例相同,但调整为太平洋标准时间(比 UTC 晚 8 小时):

2019-10-31T14:21:41-08
  • wire – AWS CLI 版本 1 的原定设置值。如果指定,AWS CLI 按原样显示在 HTTP 查询响应中收到的所有时间戳值。

该条目没有等效的环境变量或命令行选项。

cli_timestamp_format = iso8601

max_attempts

指定 AWS CLI 重试处理程序使用的最大重试次数值,其中初始调用计入您提供的 ​​max_attempts​​ 值。

您可以使用 ​​AWS_MAX_ATTEMPTS​​ 环境变量覆盖此值。

max_attempts = 3

output

指定使用该配置文件请求的命令的原定设置输出格式。您可以指定以下任意值:

  • ​json​​​ – 输出采用 ​​JSON​​ 字符串的格式。
  • ​yaml​​​ – 输出采用 ​​YAML​​ 字符串的格式。
  • ​yaml-stream​​​ – 输出被流式处理并采用 ​​YAML​​ 字符串的格式。串流支持更快地处理大型数据类型。
  • ​text​​​ – 输出采用多个制表符分隔字符串值行的格式。这对于将输出传递到文本处理器(如 ​​grep​​​、​​sed​​​ 或 ​​awk​​)很有用。
  • ​table​​ – 输出采用表格形式,使用字符 +|- 以形成单元格边框。它通常以“人性化”格式呈现信息,这种格式比其他格式更容易阅读,但从编程方面来讲不是那么有用。

可以被 ​​AWS_DEFAULT_OUTPUT​​​ 环境变量或 ​​--output​​ 命令行选项覆盖。

output = table

region

对于使用该配置文件请求的命令,指定要将请求发送到的 AWS 区域。

  • 您可以指定可用于所选服务的任何区域代码,有关列表,请参阅《Amazon Web Services 一般参考》中的 ​​AWS 区域和终端节点​​。
  • 通过 ​​aws_global​​,您可以为不仅支持区域端点,还支持全局端点的服务指定全局端点,例如 AWS Security Token Service (AWS STS) 和 Amazon Simple Storage Service (Amazon S3)。

您可以使用 ​​AWS_REGION​​​ 环境变量、​​AWS_DEFAULT_REGION​​​ 环境变量或 ​​--region​​ 命令行选项覆盖此值。

region = us-west-2

S3 自有属性

[profile development]
s3 =
  max_concurrent_requests = 20
  max_queue_size = 10000
  multipart_threshold = 64MB
  multipart_chunksize = 16MB
  max_bandwidth = 50MB/s
  use_accelerate_endpoint = true
  addressing_style = path

04 AWS IAM Identity Center (SSO)配置

configure 配置

配置信息

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

浏览器验证

If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

Then enter the code:

QCFK-N451

选择账号和角色

There are 2 AWS accounts available to you.
> DeveloperAccount, developer-account-admin@example.com (123456789011) 
  ProductionAccount, production-account-admin@example.com (123456789022)
Using the account ID 123456789011
There are 2 roles available to you.
> ReadOnly
  FullAccess

设置 config

CLI default client Region [None]: us-west-2<ENTER>
CLI default output format [None]: json<ENTER>
CLI profile name [123456789011_ReadOnly]: my-dev-profile<ENTER>

成功验证

To use this profile, specify the profile name using --profile, as shown:

aws s3 ls --profile my-dev-profile

~/.aws/config 自动写入以下数据

[profile my-dev-profile]
sso_session = my-sso
sso_account_id = 123456789011
sso_role_name = readOnly
region = us-west-2
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access

也可多 profile 共用一个 session配置方式如下,

[profile dev]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole

[profile prod]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole2

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start

再次登录过程

登录 profile

# aws sso login --profile my-dev-profile
Using a browser, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

登录 session

# aws sso login --sso-session my-dev-session
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
 
https://device.sso.us-west-2.amazonaws.com/

and enter the following code:
QCFK-N451

Successfully logged into Start URL: https://cli-reinvent.awsapps.com/start

登出

# aws sso logout
Successfully signed out of all SSO profiles.

配置 IAM 角色

IAM 角色的定义要定义在 ~/.aws/config

基本设置

[profile marketingadmin]
role_arn = arn:aws:iam::123456789012:role/marketingadminrole
source_profile = user1

同账号带有 MFA 信息

[profile role-without-mfa]
region = us-west-2
role_arn= arn:aws:iam::128716708097:role/cli-role
source_profile=cli-user

[profile role-with-mfa]
region = us-west-2
role_arn= arn:aws:iam::128716708097:role/cli-role
source_profile = cli-user
mfa_serial = arn:aws:iam::128716708097:mfa/cli-user

[profile anika]
region = us-west-2
output = json

带有External ID 的配置

[profile crossaccountrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
mfa_serial = arn:aws:iam::123456789012:mfa/saanvi
external_id = 123456

带有 Session Name 的配置

[profile namedsessionrole]
role_arn = arn:aws:iam::234567890123:role/SomeRole
source_profile = default
role_session_name = Session_Maria_Garcia

带有 Session name 后, sts caller identity 会显示以下格式

arn:aws:iam::234567890123:assumed-role/SomeRole/Session_Maria_Garcia

清除凭证缓存

linux | mac

rm -r ~/.aws/cli/cache

Windows

del /s /q %UserProfile%\.aws\cli\cache

 

云地cloudland
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
aws-profile:简单的工具,可帮助您更轻松地在AWS配置文件之间切换
05-22
AWS配置文件 建置状态 安装 MacOS / Linux用户 发布版本 curl -sL https://raw.githubusercontent.com/hpcsc/aws-profile/master/install | sh 来自master分支的最新版本 curl -sL https://raw.githubusercontent.com/hpcsc/aws-profile/master/install | PRERELEASE=true sh 这会将最新版本从Github下载到/usr/local/bin/aws-profile 手动安装 发布构建 Master分支最新版本 下载二进制文件后,将其重命名为aws-profile (或Windows上的aws-profile.exe ), chmod +x并将可执行文件移至PATH某个位置(例如,对于Linux / MacO
AWS CLI 安装配置
星宇_大佬养成时的博客
06-18 7013
AWS CLI 安装配置
AWS入门实践-AWS CLI工具的使用介绍
weixin_39108752的博客
03-10 4108
AWS CLI(Amazon Web Services Command Line Interface)是一个强大的工具,它允许您直接从命令行与AWS服务进行交互。这不仅可以加快许多任务的处理速度,而且还可以通过脚本自动化。
一文讲透亚马逊云命令行使用
最新发布
改变世界,改变自己
04-07 1448
覆盖任何其他位置的设置,例如 --region、–output 和 --profile 参数,比如在没有显示指定region的情况下,可以使用—region 指定区域,使用-- profile 指定配置文件中其他的身份。输入之后会提示输入AK/SK,region以及输入的格式信息,对于输出格式一般使用json,也可以选择text,table,yaml,yaml-stream ,比如在后边加上–output table。现在都使用V2版本的命令行工具,可以从官网下载最新的二进制安装包。
aws篇1 aws-cli的使用
bluewelkin的专栏
07-22 3776
如何用程序去访问aws的服务器或者一些函数或者存储 s3等等,都需要用户名和密码。 aws-cli的使用
awscli-bundle.zip
06-30
3. 配置环境:将awscli目录添加到系统的PATH环境变量中,以便在任何地方都能执行aws命令。 4. 安装AWS CLI:在终端中运行解压后的脚本,如`python install.py`,这会自动处理依赖并安装AWS CLI。 使用AWS CLI时,...
aws-cli.pdf
05-29
用户还可以配置AWS CLI以使用AWS的单一登录(Single Sign-On,SSO)功能,这为管理多个AWS账户的访问凭证提供了便利。 ### 使用AWS CLI AWS CLI具备完整的命令结构,用于执行、管理以及监控AWS服务。用户可以使用...
AWS:基于AWS CLI命令
03-14
AWS CLI的安装与配置是使用它的第一步。用户需要在本地机器上安装CLI,并通过`aws configure`命令设置访问密钥和秘密访问密钥,这将使CLI能够安全地连接到AWS账户。 接下来,AWS CLI的基本用法包括: - **列出资源...
aws-cli-1.16.298.zip
12-09
然后配置AWS CLI,输入AWS访问密钥和秘密访问密钥,以便进行身份验证。 2. 基本S3命令: - `aws s3 ls`:列出S3存储桶及其内容。 - `aws s3 cp`:复制本地文件到S3或从S3下载文件到本地。 - `aws s3 sync`:同步...
aws-cli-cheatsheet:AWS CLI + JQ =让生活更轻松
02-01
通过AWS CLI,你可以创建、更新和删除Lambda函数,同时可以配置触发器和权限。 EC2是AWS的核心计算服务,提供了可扩展的虚拟服务器,称为实例。使用AWS CLI,你可以启动、停止、终止实例,管理安全组和网络接口,...
aws-cli简单介绍
rootke的专栏
09-24 1739
AWS CLI是管理亚马逊服务的命令行界面工具。 下载和安装以及简单介绍见此页面: http://aws.amazon.com/cn/cli/ 简单命令介绍: $ aws k 可以获得aws的所有的命令功能 例如:ec2 对应的是ec2的服务,s3对应s3服务等 $ aws rds k     可以查看rds的所有功能
aws cli入门之配置
蛐蛐的博客
01-08 2059
文档:Configuring the AWS CLI - AWS Command Line Interface 1.简介 AWS 要求所有传入请求都经过加密签名。AWS CLI 会执行此操作。 “签名”包括日期/时间戳。必须确保正确设置计算机的日期和时间。 如果签名中的日期/时间与 AWS 服务识别的日期/时间相差太远,AWS 将拒绝该请求。 2.快速配置 aws configure命令是设置 AWS CLI 安装的最快方式。 输入此命令时,AWS CLI 会提示您输入四条信息
AWS Cli 配置和使用实例
weixin_43405242的博客
07-27 3246
1.安装AWS Cli 不同类型系统安装文档 http://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html 2.配置AWS Cli 2.1 获取用户的Access Key 访问密钥/凭证 创建访问密钥 打开 IAM 控制台 在导航中选择 Users 选择IAM 用户名称(不是复选框) 选择安全证书选项卡,然后选择创建访问密钥 要查看访问密钥,选择显示,内容如下: Access Key ID: ********************
在环境中动态配置AWS_PROFILE
qq_39507939的博客
09-24 1694
1.配置AWS_PROFILE对应的用户,如下: export AWS_PROFILE=user1 2.在.aws目录下修改config和credentials文件 config修改如下图所示: credentials修改如下图所示:
AWS出现You must specify a region. You can also configure your region by running “aws configure“解决方法
码农研究僧的博客
06-03 1719
使用aws命令时 出现如下错误 最主要的错误提示如下: 其实这条命令已经告诉你具体的操作了根据命令提示输入: 主要的配置要求,具体如下: 上方的AWS Access Key ID 和 AWS Secret Access Key 在你所需要操作的数据库控制台中操作 具体网址如下: 管理 IAM 用户的访问密钥总体操作如下: 选择用户,之后选择安全证书 相对应就会有初值以及密码等 之后输入对应的命令行即可关于具体更加详细的操作以及细节,可看:官方文档............
aws cli_学习AWS CLIAWS CLI概述(AWS命令行界面)
culuo4781的博客
07-21 5853
aws cli This article is the first article in the series of Learn AWS CLI. Here we will talk about the overview, installation, and configuration of CLI tools in Windows. 本文是Learn AWS CLI系列文章中的第一篇。...
如何管理多个aws key
许许如生
11-11 719
管理本地多个 aws config key
【Amazon】安装卸载AWS CLI操作流程(Windows 、Linux系统)
宝耶需努力的技术分享博客
11-25 1857
AWS 命令行界面(AWS CLI)是用于管理 AWS 产品的统一工具。只需要下载和配置一个工具,您就可以使用命令行控制多个 AWS 产品并利用脚本来自动执行这些服务。
AWS CLI 命令行直接操作AWS控制台?
aliyuncloud的博客
08-07 451
AWS CLIAWS 提供的一款命令行工具,它允许用户通过命令行界面直接与 AWS 控制台进行交互和操作。首先,使用命令行工具可以提供更高效的管理方式,用户可以通过编写脚本来批量执行操作,自动化任务,实现资源的管理和配置。首先,需要明确的是,AWS CLI 提供了一套完整的命令集,涵盖了几乎所有 AWS 服务的管理功能。另外,AWS CLI 还支持跨平台,可以在 Windows、Linux 和 macOS 等操作系统中运行,使得用户可以在不同的环境下都能方便地管理自己的 AWS 资源。
AWS CLI 升级
08-28
要升级AWS CLI,你可以使用以下步骤进行操作: 1. 首先,验证AWS CLI是否已正确安装。你可以在命令行窗口中运行`aws --version`来检查已安装的版本。 2. 如果你已经安装了AWS CLI,你可以通过运行以下命令来升级它:`pip install --upgrade awscli`。这将使用pip工具来升级AWS CLI到最新版本。请确保你已经安装了Python和pip,并且使用的是管理员权限或适当的用户权限来执行此命令。 3. 安装完成后,你可以再次运行`aws --version`来验证AWS CLI是否已成功升级到最新版本。 4. 另外,你还可以考虑使用AWS CLI别名存储库中的awscli-aliases工具来简化AWS CLI的使用。确保你使用的是版本1.11.24或更高版本的AWS CLI,并参考相关的安装和升级信息。 请注意,升级AWS CLI时可能会出现一些依赖关系或配置问题。如果遇到任何问题,请参考AWS CLI的官方文档或寻求AWS支持来获取帮助。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [在 macOS 上安装 AWS CLI](https://blog.csdn.net/sinat_38036426/article/details/93026334)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [aws cli入门之简介](https://blog.csdn.net/qq_27868061/article/details/122378455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [awscli-aliases, AWS CLI别名存储库.zip](https://download.csdn.net/download/weixin_38743968/11758709)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值