本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EC2執行個體中繼資料作為 中的憑證 AWS CLI
當您 AWS CLI 在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體內從 執行 時,您可以簡化為命令提供憑證的程序。每個 Amazon EC2執行個體都包含中繼資料, AWS CLI 可以直接查詢臨時憑證。當IAM角色連接至執行個體時, AWS CLI 會自動且安全地從執行個體中繼資料擷取憑證。
若要停用此服務,請使用 AWS_EC2_METADATA_ DISABLED環境變數。
必要條件
若要搭配 使用 Amazon EC2憑證 AWS CLI,您需要完成下列操作:
-
安裝及設定 AWS CLI。如需詳細資訊,請參閱 安裝或更新至最新版本的 AWS CLI 和 的身分驗證和存取憑證 AWS CLI。
-
您瞭解組態檔案和命名設定檔。如需詳細資訊,請參閱中的組態和憑證檔案設定 AWS CLI。
-
您已建立可存取所需資源的 AWS Identity and Access Management (IAM) 角色,並在啟動該角色時將該角色連接至 Amazon EC2執行個體。如需詳細資訊,請參閱 IAM Amazon 使用者指南中的 Amazon 政策EC2,以及 使用者指南 中的授予在 Amazon EC2執行個體上執行的應用程式存取 AWS 資源IAM。 EC2
設定 Amazon EC2中繼資料的設定檔
若要指定要使用託管 Amazon EC2執行個體設定檔中可用的憑證,請在組態檔案中的具名設定檔中使用下列語法。如需詳細說明,請參閱下列步驟。
[profileprofilename] role_arn =arn:aws:iam::123456789012:role/rolenamecredential_source = Ec2InstanceMetadata region =region
-
在組態檔案中建立設定檔。
[profileprofilename] -
新增可存取所需資源的 IAM Arn 角色。
role_arn =arn:aws:iam::123456789012:role/rolename -
指定
Ec2InstanceMetadata作為憑證來源。credential_source = Ec2InstanceMetadata -
設定您的區域。
region =region
範例
下列範例假設 marketingadminroleus-west-2marketingadmin
[profilemarketingadmin] role_arn =arn:aws:iam::123456789012:role/marketingadminrolecredential_source = Ec2InstanceMetadata region =us-west-2
