使用 IAM 用户凭证进行身份验证 - Amazon Command Line Interface
步骤 1:创建您的 IAM 用户步骤 2:获取您的访问密钥配置Amazon CLI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 IAM 用户凭证进行身份验证

警告

为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供商的联合身份验证,例如 Amazon IAM Identity Center

此部分介绍如何使用 IAM 用户配置基本设置。其中包括使用 configcredentials 文件的安全凭证。如需改为查看 Amazon IAM Identity Center 的配置说明,请参阅 配置 Amazon CLI 以使用 Amazon IAM Identity Center

步骤 1:创建您的 IAM 用户

按照《IAM 用户指南》中的创建 IAM 用户(控制台)过程操作来创建 IAM 用户。

  • 对于权限选项,选择直接附加策略以了解如何向该用户分配权限。

  • 大多数“入门”开发工具包教程都使用 Amazon S3 服务作为示例。要向应用程序提供对 Amazon S3 的完全访问权限,请选择要附加到此用户的 AmazonS3FullAccess 策略。

步骤 2:获取您的访问密钥

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择用户,然后选择您之前创建用户的 User name

  3. 在用户的页面上,选择安全凭证页面。然后,在访问密钥下,选择创建访问密钥

  4. 对于创建访问密钥步骤 1,选择命令行界面 (CLI)

  5. 对于创建访问密钥步骤 2,输入可选标记并选择下一步

  6. 对于创建访问密钥步骤 3,选择下载.csv 文件以保存包含您的 IAM 用户访问密钥和秘密访问密钥的 .csv 文件。稍后您将需要此信息。

  7. 选择 Done (完成)。

配置Amazon CLI

在常规使用中,Amazon CLI 需要以下信息:

  • 访问密钥 ID

  • 秘密访问密钥

  • Amazon 区域

  • 输出格式

Amazon CLI 将这些信息存储在 default 文件中名为 credentials配置文件(一个设置集合)中。预设情况下,当您运行的 Amazon CLI 命令未明确指定要使用的配置文件时,将使用此配置文件中的信息。有关 credentials 文件的更多信息,请参阅配置和凭证文件设置

要配置 Amazon CLI,请使用下列过程之一:

使用 aws configure

对于一般用途,aws configure 命令是设置 Amazon CLI 安装的最快方法。此配置向导将提示您输入入门所需的每条信息。除非使用 --profile 选项另行指定,否则 Amazon CLI 会将此信息存储在 default 配置文件中。

以下示例使用示例值配置 default 配置文件。将它们替换为您自己的值,如以下部分所述。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

以下示例使用示例值配置名为 userprod 的配置文件。将它们替换为您自己的值,如以下部分所述。

$ aws configure --profile userprod
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

通过 .CSV 文件导入访问密钥

可以在创建访问密钥后导入下载的 .csv 文件,而不是使用 aws configure 输入访问密钥。

.csv 文件必须包含以下标头。

  • 用户名 - 必须将此列添加到您的 .csv。这用于在导入时创建配置文件名称。

  • 访问密钥 ID

  • 秘密访问密钥

注意

在创建初始访问密钥的过程中,一旦您关闭下载 .csv 文件对话框,就无法访问秘密访问密钥。如果您需要 .csv 文件,则需要自己创建一个包含所需标头和存储的访问密钥信息的文件。如果您不具有对访问密钥信息的访问权限,则需要创建新的访问密钥。

要导入 .csv 文件,请将 aws configure import 命令与 --csv 选项结合使用,如下所示:

$ aws configure import --csv file://credentials.csv

有关更多信息,请参阅aws_configure_import

直接编辑 configcredentials 文件

要直接编辑 configcredentials 文件,请执行以下操作。

  1. 创建或打开共享 Amazon credentials 文件。此文件在 Linux 和 macOS 系统上为 ~/.aws/credentials,在 Windows 上为 %USERPROFILE%\.aws\credentials。有关更多信息,请参阅配置和凭证文件设置

  2. 将以下文本添加到共享 credentials 文件中。替换您之前下载的 .csv 文件中的示例值并保存该文件。

    [default] 
aws_access_key_id = AKIAIOSFODNN7EXAMPLE 
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY