使用 IAM 用户凭证进行身份验证 - Amazon Command Line Interface
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 IAM 用户凭证进行身份验证

警告

为了避免安全风险,在开发专用软件或处理真实数据时,请勿使用 IAM 用户进行身份验证,而是使用与身份提供商的联合身份验证,例如 Amazon IAM Identity Center

此部分介绍如何使用 IAM 用户配置基本设置。其中包括使用 configcredentials 文件的安全凭证。如需改为查看 Amazon IAM Identity Center的配置说明,请参阅 配置 Amazon CLI 为使用 Amazon IAM Identity Center

步骤 1:创建您的 IAM 用户

按照《IAM 用户指南》中的创建 IAM 用户(控制台)过程操作来创建 IAM 用户。

  • 对于权限选项,选择直接附加策略以了解如何向该用户分配权限。

  • 大多数“入门”开发工具包教程都使用 Amazon S3 服务作为示例。要向应用程序提供对 Amazon S3 的完全访问权限,请选择要附加到此用户的 AmazonS3FullAccess 策略。

步骤 2:获取您的访问密钥

  1. 登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为 https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择用户,然后选择您之前创建用户的 User name

  3. 在用户的页面上,选择安全凭证页面。然后,在访问密钥下,选择创建访问密钥

  4. 对于创建访问密钥步骤 1,选择命令行界面 (CLI)

  5. 对于创建访问密钥步骤 2,输入可选标记并选择下一步

  6. 对于创建访问密钥步骤 3,选择下载.csv 文件以保存包含您的 IAM 用户访问密钥和秘密访问密钥的 .csv 文件。稍后您将需要此信息。

  7. 选择 Done (完成)。

配置 Amazon CLI

一般而言, Amazon CLI 需要以下信息:

  • 访问密钥 ID

  • 秘密访问密钥

  • Amazon 区域

  • 输出格式

将此信息 Amazon CLI 存储在文件中命名的配置credentials文件(设置集合)default中。默认情况下,当您运行未明确指定要使用的配置文件的 Amazon CLI 命令时,将使用此配置文件中的信息。有关 credentials 文件的更多信息,请参阅配置和凭证文件设置

要配置 Amazon CLI,请使用以下过程之一:

使用 aws configure

一般而言,该aws configure命令是设置 Amazon CLI 安装的最快方法。此配置向导将提示您输入入门所需的每条信息。除非使用--profile选项另行指定,否则会将此信息 Amazon CLI 存储在default配置文件中。

以下示例使用示例值配置 default 配置文件。将它们替换为您自己的值,如以下部分所述。

$ aws configure AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

以下示例使用示例值配置名为 userprod 的配置文件。将它们替换为您自己的值,如以下部分所述。

$ aws configure --profile userprod AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Default region name [None]: us-west-2 Default output format [None]: json

通过 .CSV 文件导入访问密钥

您可以导入创建访问密钥后下载的纯文本.csv文件,而不必使用aws configure输入访问密钥。

.csv 文件必须包含以下标头。

  • 用户名 - 必须将此列添加到您的 .csv。这用于创建导入时在configcredentials文件中使用的配置文件名称。

  • 访问密钥 ID

  • 秘密访问密钥

注意

在创建初始访问密钥的过程中,一旦您关闭下载 .csv 文件对话框,就无法访问秘密访问密钥。如果您需要 .csv 文件,则需要自己创建一个包含所需标头和存储的访问密钥信息的文件。如果您不具有对访问密钥信息的访问权限,则需要创建新的访问密钥。

要导入 .csv 文件,请将 aws configure import 命令与 --csv 选项结合使用,如下所示:

$ aws configure import --csv file://credentials.csv

有关更多信息,请参阅 aws_configure_import

直接编辑 configcredentials 文件

要直接编辑 configcredentials 文件,请执行以下操作。

  1. 创建或打开共享 Amazon credentials 文件。此文件在 Linux 和 macOS 系统上为 ~/.aws/credentials,在 Windows 上为 %USERPROFILE%\.aws\credentials。有关更多信息,请参阅 配置和凭证文件设置

  2. 将以下文本添加到共享 credentials 文件中。替换您之前下载的 .csv 文件中的示例值并保存该文件。

    [default] aws_access_key_id = AKIAIOSFODNN7EXAMPLE aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY