用于配置 Amazon CLI 的环境变量
环境变量提供了另一种指定配置选项和凭证的方法;若要编写脚本或将一个命名配置文件临时设置为默认配置文件,环境变量会很有用。
选项的优先顺序
-
如果您使用本主题中描述的某个环境变量指定选项,则它将在配置文件中覆盖从配置文件加载的任何值。
-
如果您通过在 Amazon CLI 命令行上使用参数指定选项,则它将在配置文件中覆盖相应环境变量或配置文件中的任何值。
有关优先顺序以及 Amazon CLI 如何确定使用哪些凭证的更多信息,请参阅配置设置和优先顺序。
如何设置环境变量
下面的示例介绍您如何可以为默认用户配置环境变量。
Amazon CLI 支持的环境变量
Amazon CLI 支持以下环境变量。
AWS_ACCESS_KEY_ID
-
指定与 IAM 账户关联的 Amazon 访问密钥。
如果已定义此环境变量,它将覆盖配置文件设置
aws_access_key_id
的值。您不能使用命令行选项来指定访问密钥 ID。 AWS_CA_BUNDLE
-
指定要用于 HTTPS 证书验证的证书捆绑包的路径。
如果已定义此环境变量,它将覆盖配置文件设置
ca_bundle
的值。您可以使用--ca-bundle
命令行参数覆盖此环境变量。 AWS_CLI_AUTO_PROMPT
-
为 Amazon CLI 版本 2 启用自动提示。可以使用两种设置:
-
on
每次尝试运行aws
命令时都会使用完整的自动提示模式。这包括在完整或不完整的命令之后按 ENTER 键。AWS_CLI_AUTO_PROMPT=on
-
on-partial
使用部分自动提示模式。如果命令不完整或由于客户端验证错误而无法运行,则使用自动提示。如果您已有现有脚本、运行手册,或者如果您希望只对于不熟悉的命令收到自动提示,而不是每个命令都收到提示,则此模式将非常有帮助。AWS_CLI_AUTO_PROMPT=on-partial
如果已定义此环境变量,它将覆盖
cli_auto_prompt
配置文件设置的值。您可以使用--cli-auto-prompt
和--no-cli-auto-prompt
命令行参数覆盖此环境变量。有关 Amazon CLI 版本 2 自动提示功能的信息,请参阅 让 Amazon CLI 提示您输入命令。
-
AWS_CLI_FILE_ENCODING
-
指定用于文本文件的编码。默认情况下,编码与您的区域设置匹配。要设置与区域设置不同的编码,请使用
aws_cli_file_encoding
环境变量。例如,如果您使用 Windows 以及默认编码CP1252
,则aws_cli_file_encoding=UTF-8
设置会将 CLI 设置为使用UTF-8
打开文本文件。 AWS_CONFIG_FILE
-
指定 Amazon CLI 用于存储配置文件的文件的位置。默认路径为
~/.aws/config
。您不能在命名配置文件设置中或使用命令行参数来指定此值。
AWS_DATA_PATH
-
加载 Amazon CLI 数据时要在
~/.aws/models
的内置搜索路径之外检查的其他目录的列表。设置此环境变量将指示在回滚到内置搜索路径前要先检查的其他目录。应使用os.pathsep
字符(在 Linux 上为:
,在 Windows 上为;
)隔开多个条目。 - AWS_DEFAULT_OUTPUT
-
指定要使用的输出格式。
如果已定义此环境变量,它将覆盖配置文件设置
output
的值。您可以使用--output
命令行参数覆盖此环境变量。 - AWS_DEFAULT_REGION
-
指定要将请求发送到的 Amazon 区域。
如果已定义此环境变量,它将覆盖
region
配置文件设置的值。您可以使用--region
命令行参数 和与 Amazon SDK 兼容的AWS_REGION
环境变量来覆盖此环境变量. AWS_EC2_METADATA_DISABLED
-
禁用 Amazon EC2 实例元数据服务 (IMDS)。
如果设置为 true,则不会从 IMDS 请求用户凭证或配置(如区域)。
- AWS_MAX_ATTEMPTS
-
指定 Amazon CLI 重试处理程序使用的最大重试次数值,其中初始调用计入您提供的值。有关重试的更多信息,请参阅Amazon CLI 重试次数。
如果已定义此环境变量,它将覆盖配置文件设置
max_attempts
的值。 AWS_METADATA_SERVICE_NUM_ATTEMPTS
-
尝试在已配置 IAM 角色的 Amazon EC2 实例上检索凭证时,Amazon CLI 会在停止前尝试从实例元数据服务检索一次凭证。如果您知道您的命令将在 Amazon EC2 实例上运行,则可增大此值,以使 Amazon CLI 在放弃前重试多次。
AWS_METADATA_SERVICE_TIMEOUT
-
与实例元数据服务的连接超时前等待的秒数。尝试在已配置 IAM 角色的 Amazon EC2 实例上检索凭证时,默认情况下,与实例元数据服务的连接将在 1 秒后超时。如果您知道您正在已配置 IAM 角色的 Amazon EC2 实例上运行,如有必要,可增大此值。
- AWS_PAGER
-
指定用于处理输出的分页程序。预设情况下,Amazon CLI 版本 2 会通过操作系统的原定设置分页程序返回所有输出。
要完全禁用外部分页程序,请将该变量设置为空字符串。
如果已定义此环境变量,它将覆盖配置文件设置
cli_pager
的值。 - AWS_PROFILE
-
指定包含要使用的凭证和选项的 Amazon CLI 配置文件的名称。可以是存储在
credentials
或config
文件中的配置文件的名称,也可以是值default
,后者使用默认配置文件。如果您定义了此环境变量,它将在配置文件中覆盖使用名为
[default]
的配置文件的行为。您可以使用--profile
命令行参数覆盖此环境变量。 - AWS_REGION
-
与 Amazon SDK 兼容的环境变量,它指定要将请求发送到的 Amazon 区域。
如果已定义此环境变量,它将覆盖环境变量
AWS_DEFAULT_REGION
和配置文件设置region
中的值。您可以使用--region
命令行参数覆盖此环境变量。 - AWS_RETRY_MODE
-
指定 Amazon CLI 使用哪种重试模式。有三种重试模式可用:旧模式(默认模式)、标准模式和自适应模式。有关重试的更多信息,请参阅Amazon CLI 重试次数。
如果已定义此环境变量,它将覆盖配置文件设置
retry_mode
的值。 AWS_ROLE_ARN
-
指定要用于运行 Amazon CLI 命令的 IAM 角色的 Amazon Resource Name(ARN)以及 Web 身份提供商。
结合使用
AWS_WEB_IDENTITY_TOKEN_FILE
和AWS_ROLE_SESSION_NAME
环境变量。如果已定义此环境变量,它将覆盖配置文件设置 role_arn 的值。不能将角色会话名称指定为命令行参数。
注意
此环境变量仅适用于使用 Web 身份提供商的代入角色,而不适用于常规代入角色提供商配置。
有关使用 Web 身份的更多信息,请参阅 通过 Web 身份代入角色。
AWS_ROLE_SESSION_NAME
-
指定要附加到角色会话的名称。此值在
RoleSessionName
调用 Amazon CLI 操作时将提供给AssumeRole
参数,并成为代入角色用户 ARN 的一部分:arn:aws:sts::
。此参数为可选参数。如果未提供此值,则将自动生成会话名称。此名称显示在与此会话关联的条目的 Amazon CloudTrail 日志中。123456789012
:assumed-role/role_name
/role_session_name
如果已定义此环境变量,它将覆盖配置文件设置 role_session_name 的值。
结合使用
AWS_ROLE_ARN
和AWS_WEB_IDENTITY_TOKEN_FILE
环境变量。有关使用 Web 身份的更多信息,请参阅 通过 Web 身份代入角色。
注意
此环境变量仅适用于使用 Web 身份提供商的代入角色,而不适用于常规代入角色提供商配置。
AWS_SECRET_ACCESS_KEY
-
指定与访问密钥关联的私有密钥。这基本上是访问密钥的“密码”。
如果已定义此环境变量,它将覆盖配置文件设置
aws_secret_access_key
的值。您不能将秘密访问密钥 ID 指定为命令行选项。 AWS_SESSION_TOKEN
-
指定在使用您直接从 Amazon STS 操作中检索的临时安全凭证时需要的会话令牌值。有关更多信息,请参阅 Amazon CLI 命令引用中的代入角色命令的输出部分。
如果已定义此环境变量,它将覆盖配置文件设置
aws_session_token
的值。 AWS_SHARED_CREDENTIALS_FILE
-
指定 Amazon CLI 用于存储访问密钥的文件的位置。默认路径为
~/.aws/credentials
。您不能在命名配置文件设置中或使用命令行参数来指定此值。
AWS_USE_FIPS_ENDPOINT
-
在某些地区,一些 Amazon 服务提供支持美国联邦信息处理标准 (FIPS) 140-2
的端点。当 Amazon 服务支持该标准时,此设置指定 Amazon CLI 应使用哪个 FIPS 端点。与标准 Amazon 端点不同,FIPS 端点使用符合 FIPS 140-2 的 TLS 软件库。与美国政府有业务来往的企业可能需要使用这些终端节点。 如果已定义,此环境变量会覆盖配置文件设置
use_fips_endpoint
的值,并且会被--endpoint-url
命令行选项覆盖。 - AWS_WEB_IDENTITY_TOKEN_FILE
-
指定一个文件的路径,该文件包含由身份提供商提供的 OAuth 2.0 访问令牌或 OpenID Connect ID 令牌。Amazon CLI 加载此文件的内容,并将其作为
WebIdentityToken
参数传递给AssumeRoleWithWebIdentity
操作。结合使用
AWS_ROLE_ARN
和AWS_ROLE_SESSION_NAME
环境变量。如果已定义此环境变量,它将覆盖配置文件设置
web_identity_token_file
的值。有关使用 Web 身份的更多信息,请参阅 通过 Web 身份代入角色。
注意
此环境变量仅适用于使用 Web 身份提供商的代入角色,而不适用于常规代入角色提供商配置。