用于配置 AWS CLI 的环境变量 - AWS Command Line Interface
如何设置环境变量AWS CLI 支持的环境变量
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

用于配置 AWS CLI 的环境变量

环境变量提供了另一种指定配置选项和凭证的方法;若要编写脚本或将一个命名配置文件临时设置为默认配置文件,环境变量会很有用。

注意

您不能使用环境变量指定 AWS Single Sign-On (AWS SSO) 身份验证。而是必须在共享配置文件 .aws/config 中使用命名的配置文件。有关更多信息,请参阅配置 AWS CLI 以使用 AWS Single Sign-On

选项的优先顺序

  • 如果您使用本主题中描述的某个环境变量指定选项,则它将在配置文件中覆盖从配置文件加载的任何值。

  • 如果您通过在 CLI 命令行上使用参数指定选项,则它将在配置文件中覆盖相应环境变量或配置文件中的任何值。

有关优先顺序以及 AWS CLI 如何确定使用哪些凭证的更多信息,请参阅配置设置和优先顺序

如何设置环境变量

下面的示例介绍您如何可以为默认用户配置环境变量。

Linux 或 macOS
$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
$ export AWS_DEFAULT_REGION=us-west-2

设置环境变量会更改使用的值,直到 Shell 会话结束或直到您将该变量设置为其他值。通过在 shell 的启动脚本中设置变量,可使变量在未来的会话中继续有效。

Windows Command Prompt
C:\> setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE
C:\> setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
C:\> setx AWS_DEFAULT_REGION us-west-2

使用 set 设置环境变量会更改使用的值,直到当前命令提示符会话结束,或者直到您将该变量设置为其他值。使用 setx 设置环境变量会更改当前命令提示符会话和运行该命令后创建的所有命令提示符会话中使用的值。它 影响在运行该命令时已经运行的其他命令 shell。

PowerShell
PS C:\> $Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
PS C:\> $Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
PS C:\> $Env:AWS_DEFAULT_REGION="us-west-2"

如果在 PowerShell 提示符下设置环境变量(如前面的示例所示),则仅保存当前会话持续时间的值。要在所有 PowerShell 和命令提示符会话中使环境变量设置保持不变,请使用控制面板中的系统应用程序来存储该变量。或者,您可以通过将其添加到 PowerShell 配置文件来为将来的所有 PowerShell 会话设置该变量。有关存储环境变量或跨会话保存它们的更多信息,请参阅 PowerShell 文档

AWS CLI 支持的环境变量

AWS CLI 支持以下环境变量。

AWS_ACCESS_KEY_ID

指定与 IAM 用户或角色关联的 AWS 访问密钥。

如果已定义,此环境变量将覆盖配置文件设置 aws_access_key_id 的值。您不能使用命令行选项来指定访问密钥 ID。

AWS_CA_BUNDLE

指定要用于 HTTPS 证书验证的证书捆绑包的路径。

如果已定义,此环境变量将覆盖配置文件设置 ca_bundle 的值。您可以使用 --ca-bundle 命令行参数覆盖此环境变量。

AWS_CLI_FILE_ENCODING

仅限 AWS CLI 版本 2。指定用于文本文件的编码。默认情况下,编码与您的区域设置匹配。要设置与区域设置不同的编码,请使用 aws_cli_file_encoding 环境变量。例如,如果您使用 Windows 以及默认编码 CP1252,则 aws_cli_file_encoding=UTF-8 设置会将 CLI 设置为使用 UTF-8 打开文本文件。

AWS_CONFIG_FILE

指定 AWS CLI 用于存储配置文件的文件的位置。默认路径为 ~/.aws/config

您不能在命名配置文件设置中或使用命令行参数来指定此值。

AWS_DEFAULT_OUTPUT

指定要使用的输出格式

如果已定义,此环境变量将覆盖配置文件设置 output 的值。您可以使用 --output 命令行参数覆盖此环境变量。

AWS_DEFAULT_REGION

指定要将请求发送到的 AWS 区域。

如果已定义,此环境变量将覆盖配置文件设置 region 的值。您可以使用 --region 命令行参数覆盖此环境变量。

AWS_MAX_ATTEMPTS

指定 AWS CLI 重试处理程序使用的最大重试次数值,其中初始调用计入您提供的值。有关重试的更多信息,请参阅AWS CLI 重试次数

如果已定义,此环境变量将覆盖配置文件设置 max_attempts 的值。

AWS_PAGER

指定用于处理输出的分页程序。默认情况下,AWS CLI 版本 2 会通过操作系统的默认分页程序返回所有输出。

要完全禁用外部分页程序,请将该变量设置为空字符串。

如果已定义,此环境变量将覆盖配置文件设置 cli_pager 的值。

AWS_PROFILE

指定包含要使用的凭证和选项的 CLI 配置文件的名称。可以是存储在 credentialsconfig 文件中的配置文件的名称,也可以是值 default,后者使用默认配置文件。

如果您定义了此环境变量,它将在配置文件中覆盖使用名为 [default] 的配置文件的行为。您可以使用 --profile 命令行参数覆盖此环境变量。

AWS_RETRY_MODE

指定 AWS CLI 使用哪种重试模式。有三种重试模式可用:旧模式(默认模式)、标准模式和自适应模式。有关重试的更多信息,请参阅AWS CLI 重试次数

如果已定义,此环境变量将覆盖配置文件设置 retry_mode 的值。

AWS_ROLE_SESSION_NAME

指定要与角色会话关联的名称。此值显示在此配置文件的用户执行的命令的 CloudTrail 日志中。

如果已定义,此环境变量将覆盖配置文件设置 role_session_name 的值。不能将角色会话名称指定为命令行参数。

AWS_SECRET_ACCESS_KEY

指定与访问密钥关联的私有密钥。这基本上是访问密钥的“密码”。

如果已定义,此环境变量将覆盖配置文件设置 aws_secret_access_key 的值。您不能将秘密访问密钥 ID 指定为命令行选项。

AWS_SESSION_TOKEN

指定在使用您直接从 AWS STS 操作中检索的临时安全凭证时需要的会话令牌值。有关更多信息,请参阅 AWS CLI Command Reference 中的代入角色命令的输出部分

如果已定义,此环境变量将覆盖配置文件设置 aws_session_token 的值。您不能将会话令牌指定为命令行选项。

AWS_SHARED_CREDENTIALS_FILE

指定 AWS CLI 用于存储访问密钥的文件的位置。默认路径为 ~/.aws/credentials

您不能在命名配置文件设置中或使用命令行参数来指定此值。

AWS_STS_REGIONAL_ENDPOINTS

指定 AWS CLI 如何确定 AWS CLI 客户端用于与 AWS Security Token Service (AWS STS) 通信的 AWS 服务终端节点。

  • AWS CLI 版本 1 的默认值为 legacy

  • AWS CLI 版本 2 的默认值为 regional

您可以指定以下两个值之一:

  • legacy – 对以下 AWS 区域使用全局 STS 终端节点 sts.amazonaws.comap-northeast-1ap-south-1ap-southeast-1ap-southeast-2aws-globalca-central-1eu-central-1eu-north-1eu-west-1eu-west-2eu-west-3sa-east-1us-east-1us-east-2us-west-1us-west-2。所有其他区域自动使用其各自的区域终端节点。

  • regional – AWS CLI 始终使用当前配置的区域的 AWS STS 终端节点。例如,如果客户端已配置为使用 us-west-2,则对 AWS STS 进行的所有调用都针对区域终端节点 sts.us-west-2.amazonaws.com 而非全局 sts.amazonaws.com 终端节点。要在启用此设置时向全局终端节点发送请求,您可以将区域设置为 aws-global