Amazon CLI 中的配置和凭证文件设置

运行此命令可快速设置和查看 凭证、区域和输出格式。以下示例显示了示例值。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

您可以使用 aws configure set 设置任何凭证或配置设置。使用 --profile 设置指定要查看或修改的配置文件。

例如，以下命令设置名为 region 的配置文件中的 integ。

$ aws configure set region us-west-2 --profile integ

要删除某个设置，可在文本编辑器中从 config 和 credentials 文件中手动删除该设置。

您可以检索已使用 aws configure get 设置的任何凭证或配置设置。使用 --profile 设置指定要查看或修改的配置文件。

例如，以下命令检索名为 region 的配置文件中的 integ 设置。

$ aws configure get region --profile integ
us-west-2

如果输出为空，不会显式设置该设置，并将使用默认值。

导入从 IAM Web 控制台生成的 CSV 凭证。这不适用于从 IAM Identity Center 生成的凭证；使用 IAM Identity Center 的客户应使用 aws configure sso。将导入一个配置文件名称与用户名匹配的 CSV 文件。CSV 文件必须包含以下标头。

$ aws configure import --csv file://credentials.csv

要列出配置数据，请使用 aws configure list 命令。此命令列出配置文件以及用于指定的配置文件的访问密钥、密钥和区域配置信息。对于每个配置项目，它会显示值、检索配置值的位置以及配置变量名称。

例如，如果您在环境变量中提供 Amazon Web Services 区域，则此命令会显示您配置的区域的名称、该值来自环境变量以及环境变量的名称。

对于角色和 IAM Identity Center 等临时凭证方法，此命令显示临时缓存的访问密钥并显示秘密访问密钥。

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

要列出所有配置文件名称，请使用 aws configure list-profiles 命令。

$ aws configure list-profiles
default
test

运行此命令可快速设置和查看 Amazon IAM Identity Center 凭证、区域和输出格式。以下示例显示了示例值。

$ aws configure sso
SSO session name (Recommended): my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

运行此命令可在 credentials 和 config 文件的 sso-session 部分中快速设置和查看 Amazon IAM Identity Center 凭证、区域和输出格式。以下示例显示了示例值。

$ aws configure sso-session
SSO session name: my-sso
SSO start URL [None]: https://my-sso-portal.awsapps.com/start
SSO region [None]: us-east-1
SSO registration scopes [None]: sso:account:access

运行此命令以指定的格式导出当前设置的凭证。默认情况下，该命令以 process 格式导出默认凭证，这是 Amazon SDK 和工具凭证格式支持的 JSON 格式。

$ aws configure export-credentials
{
  "Version": 1,
  "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
  "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
}

要导出特定的配置文件和格式，请使用 --profile 和 --format 选项。格式选项如下所示：

以下示例将 user1 配置文件导出为已导出的 Shell 格式。

$ aws configure export-credentials --profile user1 --format env
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

指定是否使用基于 Amazon 账户的端点 ID 来调用受支持的 Amazon Web Services 服务。有关基于账户的端点的更多信息，请参阅基于账户的端点。

此设置可以设为以下值：

可以被 AWS_ACCOUNT_ID_ENDPOINT_MODE 环境变量覆盖。要使用基于账户的端点，必须在 AWS_ACCOUNT_ID 环境变量或 aws_account_id 设置中设置 ID。

account_id_endpoint_mode = preferred

指定用作凭证一部分的对命令请求进行身份验证的 Amazon 访问密钥。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_ACCESS_KEY_ID 环境变量覆盖。您不能将访问密钥 ID 指定为命令行选项。

aws_access_key_id = AKIAIOSFODNN7EXAMPLE

指定要用于调用受支持的 Amazon Web Services 服务的基于 Amazon 账户的端点 ID。有关基于账户的端点的更多信息，请参阅基于账户的端点。

可以被 AWS_ACCOUNT_ID 环境变量覆盖。AWS_ACCOUNT_ID_ENDPOINT_MODE 环境变量或 account_id_endpoint_mode 设置必须设置为 preferred 或 required，才能使用此设置。

aws_account_id = 123456789EXAMPLE

指定用作凭证一部分的对命令请求进行身份验证的 Amazon 私有密钥。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_SECRET_ACCESS_KEY 环境变量覆盖。您不能将私有访问密钥指定为命令行选项。

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

指定 Amazon 会话令牌。只有在手动指定临时安全凭证时才需要会话令牌。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_SESSION_TOKEN 环境变量覆盖。您不能将会话令牌指定为命令行选项。

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

指定用于验证 SSL 证书的 CA 证书捆绑包（具有 .pem 扩展名的文件）。

可以被 AWS_CA_BUNDLE 环境变量或 --ca-bundle 命令行选项覆盖。

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem

为 Amazon CLI 版本 2 启用自动提示。可以使用两种设置：

您可以使用 aws_cli_auto_prompt 环境变量或 --cli-auto-prompt 和 --no-cli-auto-prompt 命令行参数覆盖此设置。

有关 Amazon CLI 版本 2 自动提示特征的信息，请参阅 在 Amazon CLI 中启用和使用命令提示符。

指定 Amazon CLI 版本 2 如何解释二进制输入参数。它可能为下列值之一：

此条目没有等效的环境变量。您可以使用 --cli-binary-format raw-in-base64-out 参数在单个命令上指定此值。

cli_binary_format = raw-in-base64-out

如果使用 fileb:// 前缀表示法引用文件中的二进制值，Amazon CLI 始终希望文件中包含原始二进制内容，并且不会尝试转换该值。

如果使用 file:// 前缀表示法引用文件中的二进制值，Amazon CLI 会根据当前 cli_binary_format 设置来处理此文件。如果该设置的值为 base64（未明确设置时的默认值），Amazon CLI 希望该文件中包含 base64 编码文本。如果该设置的值为 raw-in-base64-out，Amazon CLI 希望文件中包含原始二进制内容。

默认情况下禁用。此设置启用 Amazon CLI 的命令历史记录。启用此设置后，Amazon CLI 记录 aws 命令的历史记录。

cli_history = enabled

您可以使用 aws history list 命令列出您的历史记录，然后使用 aws history show 命令中生成的 command_ids 获取详细信息。有关更多信息，请参阅《Amazon CLI 参考指南》中的 aws history。

指定用于处理输出的分页程序。默认情况下，Amazon CLI 版本 2 会通过操作系统的默认分页程序返回所有输出。

可以被 AWS_PAGER 环境变量覆盖。

cli_pager=less

指定时间戳值的输出格式。可以指定以下任一值：

该设置没有等效的环境变量或命令行选项。此设置不更改时间戳输入，只更改输出格式。

cli_timestamp_format = iso8601

指定 Amazon CLI 运行的外部命令，以生成或检索用于该命令的身份验证凭证。命令必须以特定格式返回凭证。有关如何使用该设置的更多信息，请参阅在 Amazon CLI 中使用外部进程获取凭证。

该条目没有等效的环境变量或命令行选项。

credential_process = /opt/bin/awscreds-retriever --username susan

在 Amazon EC2 实例或容器中使用，指定 Amazon CLI 在何处可以找到要用于代入通过 role_arn 参数指定的角色的凭证。不能在同一配置文件中同时指定 source_profile 和 credential_source。

此参数具有三个值：

credential_source = Ec2InstanceMetadata

指定角色会话的最大持续时间（以秒为单位）。该值的范围在 900 秒（15 分钟）到角色的最大会话持续时间设置之间。此参数为可选参数，默认情况下，该值设置为 3600 秒。

指定用于所有服务请求的端点。如果在 config 文件的 services 节中使用此设置，则该端点仅用于指定的服务。有关更多信息，请参阅 为所有 Amazon Web Services 服务设置全局端点。

以下示例使用全局端点 http://localhost:1234 和用于 Amazon S3 的特定于服务的端点 http://localhost:4567。

[profile dev]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

如果启用，则 Amazon CLI 会忽略 config 文件中指定的所有自定义端点配置。有效值为 true 和 false。

ignore_configure_endpoint_urls = true

指定第三方用于在其客户账户中代入角色的唯一标识符。这将映射到 AssumeRole 操作中的 ExternalId 参数。仅当角色的信任策略为 ExternalId 指定值时，才需要此参数。有关更多信息，请参阅《IAM 用户指南》中的如何在向第三方授予对 Amazon 资源的访问权限时使用外部 ID。

指定 Amazon CLI 重试处理程序使用的最大重试次数值，其中初始调用计入您提供的 max_attempts 值。

您可以使用 AWS_MAX_ATTEMPTS 环境变量覆盖此值。

max_attempts = 3

代入角色时要使用的 MFA 设备的标识号。仅当代入角色的信任策略包含需要 MFA 身份验证的条件，此值才是必需的。该值可以是硬件设备（例如 GAHT12345678）的序列号，也可以是虚拟 MFA 设备（例如 arn:aws:iam::123456789012:mfa/user）的 Amazon 资源名称（ARN）。

指定使用该配置文件请求的命令的默认输出格式。您可以指定以下任意值：

可以被 AWS_DEFAULT_OUTPUT 环境变量或 --output 命令行选项覆盖。

output = table

指定 Amazon CLI 客户端在将参数发送到 Amazon 服务端点之前是否尝试验证参数。

该条目没有等效的环境变量或命令行选项。

parameter_validation = false

对于使用该配置文件请求的命令，指定要将请求发送到的 Amazon Web Services 区域。

您可以使用 AWS_REGION 环境变量、AWS_DEFAULT_REGION 环境变量或 --region 命令行选项覆盖此值。

region = us-west-2

指定何时计算请求有效载荷的校验和，并提供以下选项：

request_checksum_calculation = when_supported

环境变量 AWS_REQUEST_CHECKSUM_CALCULATION 将覆盖此设置。

指定何时对响应有效载荷执行校验和验证，并提供以下选项：

response_checksum_validation = when_supported

环境变量 AWS_RESPONSE_CHECKSUM_VALIDATION 将覆盖此设置。

指定 Amazon CLI 使用哪种重试模式。有三种重试模式可用：standard（默认）、legacy（默认）和 adaptive。有关重试的更多信息，请参阅Amazon CLI 中的 Amazon CLI 重试次数 。

您可以使用 AWS_RETRY_MODE 环境变量覆盖此值。

retry_mode = standard

指定要用于运行 Amazon CLI 命令的 IAM 角色的 Amazon 资源名称（ARN）。此外，还必须指定以下参数之一以标识有权代入此角色的凭证：

role_arn = arn:aws:iam::123456789012:role/role-name

环境变量 AWS_ROLE_ARN 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定要附加到角色会话的名称。此值在 RoleSessionName 调用 Amazon CLI 操作时将提供给 AssumeRole 参数，并成为代入角色用户 ARN 的一部分： arn:aws:sts::123456789012:assumed-role/role_name/role_session_name。此参数为可选参数。如果未提供此值，则将自动生成会话名称。此名称显示在与此会话关联的条目的 Amazon CloudTrail 日志中。

role_session_name = maria_garcia_role

环境变量 AWS_ROLE_SESSION_NAME 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定要用于您的配置文件的服务配置。

[profile dev-s3-specific-and-global]
endpoint_url = http://localhost:1234
services = s3-specific

[services s3-specific]
s3 = 
  endpoint_url = http://localhost:4567

有关更多信息，请参阅 节类型：services 中的 services 节。

环境变量 AWS_ROLE_SESSION_NAME 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

一个 Amazon Web Services 账户可以供多个客户应用程序来调用 Amazon Web Services 服务。应用程序 ID 标识哪个源应用程序使用 Amazon Web Services 服务 进行了一组调用。AmazonSDK 和服务不会使用或解释此值，除非将其显示在客户通信中。例如，此值可以包含在操作电子邮件中，以唯一标识您的哪个应用程序与通知相关联。

应用程序 ID 是一个字符串，最大长度为 50 个字符。允许使用字母、数字和以下特殊字符：! $ % & * + - . , ^ _ ` | ~。默认情况下，不分配任何值。

sdk_ua_app_id = prod1

使用 AWS_SDK_UA_APP_ID 环境变量可以覆盖此设置。您不能将此值设置为命令行参数。

使用逗号分隔列表指定在通过 SigV4a 进行签名时要使用的区域。如果未设置此变量，Amazon CLI 会使用 Amazon Web Services 服务 所使用的默认值。如果 Amazon Web Services 服务 没有默认值，则请求签名将使用 * 作为值，在所有区域内生效。

sigv4a_signing_region_set = us-west-2, us-east-1

有关 SigV4a 的更多信息，请参阅《IAM 用户指南》中的适用于 API 请求的 Amazon 签名版本 4。

使用 AWS_SIGV4A_SIGNING_REGION_SET 环境变量可以覆盖此设置。您不能将此值设置为命令行参数。

指定包含长期凭证的命名配置文件，Amazon CLI 可使用这些凭证代入通过 role_arn 参数指定的角色。不能在同一配置文件中同时指定 source_profile 和 credential_source。

source_profile = production-profile

指定 Amazon 账户 ID，其中包含的 IAM 角色具有您希望授予关联 IAM Identity Center 用户的权限。

此设置没有环境变量或命令行选项。

sso_account_id = 123456789012

指定包含 Amazon 访问门户主机的 Amazon 区域。它与默认的 CLI region 参数是分开的，并且可以是不同的区域。

此设置没有环境变量或命令行选项。

sso_region = us_west-2

要为 sso-session 授权的范围的逗号分隔列表。范围授权对 IAM Identity Center 持有者令牌授权端点的访问。有效范围是字符串，例如 sso:account:access。此设置不适用于遗留的不可刷新配置。

sso_registration_scopes = sso:account:access

指定使用此配置文件时定义用户权限的 IAM 角色的友好名称。

此设置没有环境变量或命令行选项。

sso_role_name = ReadAccess

指定指向企业的 Amazon 访问门户的 URL。Amazon CLI 使用此 URL 与 IAM Identity Center 服务建立会话以验证其用户的身份。要查找 Amazon 访问门户 URL，请使用下列操作之一：

此设置没有环境变量或命令行选项。

sso_start_url = https://my-sso-portal.awsapps.com/start

允许使用双堆栈端点发送 Amazon 请求。要详细了解支持 IPv4 和 IPv6 流量的双堆栈端点，请参阅 Amazon Simple Storage Service 用户指南中的使用 Amazon S3 双堆栈端点。双堆栈端点适用于某些区域。如果不存在适用于服务和/或 Amazon Web Services 区域的双堆栈端点，则请求将失败。有效的设置为 true 和 false。默认情况下，将禁用该功能。有关更多信息，请参阅 设置成为所有 Amazon Web Services 服务使用双堆栈端点。

该设置与 use_accelerate_endpoint 设置互斥。

在某些 Amazon Web Services 区域，部分 Amazon 服务提供支持美国联邦信息处理标准 (FIPS) 140-2 的端点。当 Amazon 服务支持 FIPS 时，此设置指定 Amazon CLI 应使用哪个 FIPS 端点。与标准 Amazon 端点不同，FIPS 端点使用符合 FIPS 140-2 的 TLS 软件库。与美国政府有业务来往的企业可能需要使用这些端点。有关更多信息，请参阅设置成为所有 Amazon Web Services 服务使用 FIPS 端点。

如果启用此设置，但不存在适用于您所在 Amazon Web Services 区域中的服务的 FIPS 端点，则 Amazon 命令可能会失败。在这种情况下，请使用 --endpoint-url 选项手动指定要在命令中使用的端点，或者使用特定于服务的端点。

指定一个文件的路径，该文件包含由身份提供者提供的 OAuth 2.0 访问令牌或 OpenID Connect ID 令牌。Amazon CLI 加载此文件的内容，并将其作为 WebIdentityToken 参数传递给 AssumeRoleWithWebIdentity 操作。

环境变量 AWS_WEB_IDENTITY_TOKEN_FILE 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定 Amazon CLI 客户端是否使用 TCP keep-alive 数据包。

该条目没有等效的环境变量或命令行选项。

tcp_keepalive = false

指定要使用的寻址样式。这将控制存储桶名称是位于主机名还是 URL 中。有效值包括 path、virtual 和 auto。默认值为 auto。

构造 Amazon S3 端点的样式有两种。第一种称为 virtual，它将存储桶名称包含为主机名的一部分。例如：https://bucketname.s3.amazonaws.com。另一种为 path 样式，您将存储桶名称视为 URI 中的路径，例如 https://s3.amazonaws.com/bucketname。CLI 中的默认值是使用 auto，它尝试尽可能使用 virtual 样式，但在需要时回退到 path 样式。例如，如果您的存储桶名称与 DNS 不兼容，则存储桶名称不能是主机名的一部分，而必须位于路径中。使用 auto 时，CLI 将检测这种情况并自动切换到 path 样式。如果将寻址方式设置为 path，您必须确保在 Amazon CLI 中配置的 Amazon 区域与存储桶的区域匹配。

指定是否对 sigv4 负载进行 SHA256 签名。默认情况下，使用 HTTPS 时，将对流式上传（UploadPart 和 PutObject）禁用该设置。默认情况下，对于流式上传（UploadPart 和 PutObject），此设置为 false，但仅限存在 ContentMD5（默认生成）并且端点使用 HTTPS 时。

如果设置为 true，则 S3 请求接收 SHA256 校验和形式的额外内容验证（替您计算并包含在请求签名中）。如果设置为 false，则不计算校验和。禁用该设置可减少校验和计算产生的性能开销。

为所有 s3 和 s3api 命令使用 Amazon S3 加速端点。默认值为 False。该设置与 use_dualstack_endpoint 设置互斥。

如果设置为 true，Amazon CLI 会将所有 Amazon S3 请求定向到 s3-accelerate.amazonaws.com 的 S3 Accelerate 端点。要使用该端点，您必须让您的存储桶使用 S3 Accelerate。使用存储桶寻址的虚拟样式发送所有请求：my-bucket.s3-accelerate.amazonaws.com。不会将任何 ListBuckets、CreateBucket 和 DeleteBucket 请求发送到 S3 加速端点，因为该端点不支持这些操作。如果将任何 --endpoint-url 或 https://s3-accelerate.amazonaws.com 命令的 http://s3-accelerate.amazonaws.com 参数设置为 s3 或 s3api，也可以设置该行为。

支持使用双堆栈端点来发送 s3 和 s3api 请求。要详细了解支持 IPv4 和 IPv6 流量的双堆栈端点，请参阅 Amazon Simple Storage Service 用户指南中的使用 Amazon S3 双堆栈端点。双堆栈端点适用于某些区域。如果不存在适用于服务和/或 Amazon Web Services 区域的双堆栈端点，则请求将失败。有效的设置为 true 和 false。默认情况下，将禁用该功能。有关更多信息，请参阅 设置成为所有 Amazon Web Services 服务使用双堆栈端点。

该设置与 use_accelerate_endpoint 设置互斥。

指定向 Amazon S3 上传数据和从其下载数据可使用的最大带宽。默认为无限制。

这限制了 S3 命令可用于向 Amazon S3 传输数据和从 Amazon S3 传输数据的最大带宽。该值仅适用于上传和下载；它不适用于复制或删除。值以每秒字节数表示。该值可以指定为：

通常，我们建议您先尝试通过降低 max_concurrent_requests 来降低带宽使用率。如果这样做没有充分地将带宽使用率限制到所需速率，您可以使用 max_bandwidth 设置进一步限制带宽使用率。这是因为 max_concurrent_requests 控制当前运行的线程数。如果您先降低 max_bandwidth 但保持较高的 max_concurrent_requests 设置，则可能导致线程不得不进行不必要的等待。这可能造成过多的资源消耗和连接超时。

指定最大并发请求数。默认值是 10。

aws s3 传输命令是多线程的。在任意给定时间，都可以运行多个 Amazon S3 请求。例如，当您使用命令 aws s3 cp localdir s3://bucket/ --recursive 将文件上传到 S3 存储桶时，Amazon CLI 可以并行上传文件 localdir/file1、localdir/file2 和 localdir/file3。设置 max_concurrent_requests 指定可同时运行的最大传输操作数。

您可能由于以下原因而需要更改该值：

指定作业队列中的最大任务数。默认值是 1000。

Amazon CLI 在内部使用这样一种模型：将 Amazon S3 任务排队，然后由数量受 max_concurrent_requests 限制的使用者执行。任务通常映射到单个 Amazon S3 操作。例如，任务可以是 PutObjectTask、GetObjectTask 或 UploadPartTask。任务添加到队列的速度可能比使用者完成任务的速度快得多。为避免无限制增长，作业队列大小设置了特定大小的上限。该设置用于更改该最大数量的值。

您通常不需要更改该设置。该设置还对应于 Amazon CLI 知道需要运行的任务数。这意味着，默认情况下 Amazon CLI 只能查看前 1000 个任务。增大该值意味着 Amazon CLI 可更快得知所需任务的总数（假设排队速度快于任务完成速度）。但不利后果是更大的 max_queue_size 需要更多的内存。

指定 Amazon CLI 用于单个文件的分段传输的块大小。默认值为 8 MB，最少为 5 MB。

当文件传输超出 multipart_threshold 时，Amazon CLI 将文件分成该大小的块。可以使用与 multipart_threshold 相同的语法指定该值，即整数形式的字节数，或使用大小和后缀。

指定 Amazon CLI 用于单个文件的分段传输的大小阈值。默认值为 8 MB。

上传、下载或复制文件时，如果文件超出该大小，Amazon S3 命令将切换到分段操作。您可以通过以下两种方式之一指定该值：