配置和凭证文件设置

通过直接在文本编辑器中编辑 config 和 credentials 文件来查看和编辑您的设置。有关更多信息，请参阅 配置设置存储在何处？

要删除设置，请从 config 和 credentials 文件中删除相应设置。

运行此命令可快速设置和查看凭证、区域和输出格式。以下示例显示了示例值。

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

有关更多信息，请参阅 使用 aws configure 快速配置

您可以使用 aws configure set 设置任何凭证或配置设置。使用 --profile 设置指定要查看或修改的配置文件。

例如，以下命令设置名为 region 的配置文件中的 integ。

$ aws configure set region us-west-2 --profile integ

要删除某个设置，请使用空字符串作为值，或在文本编辑器中手动从 config 和 credentials 文件中删除该设置。

$ aws configure set cli_pager "" --profile integ

您可以检索已使用 aws configure get 设置的任何凭证或配置设置。使用 --profile 设置指定要查看或修改的配置文件。

例如，以下命令检索名为 region 的配置文件中的 integ 设置。

$ aws configure get region --profile integ
us-west-2

如果输出为空，不会显式设置该设置，并将使用默认值。

导入从 Amazon Web 控制台生成的 CSV 凭证。将导入一个配置文件名称与用户名匹配的 CSV 文件。CSV 文件必须包含以下标头。

$ aws configure import --csv file://credentials.csv

有关密钥对的更多信息，请参阅访问密钥 ID 和秘密访问密钥。

要列出所有配置数据，请使用 aws configure list 命令。此命令显示已配置的所有设置的 Amazon CLI 名称、它们的值以及已从中检索配置的位置。

$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************ABCD  shared-credentials-file    
secret_key     ****************ABCD  shared-credentials-file    
    region                us-west-2             env    AWS_DEFAULT_REGION

要列出所有配置文件名称，请使用 aws configure list-profiles 命令。

$ aws configure list-profiles
default
test

指定用作凭证一部分的对命令请求进行身份验证的 Amazon 访问密钥。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_ACCESS_KEY_ID 环境变量覆盖。您不能将访问密钥 ID 指定为命令行选项。

aws_access_key_id = AKIAIOSFODNN7EXAMPLE

有关密钥对的更多信息，请参阅访问密钥 ID 和秘密访问密钥。

指定用作凭证一部分的对命令请求进行身份验证的 Amazon 私有密钥。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_SECRET_ACCESS_KEY 环境变量覆盖。您不能将私有访问密钥指定为命令行选项。

aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

有关密钥对的更多信息，请参阅访问密钥 ID 和秘密访问密钥。

指定 Amazon 会话令牌。只有在手动指定临时安全凭证时才需要会话令牌。虽然它可以存储在 config 文件中，但我们建议您将其存储在 credentials 文件中。

可以被 AWS_SESSION_TOKEN 环境变量覆盖。您不能将会话令牌指定为命令行选项。

aws_session_token = AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk

指定用于验证 SSL 证书的 CA 证书捆绑包（具有 .pem 扩展名的文件）。

可以被 AWS_CA_BUNDLE 环境变量或 --ca-bundle 命令行选项覆盖。

ca_bundle = dev/apps/ca-certs/cabundle-2019mar05.pem

为 Amazon CLI 版本 2 启用自动提示。可以使用两种设置：

您可以使用 aws_cli_auto_prompt 环境变量或 --cli-auto-prompt 和 --no-cli-auto-prompt 命令行参数覆盖此设置。

有关 Amazon CLI 版本 2 自动提示功能的信息，请参阅 让 Amazon CLI 提示您输入命令。

指定 Amazon CLI 版本 2 如何解释二进制输入参数。它可能为下列值之一：

此条目没有等效的环境变量。您可以使用 --cli-binary-format raw-in-base64-out 参数在单个命令上指定此值。

cli_binary_format = raw-in-base64-out

如果使用 fileb:// 前缀表示法引用文件中的二进制值，Amazon CLI 始终希望文件中包含原始二进制内容，并且不会尝试转换该值。

如果使用 file:// 前缀表示法引用文件中的二进制值，Amazon CLI 会根据当前 cli_binary_format 设置来处理此文件。如果该设置的值为 base64（未明确设置时的原定设置值），Amazon CLI 希望该文件中包含 base64 编码文本。如果该设置的值为 raw-in-base64-out，Amazon CLI 希望文件中包含原始二进制内容。

默认情况下禁用。此设置启用 Amazon CLI 的命令历史记录。启用此设置后，Amazon CLI 记录 aws 命令的历史记录。

cli_history = enabled

您可以使用 aws history list 命令列出您的历史记录，然后使用 aws history show 命令中生成的 command_ids 获取详细信息。有关更多信息，请参阅《Amazon CLI 参考指南》中的 aws history。

指定用于处理输出的分页程序。预设情况下，Amazon CLI 版本 2 会通过操作系统的原定设置分页程序返回所有输出。

可以被 AWS_PAGER 环境变量覆盖。

cli_pager=less

要完全禁用外部分页程序，请将该变量设置为空字符串，如以下示例所示。

cli_pager=

指定输出中包含的时间戳值的格式。可以指定以下任一值：

该条目没有等效的环境变量或命令行选项。

cli_timestamp_format = iso8601

指定 Amazon CLI 运行的外部命令，以生成或检索用于该命令的身份验证凭证。命令必须以特定格式返回凭证。有关如何使用该设置的更多信息，请参阅使用外部进程获取凭证。

该条目没有等效的环境变量或命令行选项。

credential_process = /opt/bin/awscreds-retriever --username susan

在 Amazon EC2 实例或容器中使用，指定 Amazon CLI 在何处可以找到要用于代入通过 role_arn 参数指定的角色的凭证。不能在同一配置文件中同时指定 source_profile 和 credential_source。

此参数具有三个值：

credential_source = Ec2InstanceMetadata

指定角色会话的最大持续时间（以秒为单位）。该值的范围在 900 秒（15 分钟）到角色的最大会话持续时间设置之间。此参数为可选参数，默认情况下，该值设置为 3600 秒。

指定第三方用于在其客户账户中代入角色的唯一标识符。这将映射到 AssumeRole 操作中的 ExternalId 参数。仅当角色的信任策略为 ExternalId 指定值时，才需要此参数。有关更多信息，请参阅《IAM 用户指南》中的如何在向第三方授予对 Amazon 资源的访问权限时使用外部 ID。

指定 Amazon CLI 重试处理程序使用的最大重试次数值，其中初始调用计入您提供的 max_attempts 值。

您可以使用 AWS_MAX_ATTEMPTS 环境变量覆盖此值。

max_attempts = 3

代入角色时要使用的 MFA 设备的标识号。仅当代入角色的信任策略包含需要 MFA 身份验证的条件，此值才是必需的。该值可以是硬件设备（例如 GAHT12345678）的序列号，也可以是虚拟 MFA 设备（例如 arn:aws:iam::123456789012:mfa/user）的 Amazon Resource Name (ARN)。

指定使用该配置文件请求的命令的原定设置输出格式。您可以指定以下任意值：

可以被 AWS_DEFAULT_OUTPUT 环境变量或 --output 命令行选项覆盖。

output = table

指定 Amazon CLI 客户端在将参数发送到 Amazon 服务终端节点之前是否尝试验证参数。

该条目没有等效的环境变量或命令行选项。

parameter_validation = false

对于使用该配置文件请求的命令，指定要将请求发送到的 Amazon Web Services 区域。

您可以使用 AWS_REGION 环境变量、AWS_DEFAULT_REGION 环境变量或 --region 命令行选项覆盖此值。

region = us-west-2

指定 Amazon CLI 使用哪种重试模式。有三种重试模式可用：旧模式（默认模式）、标准模式和自适应模式。有关重试的更多信息，请参阅Amazon CLI 重试次数。

您可以使用 AWS_RETRY_MODE 环境变量覆盖此值。

retry_mode = standard

指定要用于运行 Amazon CLI 命令的 IAM 角色的 Amazon Resource Name (ARN)。此外，还必须指定以下参数之一以标识有权代入此角色的凭证：

role_arn = arn:aws:iam::123456789012:role/role-name

环境变量 AWS_ROLE_ARN 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定要附加到角色会话的名称。此值在 RoleSessionName 调用 Amazon CLI 操作时将提供给 AssumeRole 参数，并成为代入角色用户 ARN 的一部分： arn:aws:sts::123456789012:assumed-role/role_name/role_session_name。此参数为可选参数。如果未提供此值，则将自动生成会话名称。此名称显示在与此会话关联的条目的 Amazon CloudTrail 日志中。

role_session_name = maria_garcia_role

环境变量 AWS_ROLE_SESSION_NAME 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定包含长期凭证的命名配置文件，Amazon CLI 可使用这些凭证代入通过 role_arn 参数指定的角色。不能在同一配置文件中同时指定 source_profile 和 credential_source。

source_profile = production-profile

指定 Amazon 账户 ID，其中包含的 IAM 角色具有您希望授予关联 IAM Identity Center 用户的权限。

此设置没有环境变量或命令行选项。

sso_account_id = 123456789012

指定包含 Amazon 访问门户主机的 Amazon 区域。它与默认的 CLI region 参数是分开的，并且可以是不同的区域。

此设置没有环境变量或命令行选项。

sso_region = us_west-2

要为 sso-session 授权的范围的逗号分隔列表。范围授权对 IAM Identity Center 持有者令牌授权终端节点的访问。有效范围是字符串，例如 sso:account:access。此设置不适用于遗留的不可刷新配置。

sso_registration_scopes = sso:account:access

指定使用此配置文件时定义用户权限的 IAM 角色的友好名称。

此设置没有环境变量或命令行选项。

sso_role_name = ReadAccess

指定指向企业的 Amazon 访问门户的 URL。Amazon CLI 使用此 URL 与 IAM Identity Center 服务建立会话以验证其用户的身份。要查找 Amazon 访问门户 URL，请使用下列操作之一：

此设置没有环境变量或命令行选项。

sso_start_url = https://my-sso-portal.awsapps.com/start

在某些地区，一些 Amazon 服务提供支持美国联邦信息处理标准 (FIPS) 140-2 的端点。当 Amazon 服务支持 FIPS 时，此设置指定 Amazon CLI 应使用哪个 FIPS 端点。与标准 Amazon 端点不同，FIPS 端点使用符合 FIPS 140-2 的 TLS 软件库。与美国政府有业务来往的企业可能需要使用这些终端节点。

如果已定义，则此环境变量将被 AWS_USE_FIPS_ENDPOINT 环境变量和 --endpoint-url 命令行选项覆盖。

指定一个文件的路径，该文件包含由身份提供商提供的 OAuth 2.0 访问令牌或 OpenID Connect ID 令牌。Amazon CLI 加载此文件的内容，并将其作为 WebIdentityToken 参数传递给 AssumeRoleWithWebIdentity 操作。

环境变量 AWS_WEB_IDENTITY_TOKEN_FILE 将覆盖此设置。

有关使用 Web 身份的更多信息，请参阅 通过 Web 身份代入角色。

指定 Amazon CLI 客户端是否使用 TCP keep-alive 数据包。

该条目没有等效的环境变量或命令行选项。

tcp_keepalive = false

指定要使用的寻址样式。这将控制存储桶名称是位于主机名还是 URL 中。有效值包括 path、virtual 和 auto。默认值为 auto。

构造 Amazon S3 终端节点的样式有两种。第一种称为 virtual，它将存储桶名称包含为主机名的一部分。例如：https://bucketname.s3.amazonaws.com。另一种为 path 样式，您将存储桶名称视为 URI 中的路径，例如 https://s3.amazonaws.com/bucketname。CLI 中的默认值是使用 auto，它尝试尽可能使用 virtual 样式，但在需要时回退到 path 样式。例如，如果您的存储桶名称与 DNS 不兼容，则存储桶名称不能是主机名的一部分，而必须位于路径中。使用 auto 时，CLI 将检测这种情况并自动切换到 path 样式。如果将寻址方式设置为 path，您必须确保在 Amazon CLI 中配置的 Amazon 区域与存储桶的区域匹配。

指定是否对 sigv4 负载进行 SHA256 签名。默认情况下，使用 HTTPS 时，将对流式上传（UploadPart 和 PutObject）禁用该设置。默认情况下，对于流式上传（UploadPart 和 PutObject），此设置为 false，但仅限存在 ContentMD5（默认生成）并且终端节点使用 HTTPS 时。

如果设置为 true，则 S3 请求接收 SHA256 校验和形式的额外内容验证（替您计算并包含在请求签名中）。如果设置为 false，则不计算校验和。禁用该设置可减少校验和计算产生的性能开销。

为所有 s3 和 s3api 命令使用 Amazon S3 双 IPv4 / IPv6 终端节点。原定设置值为 False。该设置与 use_accelerate_endpoint 设置互斥。

如果设置为 true，Amazon CLI 会将所有 Amazon S3 请求定向到配置的区域的双 IPv4/IPv6 终端节点。

为所有 s3 和 s3api 命令使用 Amazon S3 加速终端节点。原定设置值为 False。该设置与 use_dualstack_endpoint 设置互斥。

如果设置为 true，Amazon CLI 会将所有 Amazon S3 请求定向到 s3-accelerate.amazonaws.com 的 S3 Accelerate 终端节点。要使用该终端节点，您必须让您的存储桶使用 S3 Accelerate。使用存储桶寻址的虚拟样式发送所有请求：my-bucket.s3-accelerate.amazonaws.com。不会将任何 ListBuckets、CreateBucket 和 DeleteBucket 请求发送到 S3 加速终端节点，因为该终端节点不支持这些操作。如果将任何 --endpoint-url 或 https://s3-accelerate.amazonaws.com 命令的 http://s3-accelerate.amazonaws.com 参数设置为 s3 或 s3api，也可以设置该行为。

指定向 Amazon S3 上传数据和从其下载数据可使用的最大带宽。默认为无限制。

这限制了 S3 命令可用于向 Amazon S3 传输数据和从 Amazon S3 传输数据的最大带宽。该值仅适用于上传和下载；它不适用于复制或删除。值以每秒字节数表示。该值可以指定为：

通常，我们建议您先尝试通过降低 max_concurrent_requests 来降低带宽使用率。如果这样做没有充分地将带宽使用率限制到所需速率，您可以使用 max_bandwidth 设置进一步限制带宽使用率。这是因为 max_concurrent_requests 控制当前运行的线程数。如果您先降低 max_bandwidth 但保持较高的 max_concurrent_requests 设置，则可能导致线程不得不进行不必要的等待。这可能造成过多的资源消耗和连接超时。

指定最大并发请求数。默认值是 10。

aws s3 传输命令是多线程的。在任意给定时间，都可以运行多个 Amazon S3 请求。例如，当您使用命令 aws s3 cp localdir s3://bucket/ --recursive 将文件上传到 S3 存储桶时，Amazon CLI 可以并行上传文件 localdir/file1、localdir/file2 和 localdir/file3。设置 max_concurrent_requests 指定可同时运行的最大传输操作数。

您可能由于以下原因而需要更改该值：

指定任务队列中的最大任务数。默认值是 1000。

Amazon CLI 在内部使用这样一种模型：将 Amazon S3 任务排队，然后由数量受 max_concurrent_requests 限制的使用者执行。任务通常映射到单个 Amazon S3 操作。例如，任务可以是 PutObjectTask、GetObjectTask 或 UploadPartTask。任务添加到队列的速度可能比使用者完成任务的速度快得多。为避免无限制增长，任务队列大小设置了特定大小的上限。该设置用于更改该最大数量的值。

您通常不需要更改该设置。该设置还对应于 Amazon CLI 知道需要运行的任务数。这意味着，原定设置情况下 Amazon CLI 只能查看前 1000 个任务。增大该值意味着 Amazon CLI 可更快得知所需任务的总数（假设排队速度快于任务完成速度）。但不利后果是更大的 max_queue_size 需要更多的内存。

指定 Amazon CLI 用于单个文件的分段传输的块大小。原定设置值为 8 MB，最少为 5 MB。

当文件传输超出 multipart_threshold 时，Amazon CLI 将文件分成该大小的块。可以使用与 multipart_threshold 相同的语法指定该值，即整数形式的字节数，或使用大小和后缀。

指定 Amazon CLI 用于单个文件的分段传输的大小阈值。原定设置值为 8 MB。

上传、下载或复制文件时，如果文件超出该大小，Amazon S3 命令将切换到分段操作。您可以通过以下两种方式之一指定该值：