将凭证用于 Amazon EC2 实例元数据 - Amazon Command Line Interface
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将凭证用于 Amazon EC2 实例元数据

当您在亚马逊弹性计算云 (Amazon EC2) 实例中运行时,可以简化为命令提供凭证的过程。 Amazon CLI 每个 Amazon EC2 实例都包含 Amazon CLI 能够直接查询临时凭证的元数据。将 IAM 角色附加到实例后, Amazon CLI 会自动安全地从实例元数据中检索证书。

要禁用此服务,请使用 AWS_EC2_METADATA_DISABLED 环境变量。

先决条件

要将 Amazon EC2 凭证与一起使用 Amazon CLI,您需要完成以下操作:

配置 Amazon EC2 元数据的配置文件

要指定需要使用在托管 Amazon EC2 实例配置文件中提供的凭证,请在配置文件的命名配置文件中使用以下语法。有关更多说明,请参阅以下步骤。

[profile profilename] role_arn = arn:aws:iam::123456789012:role/rolename credential_source = Ec2InstanceMetadata region = region
  1. 在配置文件中创建配置文件。

    [profile profilename]
  2. 添加有权访问所需资源的 IAM arn 角色。

    role_arn = arn:aws:iam::123456789012:role/rolename
  3. 指定 Ec2InstanceMetadata 作为凭证源。

    credential_source = Ec2InstanceMetadata
  4. 设置您的区域。

    region = region

示例

以下示例代入 marketingadminrole 角色并在名为 marketingadmin 的 Amazon EC2 实例配置文件中使用 us-west-2 区域。

[profile marketingadmin] role_arn = arn:aws:iam::123456789012:role/marketingadminrole credential_source = Ec2InstanceMetadata region = us-west-2