本文档 Amazon CLI 仅适用于版本 1。有关版本 2 的文档 Amazon CLI,请参阅版本 2 用户指南。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将凭证用于 Amazon EC2 实例元数据
当您在亚马逊弹性计算云 (Amazon EC2) 实例中运行时,可以简化为命令提供凭证的过程。 Amazon CLI 每个 Amazon EC2 实例都包含 Amazon CLI 能够直接查询临时凭证的元数据。将 IAM 角色附加到实例后, Amazon CLI 会自动安全地从实例元数据中检索证书。
要禁用此服务,请使用 AWS_EC2_METADATA_DISABLED 环境变量。
先决条件
要将 Amazon EC2 凭证与一起使用 Amazon CLI,您需要完成以下操作:
-
安装和配置 Amazon CLI。有关更多信息,请参阅 安装、更新和卸载 Amazon CLI 和 身份验证和访问凭证。
-
您了解配置文件和命名配置文件。有关更多信息,请参阅 配置和凭证文件设置。
-
您已经创建了一个可以访问所需资源的 Amazon Identity and Access Management (IAM) 角色,并在启动 Amazon EC2 实例时将该角色附加到 Amazon EC2 实例。有关更多信息,请参阅 Amazon EC2 用户指南中的 Amazon EC2 的 IAM 策略和 IAM 用户指南中的授予在亚马逊 EC2 实例上运行的应用程序访问 Amazon 资源的权限。
配置 Amazon EC2 元数据的配置文件
要指定需要使用在托管 Amazon EC2 实例配置文件中提供的凭证,请在配置文件的命名配置文件中使用以下语法。有关更多说明,请参阅以下步骤。
[profile
profilename
] role_arn =arn:aws:iam::123456789012:role/rolename
credential_source = Ec2InstanceMetadata region =region
-
在配置文件中创建配置文件。
[profile
profilename
] -
添加有权访问所需资源的 IAM arn 角色。
role_arn =
arn:aws:iam::123456789012:role/rolename
-
指定
Ec2InstanceMetadata
作为凭证源。credential_source = Ec2InstanceMetadata
-
设置您的区域。
region =
region
示例
以下示例代入
角色并在名为 marketingadminrole
的 Amazon EC2 实例配置文件中使用 marketingadmin
区域。us-west-2
[profile
marketingadmin
] role_arn =arn:aws:iam::123456789012:role/marketingadminrole
credential_source = Ec2InstanceMetadata region =us-west-2