Modul 3: Einrichten der AWS CLI
TUTORIAL
Einrichten der AWS CLI
In diesem Modul konfigurieren Sie die AWS-Befehlszeilenschnittstelle (CLI)
Was Sie erreichen werden
- Installieren der AWS Command Line Interface (AWS CLI) für Ihr Betriebssystem
- Konfigurieren der Anmeldeinformationen für den Zugriff auf Ihr AWS-Konto
- Konfigurieren mehrerer Profile für den Zugriff auf verschiedene AWS-Konten
Implementierung
Die AWS CLI ist ein einheitliches Tool zur Verwaltung Ihrer AWS-Services. Sie müssen nur ein Tool herunterladen und konfigurieren, mit dem Sie mehrere AWS-Services über die Befehlszeile steuern und über Skripts automatisieren können.
Zur Interaktion mit AWS über die CLI müssen wir Anmeldeinformationen konfigurieren, die bei API-Aufrufen verwendet werden. Wir zeigen auch, wie Sie mehrere Profile einrichten können, um auf mehr als ein AWS-Konto zuzugreifen, entweder mit zusätzlichen Anmeldeinformationen oder durch einen IAM-Rollenwechsel.
Benötigte Zeit
10 Minuten
Modul erfordert
- Einen Internet-Browser
- Ein AWS-Konto
Hilfe anfordern
Installieren der AWS CLI
Es gibt verschiedene Möglichkeiten, die AWS CLI zu installieren, abhängig von Ihrem Betriebssystem oder der bevorzugten Verwendung von Containern. Informationen zur Installation der AWS CLI v2 finden Sie unter Installieren oder Aktualisieren der neuesten Version der AWS CLI.
Sobald die AWS CLI installiert ist, können Sie aws --version in Ihrer Befehlszeile ausführen und die folgende Ausgabe sehen (die Version kann unterschiedlich sein):
aws --versionDie Reaktion bei der Installation der AWS CLI unter Windows 10 lautet beispielsweise wie folgt:
Die AWS CLI ist jetzt installiert und Sie können Ihre Anmeldeinformationen konfigurieren.
Konfigurieren der AWS-CLI-Anmeldeinformationen
Um die Anmeldeinformationen zu konfigurieren, verwenden Sie den Befehl <aws configure sso>, um die Anmeldeinformationen des im vorherigen Modul dieses Tutorials erstellten Benutzers einzuschließen.
Führen Sie in der CLI den Befehl <aws configure sso> aus. Sie werden aufgefordert, die folgenden Informationen anzugeben:
- SSO-Sitzungsname: Stellt einen Namen für die Sitzung bereit, der in den AWS-CloudTrail-Protokollen für mit dieser Sitzung verknüpfte Einträge enthalten ist. Wenn Sie keinen Namen eingeben, wird dieser automatisch generiert. Verwenden Sie für dieses Tutorial <Test1>.
- SSO-Start-URL:Die URL des AWS-Zugangsportals, die Ihnen bei der Konfiguration von IAM Identity Center bereitgestellt wurde.
- SSO-Region: In diesem Tutorial verwenden die Beispiele <us-east-1>. Wenn Sie die Befehle selbst ausführen, geben Sie die Region an, in der Sie IAM IdentityCenter aktiviert haben. Sie finden diese Informationen in der AWS-Managementkonsole in der Einstellungsübersicht des IAM-Identity-Center-Dashboards.
- SSO-Registrierungsbereiche: Bereiche autorisieren den Zugriff auf verschiedene Endpunkte. In diesem Tutorial verwenden wir den Mindestumfang von <sso:account:access>, um ein Aktualisierungs-Token vom IAM-Identity-Center-Service zurückzuerhalten.
Nachdem Sie den Befehl <aws configure sso> eingegeben haben, werden Sie im Terminal nach jedem dieser Elemente gefragt.
aws configure ssoHinweis: Wenn Sie die Start-URL oder Region für Ihr Konto nicht kennen, melden Sie sich als Root-Benutzer bei der Konsole an und gehen Sie zum Dashboard von IAM Identity Center. Die Region und die URL des AWS-Zugangsportals werden in der Einstellungsübersicht angezeigt.
Der folgende Beispielcode zeigt den CLI-Inhalt zu diesem Zeitpunkt:
$ aws configure sso
SSO-Sitzungsname (empfohlen): Test1
SSO-Start-URL [Keine]: https://my-sso-portal.awsapps.com/start
SSO-Region [Keine]: us-east-1
Bereiche der SSO-Registrierung [Keine]: sso:account:access
Die CLI versucht, die SSO-Autorisierungsseite automatisch in Ihrem Standardbrowser zu öffnen und beginnt mit dem Anmeldevorgang für Ihr IAM-Identity-Center-Konto.
Nachdem Sie Ihr Passwort (und MFA-Anmeldeinformationen, falls aktiviert) angegeben haben, werden Sie aufgefordert, den Zugriff auf Ihre Daten zu erlauben. Dadurch erhält die AWS CLI Berechtigungen zum Abrufen und Anzeigen der AWS-Konten und -Rollen, zu deren Verwendung Sie mit IAM Identity Center berechtigt sind.
Da die AWS CLI auf dem SDK für Python aufbaut, können Berechtigungsnachrichten Variationen des Botocore-Namens enthalten, z. B. botocore-client-Test1. Wählen Sie Zulassen aus. Nach der Authentifizierung werden Sie darüber informiert, dass Sie das Fenster schließen können.
Die CLI aktualisiert die für Sie verfügbaren AWS-Konten und -Rollen und zeigt sie an. Da Sie zu diesem Zeitpunkt nur ein AWS-Konto mit der Rolle AdministratorAccess eingerichtet haben, handelt es sich um das Konto und die Rolle, mit denen Sie angemeldet sind. In Ihrem CLI-Fenster sollten nun folgende Zeilen angezeigt werden:
Das einzige AWS-Konto, das Ihnen zur Verfügung steht, ist: 111122223333
Verwendung der Konto-ID 111122223333
Die einzige Rolle, die Ihnen zur Verfügung steht, ist: AdministratorAccess
Verwendung des Rollennamens „AdministratorAccess“
Anschließend werden Sie aufgefordert, das Standardausgabeformat anzugeben und die standardmäßige AWS-Region zum Senden von Befehlen sowie einen Namen für das Profil anzugeben. Damit können Sie auf dieses Profil verweisen, wenn Sie Befehle in der CLI ausführen.
Der vorgeschlagene Profilname ist die Konto-ID-Nummer, gefolgt von einem Unterstrich und dem Rollennamen. Für dieses Tutorial verwenden wir jedoch einen kürzeren Profilnamen, admin-1. In Ihrem CLI-Fenster sollten nun folgende Zeilen angezeigt werden:
Um dieses Profil zu verwenden, geben Sie den Profilnamen mithilfe von --profile an, wie gezeigt:
aws s3 ls --profile admin-1
Führen Sie nun den Befehl <aws ec2 describe-vpcs> aus, um zu überprüfen, ob die Konfiguration korrekt ist. Für jedes neue AWS-Konto sind Standard-VPCs konfiguriert, sodass Sie diesen Befehl ausführen können, ohne dass andere Services in Ihrem AWS-Konto konfiguriert sein müssen.
aws ec2 describe-vpcsIn Ihrem CLI-Fenster sollten nun die folgenden Informationen angezeigt werden.
Dies bestätigt, dass Ihre AWS CLI nun korrekt eingerichtet ist.
Durch die Ausführung dieses Verfahrens haben Sie Ihre AWS-Konfigurationsdatei mit einem Abschnitt sso-session und einem benannten Profil aktualisiert.
Die Konfigurationsdatei befindet sich unter ~/.aws/config auf Computern mit Linux oder macOS oder unter C:\Users\ USERNAME \.aws\config auf Computern unter Windows. Wenn Sie Ihre Konfigurationsdatei öffnen, werden diese beiden Abschnitte angezeigt:
aws ec2 describe-vpcs --profile admin-1
{
„Vpcs“: [
{
„CidrBlock“: „10.0.0.0/16“,
„DhcpOptionsId“: „dopt-d12345“,
„State“: „available“,
„VpcId“: „vpc-0123456789abcdef“,
„OwnerId“: „111122223333“,
„InstanceTenancy“: „default“,
............ „CidrBlockAssociationSet“: [
................{
..................... „AssociationId“: „vpc-cidr-assoc-38b060a751a39af8e“,
..................... „CidrBlock“: „10.24.34.0/23“,
.................... „CidrBlockState“: {
......................... „State“: „associated“
......................}
................}
............],
............ „IsDefault“: true
.........}
]
}
[profile admin-1]
sso_session = Test1
sso_account_id = 111122223333
sso_role_name = AdministratorAccess
region = us-east-1
output = json
[sso-session Test1]
sso_region = us-east-1
sso_start_url = https://my-sso-portal.awsapps.com/start
sso_registration_scopes = sso:account:access
Sie können diese SSO-Sitzung und dieses Profil jetzt verwenden, um Anmeldeinformationen mit dem Befehl <aws sso login> anzufordern.
aws sso loginIhr CLI-Fenster sollte nun die folgenden Informationen anzeigen:
aws sso login -–profile admin-1
Es wird versucht, die SSO-Autorisierungsseite automatisch in Ihrem Standardbrowser zu öffnen.
Wenn sich der Browser nicht öffnet oder Sie ein anderes Gerät zur Autorisierung dieser Anfrage verwenden möchten, öffnen Sie die folgende URL:
https://device.sso.us-east1.amazonaws.com/
Geben Sie dann den Code ein:
XXXX-XXXX
Navigieren Sie zum Browserfenster und erlauben Sie den Zugriff auf Ihre Daten. Wenn Sie zum CLI-Fenster zurückkehren, wird diese Zeile in der folgenden Meldung angezeigt:
Erfolgreich angemeldet bei der Start-URL: https://my-sso-portal.awsapps.com/start
Mehrere Profile konfigurieren (optional)
Wenn Sie Ihrem AWS-Konto Rollen hinzufügen und Ihrer Organisation weitere AWS-Konten hinzufügen, wiederholen Sie das oben beschriebene Verfahren, um ein Profil für diese Rollen und Konten zu erstellen.
Wenn Sie die Komplexität erhöhen, empfiehlt es sich, eine Strategie zur Profilbenennung zu verwenden. Diese verknüpft AWS-Konto-IDs und Rollennamen damit Sie zwischen den Profilen unterscheiden können.
Fazit
Herzlichen Glückwunsch! Sie haben gelernt, wie Sie die AWS CLI einrichten und ein benanntes Profil konfigurieren. Im nächsten Modul erfahren Sie, wie Sie AWS Cloud9, eine cloudbasierte IDE, einrichten.