EC2 インスタンスで AWS CLI コマンドを実行できないのはなぜですか?

所要時間2分

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで AWS Command Line Interface (AWS CLI) コマンドを実行しようとするとエラーが発生するのはなぜですか?

簡単な説明

インスタンスで AWS CLI コマンドを実行すると、次のいずれかのエラーメッセージが表示されることがあります。

"Unable to locate credentials.You can configure credentials by running 'aws configure'"
"An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation"
"An error occurred (AuthFailure) when calling the DescribeInstances operation: AWS was not able to validate the provided access credentials"
"An error occurred (ExpiredToken) when calling the GetCallerIdentity operation: The security token included in the request is expired"

エラーにリストされているオペレーションは、エラーが発生したときに呼び出したオペレーションによって異なります。前の例では、DescribeInstances と GetCallerIdentity オペレーションを呼び出すときにエラーが発生しました。

注意: AWS CLI と AWS サービスエンドポイントの間の通信の問題については、DNS 解決と任意の VPC エンドポイントが正しく動作することを確認してください。詳細については、以下の記事を参照してください。

AWS CLI が正しくインストールされ、設定されていることを確認します。

AWS Identity and Access Management (IAM) インスタンスプロファイルを使用する場合は、IAM ロールの関連付けが完了していることを確認してください。

IAM ロールまたは IAM ユーザーに、関連するコマンドを実行するための正しいアクセス許可があることを確認します。これを行う手順については、「EC2 インスタンスを起動しようとすると、「You are not authorized to perform this operation」というエラーメッセージが表示されるのはなぜですか?」を参照してください。
Linux または Windows インスタンスの時刻が正しいことを確認します。
正しい Amazon Simple Token Service (AWS STS) トークン形式を使用していることを確認します。詳細については、「一部の AWS リージョンで IAM エラー「AWS was not able to validate the provided access credentials」が表示されるのはなぜですか?」を参照してください。
API コールを行うために正しい認証情報を使用していることを確認します。インスタンスに認証情報のセットが複数ある場合、認証情報の優先順位は、インスタンスが API コールを行うために使用する認証情報に影響する場合があります。aws sts get-caller-identity コマンドを実行して、使用している認証情報のセットを確認します。詳細については、「Amazon EC2 インスタンスが、ロールの認証情報ではなく IAM ユーザーの認証情報を使用しているのはなぜですか?」を参照してください。

一時的な認証情報は、作成時に指定した時間間隔で失効します。IAM ロールの認証情報の有効期限が切れている場合は、新しい IAM ロールを引き受けることで新しい STS トークンを取得してください。