有没有办法将AWS CLI配置文件导出到环境变量？

Question

使用某些第三方工具(如Terraform)时,指定AWS CLI配置文件并不容易,我更喜欢使用环境变量而不是配置文件.

我有没有办法让AWS CLI只将当前配置文件AWS_ACCESS_KEY_ID和AWS_SECRET_KEY环境变量导出到我的会话？

Answer 1

您可以使用以下命令设置环境变量

aws configure get default.aws_access_key_id
aws configure get default.aws_secret_access_key

如果您有其他配置文件可以更改,另一种写入方式是

aws configure get aws_access_key_id --profile <new_profile>
aws configure get aws_secret_access_key --profile <new_profile>

所以例如它会

export TF_VAR_access_key=`aws configure get default.aws_access_key_id`

Answer 2

现在，这是AWS CLI 的内置功能。

只需打电话 eval "$(aws configure export-credentials --profile your-profile-name --format env)"，您就可以开始了。

Answer 3

对于 sts 假设角色案例，基于 Frederic 的想法，我想出了一个可行的 shell 脚本如下：

aws-env.sh：

#!/bin/bash
export AWS_ACCESS_KEY_ID=$(aws configure get default.aws_access_key_id)
export AWS_SECRET_ACCESS_KEY=$(aws configure get default.aws_secret_access_key)
export AWS_SESSION_TOKEN=$(aws configure get default.aws_session_token)

echo AWS_ACCESS_KEY_ID=$AWS_ACCESS_KEY_ID
echo AWS_SECRET_ACCESS_KEY=$AWS_SECRET_ACCESS_KEY
echo AWS_SESSION_TOKEN=$AWS_SESSION_TOKEN

bash -i

希望这可以帮助。

Answer 4

以前没有办法,但现在有.

我写了一个脚本来完成这个,aws-env:

usage: aws-env [-h] [-n] profile

Extract AWS credentials for a given profile as environment variables.

positional arguments:
  profile          The profile in ~/.aws/credentials to extract credentials
                   for.

optional arguments:
  -h, --help       show this help message and exit
  -n, --no-export  Do not use export on the variables.

如果您信任该程序的输出,则可以在shell会话中使用它来导出给定配置文件的变量:

$ aws-env profile-name
export AWS_ACCESS_KEY_ID=...
export AWS_SECRET_ACCESS_KEY=...
$ aws-env -n profile-name
AWS_ACCESS_KEY_ID=...
AWS_SECRET_ACCESS_KEY=...

要将变量导出到当前环境变量中,请将输出作为命令执行(再次,在查看源代码后再执行;)):

$ echo $AWS_ACCESS_KEY_ID

$ $(aws-env profile-name)
$ echo $AWS_ACCESS_KEY_ID
AKJHC...

Answer 5

在Terraform中

Terraform实际上直接支持AWS CLI配置文件：只需profile在awsprovider块中设置适当的属性。

这样的事情应该可以解决问题：

provider "aws" {
  profile = "my_profile"
}

环境变量

相反，如果您必须使用环境变量，则可以通过以下方式使用Frederic的建议：

export AWS_ACCESS_KEY_ID=$(aws configure get my_profile.aws_access_key_id)
export AWS_SECRET_ACCESS_KEY=$(aws configure get my_profile.aws_secret_access_key)

如果要将环境变量传递给脚本，请使用：

AWS_ACCESS_KEY_ID=$(aws configure get my_profile.aws_access_key_id) \
AWS_SECRET_ACCESS_KEY=$(aws configure get my_profile.aws_secret_access_key) \
./script.sh

具有“承担角色”的环境变量

如果您使用配置文件来承担在config字段中指定的角色role_arn，那么随着凭据的生成（在一段时间后过期），事情会变得有些棘手。

但这仍然可行：

read AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY AWS_SESSION_TOKEN <<< \
   $(aws sts assume-role                                           \
     --role-arn $(aws configure get my_profile.role_arn)           \
     --role-session-name my_profile_session --output text |        \
     awk '/^CREDENTIALS/ { print $2, $4, $5 }')

Answer 6

我喜欢 Kay 关于导出所需配置文件的脚本的想法，所以我也写了一个：

PROFILES=$(awk -F"\\\]|\\\[" '/^\[/{print $2}' ~/.aws/credentials)

select PROFILE in $PROFILES; do
  export AWS_ACCESS_KEY_ID="$(aws configure get aws_access_key_id --profile $PROFILE)"
  export AWS_SECRET_ACCESS_KEY="$(aws configure get aws_secret_access_key --profile $PROFILE)"
  export AWS_DEFAULT_REGION="$(aws configure get region --profile $PROFILE)"
  break
done

echo AWS_ACCESS_KEY_ID=$AWS_ACCESS_KEY_ID
echo AWS_SECRET_ACCESS_KEY=$(echo $AWS_SECRET_ACCESS_KEY|tr '[:print:]' '*')
echo AWS_DEFAULT_REGION=$AWS_DEFAULT_REGION

只需将其放入文件中，然后从 shell 中获取 (.) 即可。 这里链接了一个更新版本，它也获取 AWS _ TOKENS。