WindowsにAWS CLI v2を導入してAWS接続確認する手順
はじめに
この記事では、Windows PCに AWS CLI v2 をインストールし、IAMユーザーのアクセスキーを使ってAWSアカウントへ接続確認する手順をまとめます。
最終的には、以下のコマンドで現在のAWS認証情報を確認できる状態にします。
aws sts get-caller-identity
対象読者
この記事は、以下の状態まで完了している人を対象にしています。
- AWSアカウントを作成済み
- 支払い方法を検証済み
- rootユーザーのMFAを設定済み
- 作業用IAMユーザーを作成済み
- 作業用IAMユーザーに必要な権限を付与済み
- AWS CLIはまだ未導入
今回は、デフォルトリージョンとして東京リージョンを使用します。
ap-northeast-1
前提環境
OS: Windows
Shell: PowerShell
AWS CLI: AWS CLI v2
AWS Region: ap-northeast-1
Output format: json
この記事では、IAMユーザー名の例として以下を使います。
dev-admin-user
実際には、自分の環境で作成したIAMユーザー名に置き換えてください。
1. AWS CLI v2をインストールする
Windowsでは、AWS公式のMSIインストーラーを使うのが簡単です。
AWS公式ドキュメントを開きます。
Windows用の 64-bit MSI installer をダウンロードします。
赤枠部分を押下してDLする
インストール手順は通常のWindowsアプリと同じです。
MSIインストーラーをダウンロード
↓
ダブルクリック
↓
Next
↓
Install
↓
Finish
インストールを行っていく
通常、AWS CLI v2は以下のような場所にインストールされます。
C:\Program Files\Amazon\AWSCLIV2
2. PowerShellを開く
WindowsのスタートメニューからPowerShellを開きます。
スタートメニュー
↓
PowerShell
↓
起動
基本的には、管理者権限で開く必要はありません。
3. AWS CLIがインストールされたか確認する
PowerShellで以下を実行します。
aws --version
成功すると、以下のような出力が表示されます。
aws-cli/2.x.x Python/...
aws-cli/2.x.x が表示されれば、AWS CLI v2のインストールは成功です。
もし以下のように aws コマンドが認識されない場合があります。
aws : The term 'aws' is not recognized...
その場合は、PowerShellを一度閉じて開き直します。
それでも認識されない場合は、PCを再起動してから再度確認します。
4. IAMユーザーのアクセスキーを作成する
AWS CLIからAWSにアクセスするには、IAMユーザーの認証情報が必要です。
AWSマネジメントコンソールで以下の順に進みます。
IAM
↓
ユーザー
↓
対象のIAMユーザーを選択
↓
セキュリティ認証情報
↓
アクセスキー
↓
アクセスキーを作成
用途を聞かれた場合は、以下を選びます。
Command Line Interface / CLI
作成後、以下の2つが表示されます。
Access key ID
Secret access key
Secret access key は作成直後の画面を閉じると再表示できません。必要に応じてCSVをダウンロードし、安全な場所に保管してください。
5. AWS CLIに認証情報を設定する
PowerShellで以下を実行します。
aws configure
すると、順番に以下を聞かれます。
AWS Access Key ID [None]:
AWS Secret Access Key [None]:
Default region name [None]:
Default output format [None]:
入力例は以下です。
AWS Access Key ID [None]: 作成したAccess key ID
AWS Secret Access Key [None]: 作成したSecret access key
Default region name [None]: ap-northeast-1
Default output format [None]: json
東京リージョンを使う場合は、リージョン名に以下を指定します。
ap-northeast-1
6. AWS CLIの設定を確認する
設定内容を確認します。
aws configure list
以下のように、リージョンが ap-northeast-1 になっていればOKです。
Name Value Type Location
---- ----- ---- --------
profile <not set> None None
access_key ****************XXXX shared-credentials-file
secret_key ****************XXXX shared-credentials-file
region ap-northeast-1 config-file ~/.aws/config
7. AWSアカウントへの接続確認をする
現在の認証情報で、どのAWSアカウント・IAMユーザーとして認識されているか確認します。
PowerShellで以下を実行します。
aws sts get-caller-identity
成功すると、以下のようなJSONが返ります。
{
"UserId": "XXXXXXXXXXXXXXXXXXXXX",
"Account": "123456789012",
"Arn": "arn:aws:iam::123456789012:user/dev-admin-user"
}
Arn に自分のIAMユーザー名が含まれていれば、AWS CLIからAWSアカウントに接続できています。
この記事では例として以下のIAMユーザー名を使っています。
dev-admin-user
実際には、自分が作成したIAMユーザー名が表示されます。
8. 設定ファイルの保存場所
AWS CLIの設定は、通常以下に保存されます。
C:\Users\<Windowsユーザー名>\.aws\config
C:\Users\<Windowsユーザー名>\.aws\credentials
それぞれの役割は以下です。
config: リージョンや出力形式など
credentials: アクセスキーIDとシークレットアクセスキー
credentials には秘密情報が含まれます。GitHubなどにアップロードしないよう注意してください。
9. よく使う確認コマンド
AWS CLIのバージョン確認です。
aws --version
現在の設定確認です。
aws configure list
現在の認証ユーザー確認です。
aws sts get-caller-identity
S3バケット一覧の確認です。
aws s3 ls
まだS3バケットを作成していない場合は、何も表示されないか、権限に応じた結果になります。
10. トラブルシュート
awsコマンドが認識されない
PowerShellを開き直します。
それでもダメな場合は、PCを再起動します。
AccessDeniedが出る
IAMユーザーに必要な権限が付いていない可能性があります。
IAMユーザーにアタッチされているポリシーを確認します。
InvalidClientTokenId が出る
Access key ID または Secret access key が間違っている可能性があります。
再度アクセスキーを作成し、aws configure をやり直します。
SignatureDoesNotMatch が出る
Secret access key の入力ミスが多いです。
コピー時に余計な空白が入っていないか確認します。
リージョンが違う
以下で現在の設定を確認します。
aws configure list
東京リージョンにしたい場合は、再度 aws configure を実行して以下を設定します。
ap-northeast-1
11. セキュリティ上の注意
アクセスキーはパスワードと同じく秘密情報です。
以下は避けます。
GitHubにアップロードする
Qiitaやブログに貼る
ChatGPTなどのAIツールに貼る
スクリーンショットに含める
他人と共有する
また、rootユーザーのアクセスキーは作成しないようにします。
通常作業には、rootユーザーではなくIAMユーザーやIAM Identity Centerを使います。
この記事では学習・検証目的でIAMユーザーのアクセスキーを使っています。実運用では、IAM Identity Centerや一時的な認証情報の利用も検討してください。
12. 次にやること
AWS CLIの接続確認ができたら、次は以下に進むとよいです。
1. AWS CLIプロファイルを分ける
2. 自動化ツール用のIAMユーザーを別で作る
3. 自動化ツール用IAMユーザーには最小権限だけ付与する
4. TerraformまたはAWS CDKの方針を決める
5. S3など低リスクなリソースで作成・削除テストをする
人間用の管理者ユーザーのアクセスキーを、そのまま自動化ツールやAIエージェントに渡さないようにします。
自動化用には、後で別のIAMユーザーを作成し、必要なサービスだけ操作できるようにします。
まとめ
WindowsにAWS CLI v2を導入する流れは以下です。
AWS CLI v2をインストール
↓
aws --version で確認
↓
IAMユーザーのアクセスキーを作成
↓
aws configure で設定
↓
ap-northeast-1 を指定
↓
aws configure list で確認
↓
aws sts get-caller-identity で接続確認
aws sts get-caller-identity が成功すれば、ローカルPCからAWS CLIでAWSに接続できる状態です。