À la recherche d'un moyen rapide d'extraire mon numéro de compte, j'avais initialement pensé à l'utiliser, aws iam get-account-authorization-details --max-items 1mais il y a plusieurs problèmes à le faire de cette façon. Existe-t-il un moyen de le faire qui pourrait ne pas croiser les origines des comptes?
Réponses:
Vous pouvez obtenir le numéro de compte à partir de la sous-commande Secure Token Service enget-caller-identity utilisant les éléments suivants:
aws sts get-caller-identity --query Account --output text
aws sts get-caller-identity|jq -r ".Account"
aws sts get-caller-identity --output json | jq '.Account' | sed 's/\"//g'
--query 'Account'pièce.
jqimplication ou votre installation sur un système. Certains serveurs interdisent les installations de packages superflus pour des raisons de sécurité. Vous pourriez faire quelque chose comme ça, aws sts get-caller-identity --output json |grep Account |awk -F ': "' '{print$2}' |sed 's/\".*//'mais c'est un peu ennuyeux et vous pourriez aussi bien le faire --query 'Account' --output textà ce stade.
D'après ma réponse connexe pour l'AWS PowerShell CLI , votre ID de compte fait partie de l'Arn des ressources que vous créez ... et de celles qui sont automatiquement créées pour vous. Certaines ressources vous répertorieront également en tant que OwnerId.
Le groupe de sécurité par défaut est automatiquement créé pour vous dans le VPC par défaut de chaque région en tant que groupe de sécurité réservé. De la documentation :
Vous ne pouvez pas supprimer un groupe de sécurité par défaut. Si vous essayez de supprimer le groupe de sécurité par défaut EC2-Classic, vous obtiendrez l'erreur suivante: Client.InvalidGroup.Reserved: Le groupe de sécurité «par défaut» est réservé. Si vous essayez de supprimer un groupe de sécurité par défaut VPC, vous obtiendrez l'erreur suivante: Client.CannotDelete: le groupe spécifié: "sg-51530134" nom: "default" ne peut pas être supprimé par un utilisateur.
Cela en fait un candidat fiable pour récupérer notre identifiant de compte, à condition que vous soyez dans EC2 classic ou que vous ayez un VPC par défaut (* voir les cas extrêmes si vous ne le faites pas).
Exemple:
aws ec2 describe-security-groups \
--group-names 'Default' \
--query 'SecurityGroups[0].OwnerId' \
--output text
Cela permet --queryde filtrer la sortie jusqu'à l '"ID du propriétaire" pour le premier résultat de cette demande, puis utilise --outputpour afficher votre ID de compte en texte brut:
123456781234
Cas de bord:
(Merci @kenchew) Notez que si vous avez supprimé votre VPC par défaut dans une région donnée, ce groupe de sécurité n'existe plus et vous devez utiliser l'une de ces solutions alternatives:
Lectures complémentaires:
Si vous exécutez sur un serveur exécuté avec un rôle assumé, vous ne pouvez pas appeler aws sts get-caller-identity. De plus, describe-security-groupsvous ne pouvez pas toujours utiliser le --group-namesfiltre (cela ne fonctionne pas si vous n'avez pas de VPC par défaut), alors choisissez simplement le premier groupe de sécurité. J'ai trouvé que c'était le plus fiable, quel que soit le type d'authentification que vous utilisez ou le type de VPC dont vous disposez.
aws ec2 describe-security-groups --query 'SecurityGroups[0].OwnerId' --output text
Ma méthode préférée est à utiliser aws iam get-user [--profile <profile>]car vous n'avez besoin que du rôle de libre-service IAM pour que cela fonctionne.