タダです.
新しいコマンドである aws login が出たことを見ました.従来必要だった長期アクセスキーの作成・管理が不要となり,ブラウザベースの認証フローで一時的な認証情報を取得できるようなのでこのアップデートをさらってみます.
aws login の概要
aws login コマンドを使えば,マネジメントコンソールへのサインインと同じ方法でCLI認証が可能になります.一時的な認証情報が自動的に発行・更新されるため,長期アクセスキーを作成する必要がなくなりローカル二クレデンシャルを保管しなくよくなります.aws loginコマンドを実行すると,以下の流れで認証が行われます.
- コマンドを実行するとデフォルトブラウザが起動する
- AWS マネジメントコンソールのサインイン画面が表示される
- root ユーザー,IAM ユーザー,またはフェデレーション認証でサインインする
- 認証が成功すると,CLIに一時的な認証情報が自動的に設定される
認証情報は 15分ごとに自動更新され,有効期限が切れると再度 aws login コマンドの実行が必要です.認証情報はローカルの ~/.aws/login/cache ディレクトリにキャッシュされます.
事前準備
aws login コマンドを使うには AWS CLI のバージョンを2.32.0以上にする必要があります.手元のバージョンは2.28.25だったのでバージョンアップしました.
❯ aws --version aws-cli/2.28.25 Python/3.13.7 Darwin/25.1.0 source/arm64 ❯ brew upgrade awscli ❯ aws --version aws-cli/2.32.6 Python/3.13.9 Darwin/25.1.0 source/arm64
また root ユーザー以外で aws login を使用する場合,IAM ユーザーまたはロールに以下のいずれかが必要です.
SignInLocalDevelopmentAccessマネージドポリシーのアタッチsignin:AuthorizeOAuth2Accessおよびsignin:CreateOAuth2Tokenアクションの許可
実際に aws login を実行する
自分のプライベートアカウント用に設定している IAM ユーザーがいるためのこのユーザーを認証で試してみます.aws login を実行するとブラウザでアカウント番号,IAM ユーザー名,パスワードを入力して認証を行います.
❯ aws login Attempting to open your default browser. If the browser does not open, open the following URL: [認証用URLが出力される]
ログイン後の認証状態確認をしてみたら意図通りのユーザーの認証ができていました.
❯ aws sts get-caller-identity
{
"UserId": "xxx",
"Account": "1234567891011",
"Arn": "arn:aws:iam::1234567891011:user/hoge"
}
ログアウト
aws login したらログアウトも試してみます.ログアウト後は認証情報がなくなっていました.
❯ aws logout Removed cached login credentials for profile 'default'. Note, any local developer tools that have already loaded the access token may continue to use it until its expiration. Access tokens expire in 15 minutes ❯ aws sts get-caller-identity Error loading login session token: Unable to load a existing login session for session arn:aws:iam::1234567891011:user/hoge, Please reauthenticate with 'aws login'.
まとめ
aws login コマンドの概要と実際に試してみたメモをまとめました.
