AWS CLI : premiers pas et commandes essentielles

AWS CLI vous permet de gérer vos ressources AWS depuis le terminal. En 3 commandes, vous saurez si tout fonctionne : installer, se connecter, vérifier son identité. Ce guide vous accompagne pas à pas, du premier aws --version jusqu’à l’automatisation de vos tâches quotidiennes.

Ce que vous allez apprendre

Niveau : Débutant · Durée : 20 minutes · Prérequis : savoir utiliser un terminal

À la fin de ce guide, vous saurez :

• Installer AWS CLI et vérifier votre identité
• Lister vos ressources S3 et EC2
• Filtrer les résultats pour n’afficher que l’essentiel
• Éviter les erreurs de débutant (mauvais compte, mauvaise région)

TL;DR — Votre première session AWS CLI

1. Installer : téléchargez et installez AWS CLI v2
2. Configurer : aws configure avec vos clés d’accès
3. Vérifier : aws sts get-caller-identity pour confirmer votre identité
4. Lister : aws s3 ls pour voir vos buckets
5. Explorer : aws ec2 describe-regions --output table pour un premier résultat lisible

Étape 1 — Installer AWS CLI

Linux

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

macOS

brew install awscli

Windows

winget install Amazon.AWSCLI

Vérifiez l’installation :

aws --version

Résultat attendu

aws-cli/2.x.x Python/3.x.x Linux/... exe/x86_64

Première victoire

Si vous voyez un numéro de version, AWS CLI est installé. Passez à la configuration.

Activer l’autocomplétion (recommandé)

L’autocomplétion vous fait gagner un temps considérable : tapez aws ec2 des puis Tab, et AWS CLI complète automatiquement en aws ec2 describe-. Cela vous permet aussi de découvrir les commandes disponibles en tapant Tab Tab après un service.

Bash

# Trouver le chemin de aws_completer
which aws_completer

# Activer l'autocomplétion
echo 'complete -C /usr/local/bin/aws_completer aws' >> ~/.bashrc

# Recharger la configuration
source ~/.bashrc

Tester : tapez aws s3 puis Tab Tab → vous devriez voir cp, ls, mb, mv, rb, rm, sync…

Zsh

# Activer le support des complétions Bash dans Zsh
echo 'autoload bashcompinit && bashcompinit' >> ~/.zshrc

# Trouver le chemin de aws_completer
which aws_completer

# Activer l'autocomplétion
echo 'complete -C /usr/local/bin/aws_completer aws' >> ~/.zshrc

# Recharger la configuration
source ~/.zshrc

Tester : tapez aws s3 puis Tab Tab → vous devriez voir cp, ls, mb, mv, rb, rm, sync…

Le chemin peut varier

Si which aws_completer ne trouve rien, cherchez avec :

find /usr -name aws_completer 2>/dev/null
# ou
find ~ -name aws_completer 2>/dev/null

Chemins courants :

• Linux : /usr/local/bin/aws_completer ou /usr/bin/aws_completer
• macOS (Homebrew) : /opt/homebrew/bin/aws_completer ou /usr/local/bin/aws_completer

Étape 2 — Se connecter à son compte AWS

Méthode rapide : clés d’accès

Lancez l’assistant de configuration :

aws configure

L’assistant vous demande 4 informations :

AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: eu-west-3
Default output format [None]: json

Champ	Où le trouver	Exemple
Access Key ID	Console AWS → IAM → Utilisateurs → Clés d’accès	AKIA...
Secret Access Key	Affiché UNE SEULE fois à la création	wJalr...
Region	eu-west-3 pour Paris	eu-west-3
Output format	json (défaut) ou table (lisible)	json

Glissez pour voir

Clés d'accès = mots de passe

Vos clés d’accès donnent un accès complet à votre compte AWS. Ne les partagez jamais, ne les commitez jamais dans Git.

Méthode moderne : SSO (recommandé en entreprise)

Si votre entreprise utilise AWS IAM Identity Center (ex-SSO) :

aws configure sso

L’assistant ouvre votre navigateur pour l’authentification. Une fois validé, vous pouvez vous reconnecter avec :

aws sso login --profile mon-profil-sso

Étape 3 — Vérifier son identité (le “whoami” AWS)

Avant toute commande potentiellement destructrice, vérifiez sur quel compte vous travaillez :

aws sts get-caller-identity

Résultat

{
    "UserId": "AIDAUA4AJK645ULWSPQ3I",
    "Account": "276757567417",
    "Arn": "arn:aws:iam::276757567417:user/stephane_robert"
}

Ce résultat vous confirme :

• Account : le numéro du compte AWS (vérifiez que c’est le bon !)
• Arn : votre identité (utilisateur IAM, rôle assumé, etc.)

Réflexe à acquérir

Prenez l’habitude de lancer aws sts get-caller-identity avant toute commande delete, terminate ou rm. C’est la meilleure protection contre “j’ai supprimé la prod”.

Checklist avant commande dangereuse

# 1. Sur quel compte suis-je ?
aws sts get-caller-identity

# 2. Quelle configuration est active ?
aws configure list

# 3. Y a-t-il une variable d'environnement qui override ?
echo $AWS_PROFILE
env | grep AWS_

Étape 4 — Vos premières commandes (lister des ressources)

Maintenant que vous êtes connecté, explorons vos ressources. Vous allez lancer 4 commandes qui vous permettront de comprendre comment AWS CLI fonctionne.

Comment fonctionne AWS CLI ?

Avant de commencer, comprenons la logique. Toutes les commandes AWS CLI suivent le même schéma : vous dites à AWS quel service vous voulez interroger (S3, EC2, IAM…) et quelle action effectuer (lister, créer, supprimer…).

🧠 Modèle mental — aws = une commande, un service, une action

Toutes les commandes AWS CLI suivent le même schéma : vous indiquez le service (s3, ec2, iam...) puis l'action à effectuer. La réponse arrive en JSON par défaut.

Points clés

• Toujours la même structure : aws <service> <action>
• La sortie est en JSON par défaut (--output table pour du lisible)
• Chaque commande cible UNE région (eu-west-3 = Paris)

Règles d'or

1

Toujours vérifier sur quel compte on travaille aws sts get-caller-identity évite de supprimer des ressources en production

2

Ne jamais mettre ses clés dans le code Les credentials dans Git = compte compromis en quelques minutes

Vocabulaire essentiel

Région

Zone géographique AWS (eu-west-3 = Paris)

Profil

Configuration nommée pour un compte AWS

ARN

Identifiant unique d'une ressource AWS

Syntaxe complète

aws [options] <service> <action> [paramètres]
aws [options] <service> help                    # Aide sur un service
aws [options] <service> <action> help           # Aide sur une action

Les 3 parties d’une commande AWS CLI

La commande aws suit toujours la même logique :

Partie	Question	Exemples	Obligatoire ?
Service	Quel service AWS interroger ?	s3, ec2, iam, rds, lambda	✅ Oui
Action	Que faire sur ce service ?	ls, describe-instances, create-bucket	✅ Oui
Options/Paramètres	Comment filtrer ou formater ?	--output table, --region eu-west-3, --filters	❌ Non (valeurs par défaut)

Glissez pour voir

Service — Le service AWS que vous voulez interroger (S3 pour le stockage, EC2 pour les machines virtuelles, IAM pour les accès…). AWS CLI couvre 200+ services.

Action — L’opération à effectuer : lister (ls, describe-*, list-*), créer (create-*), supprimer (delete-*, terminate-*), modifier (update-*, modify-*).

Options/Paramètres (optionnels) — Modifient le comportement : changer la région, le format de sortie, filtrer les résultats. Sans options, AWS utilise les valeurs de ~/.aws/config.

Exemple concret :

# Service=ec2, Action=describe-instances, Options=--output table
aws ec2 describe-instances --output table
#   ↑     ↑                  ↑
# service action           options

Options globales

Options globales principales :

Option	Description	Exemple
--profile NOM	Utilise un profil spécifique	aws s3 ls --profile production
--region REGION	Force une région	aws ec2 describe-instances --region eu-west-3
--output FORMAT	Format de sortie (json/table/text/yaml)	aws s3 ls --output table
--query EXPR	Filtre les résultats (JMESPath)	aws ec2 describe-instances --query 'Reservations[].Instances[].InstanceId'
--filters NAME=X,Values=Y	Filtre côté serveur	aws ec2 describe-instances --filters 'Name=instance-state-name,Values=running'

Glissez pour voir

Quelques commandes

voici des exemples concrets de commandes AWS CLI courantes :

# Forme minimale : service + action
aws s3 ls

# Avec paramètres
aws s3 ls s3://mon-bucket

# Avec options globales
aws ec2 describe-instances --output table --region eu-west-3

# Avec filtrage serveur
aws ec2 describe-instances --filters 'Name=instance-state-name,Values=running'

# Avec filtrage client (--query)
aws ec2 describe-instances --query 'Reservations[].Instances[].[InstanceId,State.Name]'

# Avec profil
aws s3 ls --profile production

# Depuis un pipe (moins courant)
echo "mon-bucket" | xargs -I {} aws s3 ls s3://{}

Découvrir les services AWS par vous-même

AWS propose plus de 200 services (RDS, Lambda, IAM, CloudWatch, DynamoDB…). Il est impossible de tous les documenter dans un seul guide. Mais la bonne nouvelle, c’est que vous savez déjà chercher.

Méthode de découverte efficace

Pour apprendre un nouveau service AWS :

1. aws SERVICE help → comprendre ce que fait le service
2. aws SERVICE <Tab><Tab> → voir les actions disponibles
3. aws SERVICE describe-* → commencer par lire (describe/list/get)
4. aws SERVICE ACTION --generate-cli-skeleton → voir les paramètres requis

Exemple avec RDS (bases de données) :

# 1. Lire la doc
aws rds help

# 2. Voir les actions
aws rds <Tab><Tab>

# 3. Lister les bases de données
aws rds describe-db-instances --output table

# 4. Voir comment créer une base
aws rds create-db-instance --generate-cli-skeleton

Règle d’or : sur AWS CLI, 90% des services suivent les mêmes conventions :

• describe-* ou list-* pour lire
• create-* pour créer
• delete-* ou terminate-* pour supprimer
• update-* ou modify-* pour modifier

Trois techniques pour explorer un nouveau service :

1. Lister les commandes disponibles avec help

   # Voir tous les services disponibles
   aws help
   
   # Voir toutes les actions d'un service
   aws rds help

   Appuyez sur q pour quitter l’aide. Utilisez / pour chercher un mot-clé.

2. Utiliser l’auto-complétion pour découvrir

   Si vous avez activé l’autocomplétion (voir section “Confort”), tapez aws puis Tab Tab pour voir tous les services :

   aws <Tab><Tab>
   # Affiche : s3, ec2, rds, lambda, iam, cloudwatch...

   Puis sur un service :

   aws rds <Tab><Tab>
   # Affiche : describe-db-instances, create-db-instance, delete-db-instance...

3. Activer l’autoprompt interactif

   L’autoprompt vous guide en temps réel avec des suggestions contextuelles :

   aws rds --cli-auto-prompt

   Utilisez les flèches pour naviguer, Tab pour compléter, F3 pour voir la doc de l’option sélectionnée.

Maintenant que vous savez explorer, passons au filtrage pour rendre ces sorties exploitables.

Étape 5 — Filtrer les résultats

Le JSON retourné par AWS peut être volumineux. Deux méthodes pour n’afficher que l’essentiel.

Méthode 1 : —output table + colonnes

Pour un affichage lisible immédiat :

aws ec2 describe-instances \
  --query 'Reservations[*].Instances[*].[InstanceId,State.Name,InstanceType]' \
  --output table

Résultat

-----------------------------------------
|          DescribeInstances            |
+----------------------+---------+------+
|  i-0abc123def456     | running | t3.micro |
|  i-0def789abc012     | stopped | t3.small |
+----------------------+---------+------+

Méthode 2 : —filters (côté serveur)

Les filtres --filters sont traités par AWS avant l’envoi des données. Plus rapide pour les gros listings :

# Uniquement les instances en cours d'exécution
aws ec2 describe-instances --filters "Name=instance-state-name,Values=running"

Progression —query (du simple au complet)

Commencez simple, puis affinez :

# 1. Extraire UN champ
aws ec2 describe-regions --query 'Regions[].RegionName'

# 2. Extraire DEUX champs
aws ec2 describe-instances --query 'Reservations[].Instances[].[InstanceId,State.Name]'

# 3. Filtrer + extraire
aws ec2 describe-instances \
  --query 'Reservations[].Instances[?State.Name==`running`].InstanceId' \
  --output text

JMESPath

La syntaxe --query utilise JMESPath. Vous n’avez pas besoin de tout apprendre : copiez les exemples et adaptez-les.

Étape 6 — Gérer plusieurs comptes (profils)

Si vous travaillez avec plusieurs comptes AWS (dev, staging, prod), créez des profils séparés.

Créer un profil

aws configure --profile production

Utiliser un profil

aws s3 ls --profile production

Ou définissez-le pour toute la session :

export AWS_PROFILE=production
aws s3 ls  # utilise automatiquement "production"

Lister les profils configurés

aws configure list-profiles

Où sont stockés les profils ?

Deux fichiers dans ~/.aws/ :

~/.aws/credentials

[default]
aws_access_key_id = AKIA...
aws_secret_access_key = wJalr...

[production]
aws_access_key_id = AKIA...
aws_secret_access_key = wJalr...

~/.aws/config

[default]
region = eu-west-3
output = json

[profile production]
region = eu-west-1
output = table

Recettes du quotidien

Ces recettes couvrent les cas d'usage les plus fréquents. Cliquez sur un pattern pour voir la formule complète et un exemple prêt à copier.

Tous Base Inter. Avancé

Vérifier son identité Base

Confirmer le compte AWS actif avant toute action

aws sts get-caller-identity --profile production

Formule aws sts get-caller-identity

Exemple

aws sts get-caller-identity --profile production

📋

Lister les buckets S3 Base

Voir tous les buckets du compte

aws s3 ls --profile mon-compte

Formule aws s3 ls

Exemple

aws s3 ls --profile mon-compte

📋

Explorer un bucket Base

Voir le contenu d'un bucket avec tailles lisibles

aws s3 ls s3://mon-backup --recursive --human-readable --summarize

Formule aws s3 ls s3://BUCKET --recursive --human-readable

Exemple

aws s3 ls s3://mon-backup --recursive --human-readable --summarize

📋

Paramètres

• BUCKET — Nom du bucket S3

Lister les régions Base

Voir toutes les régions AWS disponibles

aws ec2 describe-regions --query 'Regions[].RegionName' --output text

Formule aws ec2 describe-regions --output table

Exemple

aws ec2 describe-regions --query 'Regions[].RegionName' --output text

📋

Lister les instances EC2 Base

Voir les instances avec ID, état et type

aws ec2 describe-instances --output table

Formule aws ec2 describe-instances --query 'Reservations[].Instances[].[InstanceId,State.Name,InstanceType]' --output table

Exemple

aws ec2 describe-instances --output table

📋

Instances en cours Base

Filtrer les instances running uniquement

aws ec2 describe-instances --filters 'Name=instance-state-name,Values=running' --query 'Reservations[].Instances[].InstanceId' --output text

Formule aws ec2 describe-instances --filters 'Name=instance-state-name,Values=running'

Exemple

aws ec2 describe-instances --filters 'Name=instance-state-name,Values=running' --query 'Reservations[].Instances[].InstanceId' --output text

📋

Lister les utilisateurs IAM Base

Voir tous les utilisateurs du compte

aws iam list-users --query 'Users[].[UserName,CreateDate]' --output table

Formule aws iam list-users --output table

Exemple

aws iam list-users --query 'Users[].[UserName,CreateDate]' --output table

📋

Voir la config active Base

Diagnostic : quelle config est utilisée ?

aws configure list --profile production

Formule aws configure list

Exemple

aws configure list --profile production

📋

Lister les profils Base

Voir tous les profils configurés

aws configure list-profiles

Formule aws configure list-profiles

Exemple

aws configure list-profiles

📋

Utiliser un profil Base

Exécuter une commande sur un autre compte

aws s3 ls --profile production

Formule aws COMMAND --profile PROFILE

Exemple

aws s3 ls --profile production

📋

Paramètres

• PROFILE — Nom du profil dans ~/.aws/config

Alternative : export AWS_PROFILE=production

Pièges courants

Ces erreurs courantes peuvent faire perdre du temps ou causer des dégâts. Les pièges les plus critiques sont affichés en premier.

Exécuter sur le mauvais compte

aws ec2 terminate-instances --instance-ids i-xxx

Danger

Le piège : aws ec2 terminate-instances --instance-ids i-xxx

Symptôme : Instance de production supprimée au lieu de dev

Cause : Le profil par défaut pointe vers production

Correction : Toujours vérifier avec aws sts get-caller-identity avant une commande destructrice

aws sts get-caller-identity && aws ec2 terminate-instances --instance-ids i-xxx --profile dev

Credentials dans Git

Fichier .env ou code avec aws_access_key_id = AKIA...

Danger

Le piège : Fichier .env ou code avec aws_access_key_id = AKIA...

Symptôme : Compte AWS compromis, factures astronomiques

Cause : Clés commitées dans le repo, scannées par des bots en quelques minutes

Correction : Utiliser ~/.aws/credentials ou des variables d'environnement, jamais dans le code

Région non configurée

aws ec2 describe-instances

Attention

Le piège : aws ec2 describe-instances

Symptôme : You must specify a region ou résultats vides

Cause : Pas de région par défaut dans ~/.aws/config

Correction : Ajouter --region eu-west-3 ou configurer une région par défaut

aws ec2 describe-instances --region eu-west-3

Variable d'environnement oubliée

export AWS_PROFILE=prod (fait il y a 2 heures)

Attention

Le piège : export AWS_PROFILE=prod (fait il y a 2 heures)

Symptôme : Commandes exécutées sur le mauvais compte malgré --profile dev

Cause : AWS_ACCESS_KEY_ID ou AWS_PROFILE dans l'environnement a priorité

Correction : Vérifier avec env | grep AWS_ et unset les variables indésirables

env | grep AWS_ && unset AWS_PROFILE AWS_ACCESS_KEY_ID

Confort au quotidien

Désactiver le pager

Par défaut, AWS CLI ouvre less pour les longues sorties. Pour désactiver :

# Ponctuel
aws s3 ls --no-cli-pager

# Permanent (dans ~/.aws/config)
[default]
cli_pager =

# Ou via variable d'environnement
export AWS_PAGER=""

Activer l’autocomplétion

# Trouver le chemin
which aws_completer

# Bash
echo 'complete -C /usr/local/bin/aws_completer aws' >> ~/.bashrc
source ~/.bashrc

# Zsh
echo 'autoload bashcompinit && bashcompinit' >> ~/.zshrc
echo 'complete -C /usr/local/bin/aws_completer aws' >> ~/.zshrc
source ~/.zshrc

Découvrir avec l’autoprompt

L’autoprompt suggère les commandes et options en temps réel :

# Activer ponctuellement
aws ec2 --cli-auto-prompt

# Activer par défaut
export AWS_CLI_AUTO_PROMPT=on

Utilisez les flèches pour naviguer, Tab pour compléter, F3 pour la doc.

Formats de sortie

Format	Usage	Exemple
json	Scripts, parsing avec jq	--output json
table	Lecture humaine	--output table
text	Scripts shell simples	--output text
yaml	Lisibilité, configs	--output yaml

Glissez pour voir

# Comparer les formats
aws ec2 describe-regions --output json
aws ec2 describe-regions --output table
aws ec2 describe-regions --query 'Regions[].RegionName' --output text

Aide-mémoire

📋 Cheatsheet aws

Imprimer

Pour aller plus loin

Filtrage avancé avec JMESPath Maîtrisez les requêtes --query pour extraire exactement ce dont vous avez besoin

---

Annexe : endpoints personnalisés (clouds compatibles)

Pour utilisateurs avancés

Cette section concerne l’utilisation d’AWS CLI avec des clouds compatibles S3 (MinIO, Outscale, Scaleway…). Ignorez-la si vous débutez avec AWS.

AWS CLI fonctionne avec tout service compatible S3/EC2 :

# S3 vers MinIO local
aws s3 ls --endpoint-url http://localhost:9000

# S3 vers Outscale
aws s3 ls --endpoint-url https://oos.eu-west-2.outscale.com --profile outscale

Configuration permanente dans ~/.aws/config :

~/.aws/config

[profile outscale-s3]
region = eu-west-2
output = json
services = outscale-services

[services outscale-services]
s3 =
  endpoint_url = https://oos.eu-west-2.outscale.com
ec2 =
  endpoint_url = https://fcu.eu-west-2.outscale.com

Service Outscale	Endpoint
S3 (OOS)	https://oos.{region}.outscale.com
EC2 (FCU)	https://fcu.{region}.outscale.com

Glissez pour voir

---

Annexe : alias et scripts (niveau intermédiaire)

Alias simples

Créez des raccourcis dans ~/.aws/cli/alias :

~/.aws/cli/alias

[toplevel]
whoami = sts get-caller-identity
ls-buckets = s3 ls
ls-instances = ec2 describe-instances --query 'Reservations[].Instances[].[InstanceId,State.Name,InstanceType]' --output table

Utilisation :

aws whoami
aws ls-buckets
aws ls-instances

Alias avec scripts (avancé)

~/.aws/cli/alias

[toplevel]
myip =
  !f() {
    curl -s https://ifconfig.me
  }; f

authorize-my-ip =
  !f() {
    ip=$(curl -s https://ifconfig.me)
    aws ec2 authorize-security-group-ingress --group-id ${1} --cidr $ip/32 --protocol tcp --port 22
  }; f

---

Annexe : options avancées

Mode debug

Pour diagnostiquer les erreurs d’authentification :

aws sts get-caller-identity --debug 2>&1 | head -50

Dry-run (simulation)

Certaines commandes EC2 supportent --dry-run :

aws ec2 run-instances --dry-run --image-id ami-xxx --instance-type t3.micro

Pagination

Pour les gros listings :

# Désactiver la pagination automatique
aws ec2 describe-instances --no-paginate

# Limiter le nombre de résultats
aws iam list-users --max-items 100

Générer un squelette JSON

Pour les commandes complexes :

aws ec2 run-instances --generate-cli-skeleton > instance-params.json
# Éditez le fichier, puis :
aws ec2 run-instances --cli-input-json file://instance-params.json

×

📖 Voir la documentation →