nukengprodservice/aws-cli Docker 镜像 - 轩辕镜像

NUK Engineering Productivity aws-cli 镜像文档

镜像概述

本镜像由NUK Engineering Productivity团队维护，基于AWS官方aws-cli工具构建，提供标准化的AWS命令行交互环境。旨在简化团队与AWS云服务的集成流程，确保开发、测试和生产环境中aws-cli版本及配置的一致性，提升工程团队整体工作效率。

核心功能与特性

• 集成最新稳定版AWS CLI，支持所有AWS服务的命令行操作（如S3、EC2、Lambda、CloudFormation等）
• 提供统一的运行环境，避免因本地aws-cli版本差异导致的兼容性问题
• 轻量级设计，基于官方精简基础镜像，减少资源占用和启动时间
• 支持多种认证方式（环境变量、配置文件挂载等），适配不同使用场景
• 兼容主流容器化工具（Docker、Docker Compose、Kubernetes），便于集成到自动化流程

使用场景与适用范围

• 开发环境：开发人员本地通过命令行管理AWS资源（如创建S3存储桶、调试Lambda函数）
• CI/CD流水线：在持续集成/部署流程中自动执行AWS操作（如部署应用至ECS、更新API Gateway配置）
• 运维自动化：编写批量管理脚本，通过容器化方式执行AWS资源巡检、备份、扩容等任务
• 团队协作：统一团队aws-cli版本和基础配置，降低跨成员协作时的环境配置成本

使用方法与配置说明

1. 拉取镜像

bash
docker pull nuk-engineering-productivity/aws-cli:latest

注：生产环境建议使用具体版本标签（如:1.29.0）以确保稳定性，版本号与AWS官方aws-cli版本同步

2. 基础验证

运行以下命令验证镜像可用性及aws-cli版本：

bash
docker run --rm nuk-engineering-productivity/aws-cli:latest aws --version

预期输出示例：aws-cli/1.29.0 Python/3.9.16 Linux/5.15.0-78-generic botocore/1.31.0

3. 认证配置

与AWS服务交互需提供认证信息，支持以下两种主流方式：

方式一：环境变量注入（临时任务推荐）

通过-e参数传递AWS访问密钥和区域信息：

bash
docker run --rm \
  -e AWS_ACCESS_KEY_ID="AKIAEXAMPLEKEY" \
  -e AWS_SECRET_ACCESS_KEY="example-secret-key" \
  -e AWS_REGION="us-east-1" \
  nuk-engineering-productivity/aws-cli:latest \
  aws s3 ls  # 示例操作：列出S3存储桶

必填环境变量：

• AWS_ACCESS_KEY_ID：AWS访问密钥ID（IAM用户或角色凭证）
• AWS_SECRET_ACCESS_KEY：对应密钥的秘钥值 可选环境变量：
• AWS_REGION：默认AWS区域（如未指定，需在命令中通过--region参数显式指定）
• AWS_SESSION_TOKEN：临时会话令牌（用于MFA或角色切换场景）

方式二：本地配置文件挂载（长期使用推荐）

将本地~/.aws目录（包含credentials和config文件）挂载至容器，使容器复用本地AWS配置：

bash
docker run --rm \
  -v ~/.aws:/root/.aws \  # 挂载本地AWS配置目录
  nuk-engineering-productivity/aws-cli:latest \
  aws ec2 describe-instances --region ap-southeast-1  # 示例：查询EC2实例信息

本地配置文件格式参考AWS官方规范，~/.aws/credentials存储密钥，~/.aws/config存储区域、输出格式等默认配置

4. Docker Compose集成示例

对于需要持久化配置或多步骤操作的场景，可使用docker-compose.yml定义服务：

yaml
version: '3.8'
services:
  aws-cli:
    image: nuk-engineering-productivity/aws-cli:1.29.0
    volumes:
      - ~/.aws:/root/.aws:ro  # 只读挂载本地配置，避免容器内修改
      - ./aws-scripts:/scripts  # 挂载本地脚本目录
    environment:
      - AWS_REGION=eu-west-1  # 默认区域
    command: sh -c "aws s3 sync /scripts s3://nuk-team-scripts && aws cloudformation update-stack --stack-name my-stack --template-body file:///scripts/template.yaml"

启动命令：docker-compose up

5. 常用操作示例

• 列出S3存储桶：

  bash
  docker run --rm -v ~/.aws:/root/.aws nuk-engineering-productivity/aws-cli:latest aws s3 ls
  

• 查看EC2实例详情：

  bash
  docker run --rm -v ~/.aws:/root/.aws nuk-engineering-productivity/aws-cli:latest aws ec2 describe-instances --instance-ids i-0abc1234def567890
  

• 部署Lambda函数：

  bash
  docker run --rm -v ~/.aws:/root/.aws -v $(pwd):/app nuk-engineering-productivity/aws-cli:latest aws lambda update-function-code --function-name my-function --zip-file fileb:///app/lambda-deploy.zip
  

注意事项

• 敏感信息安全：避免在命令行或配置文件中硬编码AWS密钥，生产环境建议使用IAM角色（如ECS任务角色、EKS服务账户）或密钥管理服务（如AWS Secrets Manager）
• 配置文件权限：本地~/.aws目录权限需设置为600（仅所有者可读写），避免容器内权限错误
• 版本管理：定期更新镜像版本以获取AWS CLI功能更新和安全补丁，可通过docker pull命令更新本地镜像缓存
• 资源清理：使用--rm参数确保临时容器在任务完成后自动删除，避免残留容器占用资源