如何在aws cli中全局启用-不验证--ssl，以及如何禁用它？

Question

我得到了一个SSL验证失败，而我的S3代码正在尝试与S3桶交互。错误进一步说明

无法获得本地颁发者证书。(_ssl.c:1131)

这个问题最终将以合法的方式得到解决。

但是，现在，我需要一个快速的解决办法。许多答案提到了使用--no-verify-ssl的风险，但没有人告诉如何使用它。

有可能在全球范围内实现这一点吗？另外，当问题以正确的方式修复时，我可以禁用它吗？

Answer 1

不要使用--no-verify-ssl。这样做会让自己对中间人的攻击敞开心扉，而忽视你在共同责任模式下的义务。

如果您没有在环境的信任存储中安装CA，可以使用--ca-bundle选项或ca_bundle配置键手动传递CA包。

示例用法

1. 创建AWS CA包

 curl https://www.amazontrust.com/repository/{SFSRootCAG2,AmazonRootCA4,AmazonRootCA3,AmazonRootCA2,AmazonRootCA1}.pem >> ~/.aws/ca_bundle.pem

1. 配置SDK (选择)
   • 将其添加到配置文件 at ~/.aws/config。如果安装了CLI，它应该存在，可以使用命令：aws configure set ca_bundle '~/.aws/ca_bundle.pem'进行设置。
   • 将其作为环境变量：AWS_CA_BUNDLE='~/.aws/ca_bundle.pem' https://docs.aws.amazon.com/cli/latest/reference/index.html https://www.amazontrust.com/repository/传递