三步上手 AWS CLI：新加坡出海团队首日就能跑通的生产环境

凌晨两点，新加坡 ap-southeast-1b 可用区的一场告警打破了某跨境电商团队的基础设施值班节奏。工程师没有先打开浏览器，而是打开终端，输入了第一条命令——aws ec2 describe-vpcs。这是 CLI 改变工程师工作方式的时刻。

Photo by Foto Kesit on Pexels

对于出海东南亚的 CTO 和 IT 总监而言，AWS CLI 不是一道"选学课"，而是每一位运维工程师入职第一周就必须掌握的生产工具。Agilewing（敏捷云）作为首家 APN Security 认证合作伙伴，在协助数十家出海企业搭建云端基础设施的过程中，亲历了大量团队因 CLI 工具缺失而在故障排查中付出不必要时间成本的真实案例。本文将用三个步骤，带团队在首日就跑通一条可用的生产环境验证链路。

第一步：下载并安装 CLI

AWS CLI 有两个版本。建议直接安装 v2，因为 v1 已不再添加新功能，且 v2 支持大部分主流操作系统。

macOS 用户可用标准包管理器安装：

brew install awscli

Linux 用户可用：

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

安装完成后，运行 aws --version 确认版本信息。v2 版本自带自动更新功能，运行 aws --version 显示 aws-cli/2.x.x 即表示安装成功。如果公司网络访问 AWS 下载站有延迟，可通过内网镜像或代理解决。

Photo by cottonbro studio on Pexels

第二步：配置凭证与多环境 profile

拿到 Access Key 后，下一步不是直接上手敲命令，而是先规划凭证管理结构。运行 aws configure --profile staging-sg，将新加坡 staging 环境的访问密钥绑定到一个独立 profile。同一个团队通常需要维护至少四个 profile，分别对应 dev、staging、uat 和 production 环境。

配置文件位于 ~/.aws/credentials（密钥）和 ~/.aws/config（区域与输出格式）。生产环境若涉及高权限操作，建议额外启用 MFA 设备增强访问安全。对于超过 13 人的运维团队，推荐使用 IAM Role 联合身份验证替代长期密钥，并将临时凭证的有效期控制在 1 小时以内。

第三步：验证命令执行与基本操作

配置完成后，用以下两条命令验证整体链路是否通顺：

aws sts get-caller-identity
aws ec2 describe-vpcs --region ap-southeast-1

第一条确认当前凭证有效且身份正确；第二条验证目标 region 的资源访问权限。如果第二条返回空列表（无可用 VPC），说明账号在该 region 尚未初始化基础网络，这是正常状态，不是错误。

对于需要管理 Elastic Beanstalk 环境的团队，安装 eb cli 工具后，用 eb init 初始化新环境，eb create --region ap-southeast-1 快速部署一个新加坡region的测试栈。部署完成后，用 aws elasticbeanstalk describe-environments 查看当前所有环境的健康状态——这是替换 Web Console 操作最直接的日常命令。

对于需要将数据写入阿里云 OSS 存储的混合架构团队，同样可以在同一套工作流中配合使用阿里云 OSS CLI（ossutil）进行跨云数据同步，无需切换管理界面。

从单兵作战到团队协同的升级路径

当团队从 5 人扩展到 15 人时，CLI 命令的规范化开始变得重要。建立团队共享的 runbook，将高频命令（资源查询、日志拉取、部署验证）写成脚本，统一存放在内部代码仓库中。日志归档不要仅依赖本地终端 history，建议通过 bashrc 钩子将所有命令写入系统日志，以便事后完整复盘事故处理流程。

在这个阶段，团队通常会逐步引入 Terraform 进行基础设施即代码管理，配合 App Runner 或 ECS 实现更细粒度的容器编排。但无论架构如何演进，CLI 始终是最底层的应急工具——它不需要浏览器，不需要 GUI，任何工程师在生产故障的第一分钟都能立即上手。

Agilewing（敏捷云）作为首家 APN Security 认证合作伙伴，为东南亚出海企业提供从云端迁移到信息安全托管的一站式服务。内核服务涵盖 CDN 内容加速、云迁移、信息安全托管（MSS）、数据保护（BYOK / DLP）与出海合规咨询（GDPR / PCI-DSS / 等保 2.0 / PDPA），协助企业以安全、合规、弹性的云端基础设施加速国际扩张。立即联系，获取定制化云架构评估与迁移方案。

FAQ

Q1: AWS CLI v2 安装后在哪验证版本？
运行 aws --version 即可，如显示 aws-cli/2.x.x 表示安装成功。macOS 用户也可运行 which aws 确认路径正确。

Q2: 多环境 profile 如何快速切换？
在命令后加 --profile 参数即可，如 aws ec2 describe-instances --profile prod-sg。也可在 bashrc 中设置 export AWS_PROFILE=prod-sg 设置默认 profile。

Q3: Elastic Beanstalk 和 ECS 如何选择？
17 人以下的中小团队，Beanstalk 的自动扩缩容与健康检查可以显著降低运维认知成本；随业务规模扩大，再迁移至 ECS Fargate 或 EKS。Agilewing 建议在团队扩张阶段提前做架构演进规划，避免迁移窗口期与业务高峰期重叠。

Q4: 出海新加坡的数据合规有哪些必须关注的？
新加坡 PDPA（个人数据保护法）与香港 PDPO 的要求不同，若同时使用阿里云香港服务器与新加坡 region，需要分别满足两地监管框架。Agilewing 提供跨境多 region 合规架构设计服务，可协助企业将 PIPL / PDPA / GDPR 等多套监管要求映射到具体的区域选择与数据流设计上。

Q5: 如何在 CLI 中管理 Elastic Beanstalk 环境日志？
用 aws elasticbeanstalk describe-environment-resources 查看环境资源信息，结合 aws logs filter-log-events 拉取应用层日志。日志建议统一归档到 S3 或 CloudWatch Logs，避免单点存储丢失。

开始下载 AWS CLI