Proveedores de credencial - AWS SDK for JavaScript
Proveedor de credenciales predeterminadoCredenciales temporalesCredenciales de identidad de Amazon CognitoCredencial de metadatos de EC2 (IMDS)Credenciales ECSCredenciales del sistema de archivosProveedor de credenciales SAMLCredenciales del archivo de credenciales compartidoCredenciales de identidad webCredenciales de federación de identidades web

La guía de API referencia de la versión AWS SDK for JavaScript 3 describe en detalle todas las API operaciones de la AWS SDK for JavaScript versión 3 (V3).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Proveedores de credencial

En la versión 2, el SDK JavaScript proporciona una lista de proveedores de credenciales entre los que elegir, así como una cadena de proveedores de credenciales, disponible de forma predeterminada en Node.js, que intenta cargar las AWS credenciales de todos los proveedores más comunes. El SDK para la JavaScript versión 3 simplifica la interfaz del proveedor de credenciales, lo que facilita el uso y la creación de proveedores de credenciales personalizados. Además de una nueva cadena de proveedores de credenciales, el SDK de la versión JavaScript 3 incluye una lista de proveedores de credenciales que pretenden ofrecer una versión equivalente a la versión 2.

Estos son todos los proveedores de credenciales de la versión 2 y sus equivalentes de la versión 3.

Proveedor de credenciales predeterminado

El proveedor de credenciales predeterminado es la forma en que el SDK JavaScript resuelve la AWS credencial si no se proporciona una de forma explícita.

Credenciales temporales

  • v2: ChainableTemporaryCredentialsrepresenta las credenciales temporales recuperadas deAWS.STS. Sin ningún parámetro adicional, las credenciales se obtendrán de la AWS.STS.getSessionToken() operación. Si se proporciona una función de IAM, la AWS.STS.assumeRole() operación se utilizará en su lugar para obtener las credenciales de la función. AWS.ChainableTemporaryCredentialsdifiere de la forma AWS.TemporaryCredentials en que se gestionan las MasterCredentials y las actualizaciones. AWS.ChainableTemporaryCredentialsactualiza las credenciales caducadas utilizando las MasterCredentials transferidas por el usuario para permitir el encadenamiento de las credenciales de STS. Sin embargo, contrae las MasterCredentials de AWS.TemporaryCredentials forma recursiva durante la instanciación, lo que impide actualizar las credenciales que requieren credenciales intermedias y temporales.

    El original TemporaryCredentialsha quedado obsoleto en favor de la versión 2. ChainableTemporaryCredentials

  • v3:. fromTemporaryCredentials Puedes llamar fromTemporaryCredentials() desde el @aws-sdk/credential-providers paquete. A continuación se muestra un ejemplo: 

    import { FooClient } from "@aws-sdk/client-foo";
import { fromTemporaryCredentials } from "@aws-sdk/credential-providers"; // ES6 import
// const { FooClient } = require("@aws-sdk/client-foo");
// const { fromTemporaryCredentials } = require("@aws-sdk/credential-providers"); // CommonJS import

const sourceCredentials = {
  // A credential can be a credential object or an async function that returns a credential object
};
const client = new FooClient({
  credentials: fromTemporaryCredentials({
    masterCredentials: sourceCredentials,
    params: { RoleArn },
  }),
});

Credenciales de identidad de Amazon Cognito

Cargue las credenciales del servicio Amazon Cognito Identity, que se utiliza normalmente en los navegadores.

  • v2: CognitoIdentityCredentialsRepresenta las credenciales recuperadas de STS Web Identity Federation mediante el servicio Amazon Cognito Identity.

  • v3: Cognito Identity Credential ProviderEl @aws/credential-providerspaquete proporciona dos funciones de proveedor de credenciales, una de las cuales fromCognitoIdentitytoma un identificador de identidad y realiza llamadascognitoIdentity:GetCredentialsForIdentity, mientras que la otra utiliza un identificador de grupo de identidades, fromCognitoIdentityPoolrealiza la primera invocación y, a continuación, llamacognitoIdentity:GetId. fromCognitoIdentity Las invocaciones posteriores de esta última no se vuelven a invocar. GetId

    El proveedor implementa el «flujo simplificado» que se describe en la Guía para desarrolladores de Amazon Cognito. No se admite el «flujo clásico», que implica llamar cognito:GetOpenIdToken y luego llamarsts:AssumeRoleWithWebIdentity. Envíanos una solicitud de función si la necesitas. 

    // fromCognitoIdentityPool example
import { fromCognitoIdentityPool } from "@aws-sdk/credential-providers"; // ES6 import
// const { fromCognitoIdentityPool } = require("@aws-sdk/credential-providers"); // CommonJS import

const client = new FooClient({
  region: "us-east-1",
  credentials: fromCognitoIdentityPool({
    clientConfig: cognitoIdentityClientConfig, // Optional
    identityPoolId: "us-east-1:1699ebc0-7900-4099-b910-2df94f52a030",
    customRoleArn: "arn:aws:iam::1234567890:role/MYAPP-CognitoIdentity", // Optional
    logins: {
      // Optional
      "graph.facebook.com": "FBTOKEN",
      "www.amazon.com": "AMAZONTOKEN",
      "api.twitter.com": "TWITTERTOKEN",
    },
  }),
});

    // fromCognitoIdentity example
import { fromCognitoIdentity } from "@aws-sdk/credential-providers"; // ES6 import
// const { fromCognitoIdentity } = require("@aws-sdk/credential-provider-cognito-identity"); // CommonJS import

const client = new FooClient({
  region: "us-east-1",
  credentials: fromCognitoIdentity({
    clientConfig: cognitoIdentityClientConfig, // Optional
    identityId: "us-east-1:128d0a74-c82f-4553-916d-90053e4a8b0f",
    customRoleArn: "arn:aws:iam::1234567890:role/MYAPP-CognitoIdentity", // Optional
    logins: {
      // Optional
      "graph.facebook.com": "FBTOKEN",
      "www.amazon.com": "AMAZONTOKEN",
      "api.twitter.com": "TWITTERTOKEN",
    },
  }),
});

Credencial de metadatos de EC2 (IMDS)

Representa las credenciales recibidas del servicio de metadatos en una instancia de Amazon EC2.

  • v2: EC2MetadataCredentials

  • v3: fromInstanceMetadata: Crea un proveedor de credenciales que obtendrá las credenciales del servicio de metadatos de instancias Amazon EC2. 

    import { fromInstanceMetadata } from "@aws-sdk/credential-providers"; // ES6 import
// const { fromInstanceMetadata } = require("@aws-sdk/credential-providers"); // CommonJS import

const client = new FooClient({
  credentials: fromInstanceMetadata({
    maxRetries: 3, // Optional
    timeout: 0, // Optional
  }),
});

Credenciales ECS

Representa las credenciales recibidas de la URL especificada. Este proveedor solicitará credenciales temporales del URI especificado por la variable de entorno AWS_CONTAINER_CREDENTIALS_RELATIVE_URI o por la variable de AWS_CONTAINER_CREDENTIALS_FULL_URI entorno.

  • v2: ECSCredentials o RemoteCredentials.

  • v3: fromContainerMetadatacrea un proveedor de credenciales que obtendrá las credenciales del Amazon ECS Container Metadata Service. 

    import { fromContainerMetadata } from "@aws-sdk/credential-providers"; // ES6 import

const client = new FooClient({
  credentials: fromContainerMetadata({
    maxRetries: 3, // Optional
    timeout: 0, // Optional
  }),
});

Credenciales del sistema de archivos

  • v2: FileSystemCredentialsrepresenta las credenciales de un archivo JSON del disco.

  • v3: Obsoleto. Puede leer explícitamente el archivo JSON y proporcionárselo al cliente. Si la necesitas, envíanos una solicitud de función.

Proveedor de credenciales SAML

Credenciales del archivo de credenciales compartido

Carga las credenciales del archivo de credenciales compartido (predeterminado ~/.aws/credentials o definido por la variable de AWS_SHARED_CREDENTIALS_FILE entorno). Este archivo es compatible con diferentes AWS SDK y herramientas. Puedes consultar el documento de archivos de configuración y credenciales compartidos para obtener más información.

  • v2: SharedIniFileCredentials

  • v3: fromIni. 

    
import { fromIni } from "@aws-sdk/credential-providers";
// const { fromIni } from("@aws-sdk/credential-providers");

const client = new FooClient({
  credentials: fromIni({
    configFilepath: "~/.aws/config", // Optional
    filepath: "~/.aws/credentials", // Optional
    mfaCodeProvider: async (mfaSerial) => {
      // implement a pop-up asking for MFA code
      return "some_code";
    }, // Optional
    profile: "default", // Optional
    clientConfig: { region }, // Optional
  }),
});

Credenciales de identidad web

Recupera las credenciales mediante el token OIDC de un archivo en el disco. Se usa habitualmente en EKS.

  • v2: TokenFileWebIdentityCredentials.

  • v3: fromTokenFile 

    
import { fromTokenFile } from "@aws-sdk/credential-providers"; // ES6 import
// const { fromTokenFile } from("@aws-sdk/credential-providers"); // CommonJS import

const client = new FooClient({
  credentials: fromTokenFile({
    // Optional. If skipped, read from `AWS_ROLE_ARN` environmental variable
    roleArn: "arn:xxxx",
    // Optional. If skipped, read from `AWS_ROLE_SESSION_NAME` environmental variable
    roleSessionName: "session:a",
    // Optional. STS client config to make the assume role request.
    clientConfig: { region },
  }),
});

Credenciales de federación de identidades web

Recupera las credenciales del soporte de federación de identidades web de STS.

  • v2: WebIdentityCredentials

  • v3: fromWebToken 

    
import { fromWebToken } from "@aws-sdk/credential-providers"; // ES6 import
// const { fromWebToken } from("@aws-sdk/credential-providers"); // CommonJS import

const client = new FooClient({
  credentials: fromWebToken({
    // Optional. If skipped, read from `AWS_ROLE_ARN` environmental variable
    roleArn: "arn:xxxx",
    // Optional. If skipped, read from `AWS_ROLE_SESSION_NAME` environmental variable
    roleSessionName: "session:a",
    // Optional. STS client config to make the assume role request.
    clientConfig: { region },
  }),
});