使用AWS证书 - AWS SDK for Java1.x

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用AWS证书

要向发出请求Amazon Web Services,您必须向提供AWS证书AWS SDK for Java。您可以通过下列方式来执行此操作:

  • 使用默认凭证提供程序链(推荐)

  • 使用特定的凭证提供程序或提供程序链 (或创建您自己的)。

  • 自行提供凭证。这些证书可以是根账户证书、IAM 证书或从中检索的临时证书AWS STS。

重要

出于安全考虑,我们强烈建议使用 IAM 用户而不是根账户进行AWS访问。有关更多信息,请参阅IAM用户指南中的 IAM 最佳实践

使用默认凭证提供程序链

当您在不提供任何参数的情况下初始化新的服务客户端时,会AWS SDK for Java尝试使用 DefaultAWSCredentialsProviderChain 类实现的默认凭证提供程序链来查找AWS证书。默认凭证提供程序链将按此顺序查找凭证:

  1. 环境变量-AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY。AWS SDK for Java使用EnvironmentVariableCredentialsProvider类加载这些证书。

  2. Java 系统属性-aws.accessKeyIdaws.secretAccessKey。AWS SDK for Java使用加载SystemPropertiesCredentialsProvider这些证书。

  3. 来自环境或容器的 Web 身份令牌凭证

  4. 默认凭据配置文件 ——通常位于~/.aws/credentials(位置可能因平台而异),由许多AWS SDK 和共享AWS CLI。AWS SDK for Java使用加载ProfileCredentialsProvider这些证书。

    您可以使用提供的aws configure命令创建证书文件AWS CLI,也可以使用文本编辑器编辑文件来创建该文件。有关凭证文件格式的信息,请参阅AWS凭证文件格式

  5. Amazon ECS 容器凭证-如果设置了环境变量,AWS_CONTAINER_CREDENTIALS_RELATIVE_URI则从 Amazon ECS 加载。AWS SDK for Java使用加载ContainerCredentialsProvider这些证书。可以指定此值的 IP 地址。

  6. 实例配置文件证书-用于 EC2 实例,并通过Amazon EC2元数据服务交付。AWS SDK for Java使用加载InstanceProfileCredentialsProvider这些证书。可以指定此值的 IP 地址。

    注意

    仅在未设置 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 时使用实例配置文件凭证。有关更多信息ContainerCredentialsProviderWrapper,请参阅 EC2

设置 凭证

为了能够使用AWS证书,必须至少在上述一个位置设置证书。有关设置凭证的信息,请参阅以下主题:

设置备用凭证配置文件

默认情况下,AWS SDK for Java 使用默认配置文件,但可通过几种方式自定义源自凭证文件的配置文件。

您可以使用AWS配置文件环境变量来更改 SDK 加载的配置文件。

例如,在 Linux、macOS 或 Unix 上,你可以运行以下命令将配置文件更改为 MyProfil e。

export AWS_PROFILE="myProfile"

在 Windows 上,您将使用以下配置文件。

set AWS_PROFILE="myProfile"

设置AWS_PROFILE环境变量会影响所有官方支持的AWS SDK 和工具(包括AWS CLI和AWS Tools for Windows PowerShell)的凭据加载。要仅更改 Java 应用程序的配置文件,可以aws.profile改用系统属性。

注意

环境变量优先于系统属性。

设置备用凭证文件位置

自动从默认AWS凭证文件位置AWS SDK for Java加载证书。但是,您也可以通过在 AWS_CREDENTIAL_PROFILES_FILE 环境变量中设置凭证文件的完整路径来指定位置。

您可以使用此功能临时更改 AWS SDK for Java 查找凭证文件的位置 (例如,通过使用命令行设置此变量)。或者,您也可以在您的用户环境或系统环境中设置该环境变量,在用户范围或系统范围内对其进行更改。

覆盖默认凭证文件位置

  • AWS_CREDENTIAL_PROFILES_FILE环境变量设置为AWS凭证文件的位置。

    • 在 Linux、macOS 或 Unix 上,使用

      export AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
    • 在 Windows 上,请使用

      set AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

凭证文件格式

当您使用aws configure命令创建AWS证书文件时,该命令会创建具有以下格式的文件。

[default] aws_access_key_id={YOUR_ACCESS_KEY_ID} aws_secret_access_key={YOUR_SECRET_ACCESS_KEY} [profile2] aws_access_key_id={YOUR_ACCESS_KEY_ID} aws_secret_access_key={YOUR_SECRET_ACCESS_KEY}

在方括号中指定配置文件名 (例如:[default]),后跟该配置文件中的可配置字段作为键值对。您的凭证文件可包含多个配置文件,可使用 aws configure --profile PROFILE_NAME 选择要配置的配置文件来添加或编辑这些配置文件。

您可以指定其他字段,例如 aws_session_tokenmetadata_service_timeoutmetadata_service_num_attempts。它们不能通过 CLI 进行配置,如果要使用它们,必须手动编辑文件。有关配置文件及其可用字段的更多信息,请参阅《AWS Command Line Interface用户指南》AWS Command Line Interface中的配置

加载凭证

在设置凭证后,可使用默认凭证提供程序链来加载这些凭证。

为此,您需要实例化AWS 服务客户端,而无需向生成器明确提供证书,如下所示。

AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withRegion(Regions.US_WEST_2) .build();

指定凭证提供程序或提供程序链

您可以通过客户端生成器来指定一个不同于默认凭证提供程序链的凭证提供程序。

您向使用AWSCredentialsProvider接口作为输入的客户端生成器提供凭证提供商或提供者链的实例。以下示例展示使用环境 凭证的具体情况。

AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withCredentials(new EnvironmentVariableCredentialsProvider()) .build();

有关AWS SDK for Java提供的凭证提供商和提供者链的完整列表,请参阅中的所有已知实现类AWSCredentialsProvider

注意

您可以使用此技术来提供凭证提供者或提供者链,这些凭证提供程序或通过使用您自己的实现AWSCredentialsProvider接口的证书提供程序或子AWSCredentialsProviderChain类来创建提供者链。

明确指定凭证

如果默认凭证链和特定的或自定义的提供程序或提供程序链都不适用于您的代码,您可以通过自行提供来明确设置这些凭证。如果您使用检索了临时证书AWS STS,请使用此方法指定AWS访问证书。

  1. 实例化一个提供AWSCredentials接口的类,例如 Basi cAWSCredentials,并为其提供用于连接的AWS访问密钥和私有密钥。

  2. AWSStaticCredentialsProvider使用AWSCredentials对象创建。

  3. 使用 AWSStaticCredentialsProvider 配置客户端生成器并构建客户端。

以下是示例。

BasicAWSCredentials awsCreds = new BasicAWSCredentials("access_key_id", "secret_key_id"); AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(awsCreds)) .build();

使用从 STS 获得的临时证书时,创建一个BasicSessionCredentials对象,向其传递 STS 提供的证书和会话令牌。

BasicSessionCredentials sessionCredentials = new BasicSessionCredentials( session_creds.getAccessKeyId(), session_creds.getSecretAccessKey(), session_creds.getSessionToken()); AmazonS3 s3 = AmazonS3ClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(sessionCredentials)) .build();

更多信息