本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用短期凭证进行身份验证
我们建议将您的SDK或工具配置为IAM您的SDK或工具的身份中心身份验证与延长会话持续时间选项一起使用。但是,您可以复制和使用中提供的临时证书 AWS 访问门户。在这些临时凭证过期后,将需要复制新凭证。您可以在配置文件中使用临时凭证,也可以将其用作系统属性和环境变量的值。
最佳实践:我们建议您的应用程序使用从以下地址提供的临时证书,而不是手动管理凭证文件中的访问密钥和令牌:
-
网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS 计算服务,例如在 Amazon Elastic Compute Cloud 上或在 AWS Lambda.
-
证书提供商链中的另一种选择,例如。IAM您的SDK或工具的身份中心身份验证
-
或者使用进程凭证提供者来检索临时证书。
使用从中检索到的短期证书设置凭证文件 AWS 访问门户
-
在凭证文件中,粘贴以下占位符文本,直到粘贴有效的临时凭证为止。
[default] aws_access_key_id=
<value from AWS access portal>
aws_secret_access_key=<value from AWS access portal>
aws_session_token=<value from AWS access portal>
-
保存该文件。该
~/.aws/credentials
文件现在应该存在于您的本地开发系统上。如果未指定特定的命名配置文件,则此文件包含SDK或工具使用的 [默认] 配置文件。 -
按照以下手动刷新凭据的说明从中复制IAM角色证书 AWS 访问门户。
-
对于链接说明中的第 4 步,请选择可根据您的开发需求授予访问权限的IAM角色名称。此角色的名称通常类似于PowerUserAccess或开发人员。
-
在链接说明中的第 7 步中,选择 “手动将个人资料添加到您的” AWS 凭证文件选项并复制内容。
-
-
将复制的凭证粘贴到您的本地
credentials
文件中。如果您使用的是default
配置文件,则不需要生成的配置文件名称。您的文件应类似于以下内容。[default] aws_access_key_id=
AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
-
保存
credentials
文件。
SDK创建服务客户端时,它将访问这些临时证书并将其用于每个请求。在步骤 5a 中选择的IAM角色的设置决定了临时证书的有效期限。最长持续时间为 12 小时。
在临时凭证过期后,重复步骤 4 到 7。