本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS SDKs和 Tools 标准化凭证提供商
许多凭证提供商已标准化为一致的默认值,并且在许多SDKs证书提供商中都以相同的方式工作。这种一致性可以提高跨多个编码时的生产力和清晰度SDKs。所有设置都可以在代码中被覆盖。有关详细信息,请参阅您的具体内容SDKAPI。
重要
并非所有提供商都SDKs支持所有提供商,甚至支持提供商内部的所有方面。
凭证提供程序链
所有SDKs人都有一系列地点(或来源)供他们检查,以便找到用于向某人提出请求的有效凭证 AWS 服务。 找到有效凭证后,搜索即告停止。这种系统搜索被称为凭证提供者链。
使用其中一个标准化凭证提供商时, AWS SDKs始终尝试在凭证到期后自动续订。无论您在链中使用哪个提供商,内置的凭证提供商链都使您的应用程序能够刷新您的凭证。无需其他代码即可执行SDK此操作。
尽管它们使用的不同链条各SDK不相同,但它们通常包括以下来源:
| 凭证提供者 | 描述 |
|---|---|
| AWS 访问密钥 | AWS IAM用户的访问密钥(例如AWS_ACCESS_KEY_ID、和AWS_SECRET_ACCESS_KEY)。 |
| 使用 Web 身份或 OpenID Connect 联合身份验证 - 承担角色凭证提供者 | 使用知名的外部身份提供商 (IdP) 登录,例如 Login with Amazon、Facebook、Google 或任何其他兼容 OpenID Connect () OIDC 的 IdP。使用来自的 Web 身份令牌假设IAM角色的权限 AWS Security Token Service (AWS STS). |
| IAM身份中心凭证提供商 | 从中获取凭证 AWS IAM Identity Center. |
| 代入角色凭证提供者 | 通过承担IAM角色的权限来访问其他资源。(检索角色的临时凭证,然后使用该凭证)。 |
| 容器凭证提供者 | 亚马逊弹性容器服务(亚马逊ECS)和亚马逊 Elastic Kubernetes Service(亚马逊)凭证。EKS容器凭证提供者获取客户的容器化应用程序的凭证。 |
| 进程凭证提供者 | 自定义凭证提供者。从外部来源或进程(包括 IAM Roles Anywhere)获取凭证。 |
| IMDS凭证提供商 | 亚马逊弹性计算云 (AmazonEC2) 实例配置文件凭证。将IAM角色与您的每个EC2实例相关联。在该实例上运行的代码就可以使用该角色的临时凭证。凭证通过 Amazon EC2 元数据服务提供。 |
对于链中的每个步骤,都有多种分配设置值的方法。在代码中指定的设置值始终优先。但是,还有 环境变量 和 共享config文件和credentials文件。有关更多信息,请参阅 设置的优先级。
