本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定臨時認證的存取權
為了提高安全性, AWS 建議您將 Java SDK 設定為使用臨時認證,而不是長期存留的認證。臨時憑據包括訪問密鑰(訪問密鑰 ID 和秘密訪問密鑰)和會話令牌。我們建議您將 SDK 設定為自動取得暫時認證,因為權杖重新整理程序是自動的。但是,您可以直接向 SDK 提供臨時憑據。
IAM 身分識別中心組態
將 SDK 設定為使用 IAM 身分中心單一登入存取 (如本指南設定概觀中所述) 時,SDK 會自動使用臨時登入資料。
SDK 使用 IAM 身分中心存取權杖來存取使用config
檔案中sso_role_name
設定的 IAM 角色。SDK 會擔任此 IAM 角色,並擷取要用於 AWS 服務 請求的臨時登入資料。
如需 SDK 如何從設定取得臨時登入資料的詳細資訊,請參閱 AWS SDK 和工具參考指南的了解 IAM 身分中心身分驗證一節。
從 AWS 存取入口網站擷取
作為 IAM 身分中心單一登入組態的替代方案,您可以複製和使用 AWS 存取入口網站中提供的臨時登入資料。您可以在設定檔中使用臨時憑證,或用作系統屬性和環境變數的值。
設定臨時身分證明的本機認證檔案
-
在認證檔案中,貼上下列預留位置文字,直到您貼上工作中的暫時認證為止。
[default] aws_access_key_id=
<value from AWS access portal>
aws_secret_access_key=<value from AWS access portal>
aws_session_token=<value from AWS access portal>
-
儲存檔案。檔案現在
~/.aws/credentials
應該存在於您的本機開發系統上。如果未指定特定的具名描述檔,則此檔案包含 SDK for Java 使用的 [預設] 設定檔。 -
遵循手動登入資料重新整理標題下的這些指示,從 AWS 存取入口網站複製 IAM 角色登入資料。
-
對於連結指示中的步驟 4,請選擇針對您的開發需求授予存取權的 IAM 角色名稱。此角色通常具有類似PowerUserAccess或開發人員的名稱。
-
對於步驟 7,請選取「手動將設定檔新增至您的 AWS 認證檔案」選項,然後複製內容。
-
-
將複製的認證貼到您的本機
credentials
檔案中,並移除產生的設定檔名稱。您的檔案應如下所示。[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
-
儲存
credentials
檔案。
當 SDK for Java 創建服務客戶端時,它將訪問這些臨時憑據並將其用於每個請求。在步驟 5a 中選擇的 IAM 角色設定會決定臨時憑證的有效時長。最長持續時間為 12 小時。
臨時憑證過期後,請重複步驟 4 至 7。