本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用临时凭证
为了提高安全性,Amazon建议您将适用于 Java 的 SDK 配置为使用临时证书而不是长期证书。临时凭证由访问工具和秘钥。我们建议您将 SDK 配置为自动获取临时证书,因为令牌刷新过程是自动的。但是,您可以直接向 SDK 提供临时证书。
IAM Identent
当您按照本指南所述将软件开发工具包配置为使用 IAM Identity Center 单点登录访问时,SDK 会自动使用临时证书。要使用的基本设置Amazon Web Services
软件开发工具包使用 IAM Identity Center 访问令牌来访问使用您的config
文件中的sso_role_name
设置配置的 IAM 角色。SDK 担任此 IAM 角色并检索用于Amazon Web Service请求的临时证书。
有关 SDK 如何从配置中获取临时证书的更多详细信息,请参阅 SDAmazon K 和工具参考指南的 “了解 IAM Identity Center 身份验证” 部分。
从Amazon访问门户检索
作为 IAM Identity Center 单点登录配置的替代方案,您可以复制和使用Amazon访问门户中提供的临时证书。您可以在配置文件中使用临时证书,也可以将其用作系统属性和环境变量的值。
为临时凭证设置本地凭证文件
-
在证书文件中,粘贴以下占位符文本,直到粘贴有效的临时证书。
[default] aws_access_key_id=
<value from Amazon access portal>
aws_secret_access_key=<value from Amazon access portal>
aws_session_token=<value from Amazon access portal>
-
保存该文件。该文件现在
~/.aws/credentials
应该存在于您的本地开发系统上。此文件包含 [默认] 配置文件,如果未指定特定的命名配置文件,SDK for Java 将使用该配置文件。 -
按照以下说明从Amazon访问门户复制 IAM 角色证书。
注意
尽管该页面的标题是 “获取 IAM 角色证书以获取 CLI 访问权限”,但这些说明适用于适用于 SDK for Java 以及Amazon Command Line Interface (Amazon CLI)。
-
对于说明中的步骤 2,选择可为您的开发需求授予访问权限的Amazon Web Services 账户和 IAM 角色名称。此角色的名字通常类似于 “开发PowerUser者”。
-
在步骤 4 中,选择 “将配置文件添加到您的Amazon凭证文件中” 的选项,然后复制内容。
-
-
将复制的凭据粘贴到您的本地
credentials
文件中,然后删除生成的配置文件名称。您的文件应类似以下内容。[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
-
保存
credentials
文件。
当 SDK for Java 创建服务客户端时,它将访问这些临时证书并将它们用于每个请求。在步骤 5a 中选择的 IAM 角色的设置决定了临时证书的有效时间。最长持续时间为十二小时。
临时凭证过期后,重复步骤 4 到 7。