使用临时凭证 - Amazon SDK for Java 2.x
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用临时凭证

为了提高安全性,Amazon建议您将适用于 Java 的 SDK 配置为使用临时证书而不是长期证书。临时凭证由访问工具和秘钥。我们建议您将 SDK 配置为自动获取临时证书,因为令牌刷新过程是自动的。但是,您可以直接向 SDK 提供临时证书

IAM Identent

当您按照本指南所述将软件开发工具包配置为使用 IAM Identity Center 单点登录访问时,SDK 会自动使用临时证书。要使用的基本设置Amazon Web Services

软件开发工具包使用 IAM Identity Center 访问令牌来访问使用您的config文件中的sso_role_name设置配置的 IAM 角色。SDK 担任此 IAM 角色并检索用于Amazon Web Service请求的临时证书。

有关 SDK 如何从配置中获取临时证书的更多详细信息,请参阅 SDAmazon K 和工具参考指南的 “了解 IAM Identity Center 身份验证” 部分。

从Amazon访问门户检索

作为 IAM Identity Center 单点登录配置的替代方案,您可以复制和使用Amazon访问门户中提供的临时证书。您可以在配置文件中使用临时证书,也可以将其用作系统属性和环境变量的值。

为临时凭证设置本地凭证文件
  1. 创建共享凭证文件

  2. 在证书文件中,粘贴以下占位符文本,直到粘贴有效的临时证书。

    [default] aws_access_key_id=<value from Amazon access portal> aws_secret_access_key=<value from Amazon access portal> aws_session_token=<value from Amazon access portal>
  3. 保存该文件。该文件现在~/.aws/credentials应该存在于您的本地开发系统上。此文件包含 [默认] 配置文件,如果未指定特定的命名配置文件,SDK for Java 将使用该配置文件。

  4. 登录Amazon访问门户

  5. 按照以下说明从Amazon访问门户复制 IAM 角色证书。

    注意

    尽管该页面的标题是 “获取 IAM 角色证书以获取 CLI 访问权限”,但这些说明适用于适用于 SDK for Java 以及Amazon Command Line Interface (Amazon CLI)。

    1. 对于说明中的步骤 2,选择可为您的开发需求授予访问权限的Amazon Web Services 账户和 IAM 角色名称。此角色的名字通常类似于 “开发PowerUser者”。

    2. 在步骤 4 中,选择 “将配置文件添加到您的Amazon凭证文件中” 的选项,然后复制内容。

  6. 将复制的凭据粘贴到您的本地credentials文件中,然后删除生成的配置文件名称。您的文件应类似以下内容。

    [default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
  7. 保存 credentials 文件。

当 SDK for Java 创建服务客户端时,它将访问这些临时证书并将它们用于每个请求。在步骤 5a 中选择的 IAM 角色的设置决定了临时证书的有效时间。最长持续时间为十二小时。

临时凭证过期后,重复步骤 4 到 7。