向 Amazon SDK for Java 提供临时凭证 - Amazon SDK for Java 1.x
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

我们已宣布即将终止对 Amazon SDK for Java(v1)的支持。建议您迁移到 Amazon SDK for Java v2。有关日期、其他详细信息以及如何迁移的信息,请参阅链接的公告。

向 Amazon SDK for Java 提供临时凭证

要向 Amazon Web Services 发出请求,您必须提供 Amazon 临时凭证,以供Amazon SDK for Java 在调用服务时使用。您可以通过下列方式来执行此操作:

  • 使用默认凭证提供程序链(推荐)

  • 使用特定的凭证提供程序或提供程序链(或创建您自己的)。

  • 在代码中自行提供临时凭证。

使用默认凭证提供程序链

在初始化新服务客户端而不提供任何参数时,Amazon SDK for Java 将尝试使用由 DefaultAWSCredentialsProviderChain 类实施的默认凭证提供程序链 来查找临时凭证。默认凭证提供程序链将按此顺序查找凭证:

  1. 环境变量AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEYAWS_SESSION_TOKEN。Amazon SDK for Java使用 EnvironmentVariableCredentialsProvider 类加载这些凭证。

  2. Java 系统属性aws.accessKeyIdaws.secretKeyaws.sessionToken。Amazon SDK for Java使用 SystemPropertiesCredentialsProvider 加载这些凭证。

  3. 来自环境或容器的 Web 身份令牌凭证

  4. 默认凭证配置文件 – 通常位于 ~/.aws/credentials(位置可能因平台而异),此凭证文件由多个 Amazon SDK 和 Amazon CLI 共享。Amazon SDK for Java使用 ProfileCredentialsProvider 加载这些凭证。

    您可以使用由 Amazon CLI 提供的 aws configure 命令创建凭证文件,也可以使用文本编辑器编辑文件来创建它。有关凭证文件格式的信息,请参阅 Amazon 凭证文件格式

  5. Amazon ECS 容器凭证 – 如果设置了环境变量 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI,则从 Amazon ECS 加载该凭证。Amazon SDK for Java使用 ContainerCredentialsProvider 加载这些凭证。可以指定此值的 IP 地址。

  6. 实例配置文件凭证 – 在 EC2 实例上使用,并通过 Amazon EC2 元数据服务传送。Amazon SDK for Java使用 InstanceProfileCredentialsProvider 加载这些凭证。可以指定此值的 IP 地址。

    注意

    仅在未设置 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 时使用实例配置文件凭证。有关更多信息,请参阅 EC2ContainerCredentialsProviderWrapper

设置临时凭证

要使用 Amazon 临时凭证,必须在上述位置中的至少一个 位置设置该凭证。有关设置凭证的信息,请参阅以下主题:

设置备用凭证配置文件

默认情况下,Amazon SDK for Java 使用默认配置文件,但可通过几种方式自定义源自凭证文件的配置文件。

您可以使用 Amazon 配置文件环境变量来更改 SDK 所加载的配置文件。

例如,在 Linux、macOS 或 Unix 上,您可运行以下命令来将配置文件更改为 myProfile

export AWS_PROFILE="myProfile"

在 Windows 上,您将使用以下配置文件。

set AWS_PROFILE="myProfile"

设置 AWS_PROFILE 环境变量将影响所有正式支持的 Amazon SDK 和工具(包括 Amazon CLI 和 Amazon Tools for Windows PowerShell)的凭证加载。如果只需要更改 Java 应用程序的配置文件,则可改用系统属性 aws.profile

注意

环境变量优先于系统属性。

设置备用凭证文件位置

Amazon SDK for Java 会自动从默认凭证文件位置加载 Amazon 临时凭证。但是,您也可以通过在 AWS_CREDENTIAL_PROFILES_FILE 环境变量中设置凭证文件的完整路径来指定位置。

您可以使用此功能临时更改 Amazon SDK for Java 查找凭证文件的位置(例如,通过使用命令行设置此变量)。或者,您也可以在您的用户环境或系统环境中设置该环境变量,在用户范围或系统范围内对其进行更改。

覆盖默认凭证文件位置

  • AWS_CREDENTIAL_PROFILES_FILE 环境变量设置为 Amazon 凭证文件的位置。

    • 在 Linux、macOS 或 Unix 上,请使用:

      export AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file
    • 在 Windows 上,请使用:

      set AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

Credentials 文件格式

根据本指南中的基本设置说明,您的凭证文件应采用以下基本格式。

[default] aws_access_key_id=<value from Amazon access portal> aws_secret_access_key=<value from Amazon access portal> aws_session_token=<value from Amazon access portal> [profile2] aws_access_key_id=<value from Amazon access portal> aws_secret_access_key=<value from Amazon access portal> aws_session_token=<value from Amazon access portal>

在方括号中指定配置文件名(例如:[default]),后跟该配置文件中的可配置字段作为键值对。您的 credentials 文件可包含多个配置文件,可使用 aws configure --profile PROFILE_NAME 选择要配置的配置文件来添加或编辑这些配置文件。

您可以指定其他字段,例如 metadata_service_timeoutmetadata_service_num_attempts。无法使用 CLI 配置这些文件 – 如果您想使用这些文件,则必须手动编辑它们。有关配置文件及其可用字段的更多信息,请参阅《Amazon Command Line Interface 用户指南》中的配置 Amazon Command Line Interface

加载凭证

在设置临时凭证后,SDK 使用默认凭证提供程序链来加载这些凭证。

为此,应实例化 Amazon Web Service 服务客户端,但不向生成器明确提供凭证,如下所示。

AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withRegion(Regions.US_WEST_2) .build();

指定凭证提供程序或提供程序链

您可以通过客户端生成器来指定一个不同于默认凭证提供程序链的凭证提供程序。

向将 AWSCredentialsProvider 接口作为输入的客户端生成器提供凭证提供程序或提供程序链的实例。以下示例演示使用环境 凭证的具体情况。

AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withCredentials(new EnvironmentVariableCredentialsProvider()) .build();

有关 Amazon SDK for Java 提供的凭证提供程序和提供程序链的完整列表,请参阅 AWSCredentialsProvider 中的所有已知实施类

注意

您可以使用此方法提供您创建的凭证提供程序或提供程序链,方式是使用您自己的可实施 AWSCredentialsProvider 接口的凭证提供程序或通过为 AWSCredentialsProviderChain 类生成子类。

明确指定临时凭证

如果默认凭证链和特定的或自定义的提供程序或提供程序链都不适用于您的代码,您可以通过自行提供来明确设置这些凭证。如果您已使用 Amazon STS 检索了临时凭证,请使用此方法指定用于 Amazon 访问的凭证。

  1. 实例化 BasicSessionCredentials 类,并为其提供 Amazon 访问密钥、Amazon 秘密密钥和 Amazon 会话令牌,供 SDK 用于连接。

  2. 使用 对象创建 AWSStaticCredentialsProviderAWSCredentials

  3. 使用 AWSStaticCredentialsProvider 配置客户端生成器并构建客户端。

以下是示例。

BasicSessionCredentials awsCreds = new BasicSessionCredentials("access_key_id", "secret_key_id", "session_token"); AmazonS3 s3Client = AmazonS3ClientBuilder.standard() .withCredentials(new AWSStaticCredentialsProvider(awsCreds)) .build();

更多信息