本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的凭证Amazon SDK for PHP版本 3
有关现有全权证书机制的信息供参考Amazon开发工具包,请参阅凭证和访问权限中的Amazon开发工具包和工具参考指南.
要向Amazon Web Services 提出请求,请提供Amazon访问密钥,也称为证书Amazon SDK for PHP.
您可以通过下列方式来执行此操作:
-
使用默认凭证提供程序链(推荐)。
-
使用特定的凭证提供程序或提供程序链 (或创建您自己的)。
-
自行提供凭证。这些凭证可以是根账户凭证、IAM 凭证或从获取的临时凭证Amazon STS.
为了安全起见,我们强烈推荐你就是这么做的不使用 root 账号进行Amazon访问。请务必参考IAM 中的安全最佳实践中的IAM 用户指南获取最新的安全建议。
使用默认凭证提供程序链
在初始化新服务客户端而不提供任何参数,开发工具包将使用默认凭证提供程序链来查找Amazon凭证。开发工具包将使用凭证提供程序链中的第一个返回。
查找并使用默认凭证提供程序链如下所示,顺序如下:
-
如果您是在做设置环境变量计算机上开发工作而非 Amazon EC2 实例进行连接。
-
此凭证文件,与用于其他开发工具包和 Amazon CLI 时,可以使用这些策略。如果您已经在使用共享凭证文件,则可以使用该文件来实现此目的。
我们使用此方法在大多数我们的 PHP 代码示例。
-
IAM 角色向实例上的应用程序提供临时安全凭证,以供使用Amazon调用。例如,IAM 角色提供了一种简便方法,用于在多个 Amazon EC2 实例分发和管理凭证。
添加凭证的其他方法
您还可以添加凭证,可采用下列方式:
-
构建自定义逻辑时,为客户端提供凭证。
-
在将多重验证 (MFA) 令牌用于双重身份验证时,请使用Amazon STS向用户提供临时凭证以访问Amazon服务或使用Amazon SDK for PHP.
-
使用硬编码的凭证(不推荐)。
对凭证进行硬编码可能会有风险,因为很容易将凭证意外提交到 SCM 存储库中。这可能会向超出您计划的数量的人公开您的凭证。还会使将来难以轮换凭证。请勿提交包含硬编码凭证的代码到您的源代码控制。
-
当服务允许匿名访问时,创建不与任何凭证关联的客户端。