代入角色凭证提供者

使用以下方法配置此功能：

credential_source-共享 Amazon config文件设置

在 Amazon EC2 实例或 Amazon Elastic Container Service 容器中使用，指定 SDK 或工具在何处可以查找授权用于代入通过 role_arn 参数指定的角色的凭证。

默认值： 无

有效值：

• 环境 – 指定 SDK 或工具从环境变量 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 检索源凭证。

• Ec@@ 2 InstanceMetadata — 指定软件开发工具包或工具将使用附加到 EC2 实例配置文件的 IAM 角色来获取源证书。

• EcsContainer— 指定软件开发工具包或工具将使用附加到 ECS 容器的 IAM 角色来获取源证书。

不能在同一配置文件中同时指定 credential_source 和 source_profile。

在 config 文件中设置此项以表明凭证应来自 Amazon EC2 的示例：

credential_source = Ec2InstanceMetadata
role_arn = arn:aws:iam::123456789012:role/my-role-name

duration_seconds-共享 Amazon config文件设置

指定角色会话的最大持续时间（以秒为单位）。

仅当配置文件指定代入角色时，此设置才适用。

默认值： 3600 秒 (1 小时)

有效值：该值的范围在 900 秒（15 分钟）到角色配置的最大会话持续时间（43200 秒或 12 小时）之间。有关更多信息，请参阅 IAM 用户指南中的 查看角色的最大会话持续时间设置。

在 config 文件中设置此项的示例：

duration_seconds = 43200

external_id-共享 Amazon config文件设置

指定第三方用于在其客户账户中代入角色的唯一标识符。

仅当配置文件指定代入角色且该角色的信任策略需要 ExternalId 值时，此设置才适用。该值映射到配置文件指定角色时传递给 AssumeRole 操作的 ExternalId 参数。

默认值：无。

有效值：请参阅 IAM 用户指南中的如何在向第三方授予对您的 Amazon 资源的访问权限时使用外部 ID。

在 config 文件中设置此项的示例：

external_id = unique_value_assigned_by_3rd_party

mfa_serial-共享 Amazon config文件设置

指定用户在代入角色时必须使用的多重身份验证（MFA）设备的标识或序列号。

代入角色时，如果该角色的信任策略包含需要 MFA 身份验证的条件，则此项为必需项。

默认值：无。

有效值： 该值可以是硬件设备（例如 GAHT12345678）的序列号，也可以是虚拟 MFA 设备的 Amazon 资源名称（ARN）。有关更多信息，请参阅 IAM 用户指南 中的 配置受 MFA 保护的 API 访问。

在 config 文件中设置此项的示例：

mfa_serial = arn:aws:iam::123456789012:mfa/my-user-name

role_arn-共享 Amazon config文件设置

AWS_IAM_ROLE_ARN - 环境变量

aws.roleArn-JVM 系统属性：仅限 Java/Kotlin

指定要用于执行使用此配置文件请求操作的 IAM 角色的 Amazon 资源名称（ARN）。

默认值：无。

有效值：该值必须是 IAM 角色的 ARN，格式如下：arn:aws:iam::account-id:role/role-name

此外，您还必须指定以下设置之一：

• source_profile - 标识另一个配置文件，用于查找具有在此配置文件中代入该角色的权限的凭证。

• credential_source - 使用由当前环境变量标识的凭证或附加到 Amazon EC2 实例配置文件或 Amazon ECS 容器实例的凭证。

• web_identity_token_file - 为已在移动或 Web 应用程序中进行身份验证的用户使用公共身份提供者或任何 OpenID Connect（OIDC）兼容身份提供者。

role_session_name-共享 Amazon config文件设置

AWS_IAM_ROLE_SESSION_NAME - 环境变量

aws.roleSessionName-JVM 系统属性：仅限 Java/Kotlin

指定要附加到角色会话的名称。此名称显示在与此会话关联的条目的 Amazon CloudTrail 日志中，该会话可能在审核时有用。

默认值：可选参数。如果未提供此值，只要配置文件代入角色，则将自动生成会话名称。

有效值：当 Amazon CLI 或 Amazon API 代表您调用AssumeRole操作（或诸如操作之类的AssumeRoleWithWebIdentity操作）时，为RoleSessionName参数提供。该值成为您可以查询的代入角色用户 Amazon 资源名称 (ARN) 的一部分，并作为该配置文件调用的操作的 CloudTrail 日志条目的一部分显示。

arn:aws:sts::123456789012:assumed-role/my-role-name/my-role_session_name.

在 config 文件中设置此项的示例：

role_session_name = my-role-session-name

source_profile-共享 Amazon config文件设置

指定其他配置文件，其凭证用于代入由原始配置文件中的 role_arn 设置指定的角色。要了解如何在共享credentials文件 Amazon config和文件中使用配置文件，请参阅共享config文件和credentials文件。

如果您指定的配置文件也是代入角色配置文件，则将按顺序代入每个角色以完全解析凭证。当 SDK 遇到带有凭证的配置文件时，此链将会停止。角色链将您的 Amazon CLI 或 Amazon API 角色会话限制为最长一小时，并且无法延长。有关更多信息，请参阅 IAM 用户指南中的角色术语和概念。

默认值：无。

有效值：由 config 和 credentials 文件中定义的配置文件的名称组成的文本字符串。还必须在当前配置文件中指定 role_arn 的值。

不能在同一配置文件中同时指定 credential_source 和 source_profile。

在配置文件中设置此项的示例：

[profile A]
source_profile = B
role_arn =  arn:aws:iam::123456789012:role/RoleA
                
[profile B]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE

在上一个示例中，A 配置文件使用 B 配置文件中的凭证。当您指定 SDK 或工具应当使用 A 配置文件时，SDK 或工具会自动查找链接的 B 配置文件的凭证，并使用它们为指定的 IAM 角色请求临时凭证。SDK 或工具在后台使用 sts: AssumeRole 操作来完成此操作。然后，您的代码将使用这些临时证书来访问 Amazon 资源。指定的角色必须附加允许运行所请求代码的 IAM 权限策略，例如命令 Amazon Web Service、或 API 方法。

web_identity_token_file-共享 Amazon config文件设置

AWS_WEB_IDENTITY_TOKEN_FILE - 环境变量

aws.webIdentityTokenFile-JVM 系统属性：仅限 Java/Kotlin

指定一个文件的路径，该文件包含由 支持的 OAuth 2.0 提供者 或 OpenID Connect ID 身份提供者提供的访问令牌。

此设置允许使用 Web 身份联合验证提供者（例如 Google、Facebook 和 Amazon 等）进行身份验证。SDK 或开发人员工具加载此文件的内容，并在代表您调用 AssumeRoleWithWebIdentity 操作时将其作为 WebIdentityToken 参数传递。

默认值：无。

有效值：此值必须是路径和文件名。指定一个文件的路径，该文件必须包含由身份提供者提供给您的 OAuth 2.0 访问令牌或 OpenID Connect 令牌。相对路径被视为相对于进程工作目录的相对路径。