Amazon SDKs和 Tools 标准化凭证提供商 - Amazon SDKs和工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon SDKs和 Tools 标准化凭证提供商

许多凭证提供商已标准化为一致的默认值,并且在许多SDKs证书提供商中都以相同的方式工作。这种一致性可以提高跨多个编码时的生产力和清晰度SDKs。所有设置都可以在代码中被覆盖。有关详细信息,请参阅您的具体内容SDKAPI。

重要

并非所有提供商都SDKs支持所有提供商,甚至支持提供商内部的所有方面。

了解凭证提供商链

所有SDKs人都有一系列地点(或来源)供他们检查,以便找到用于向某人提出请求的有效凭证 Amazon Web Services 服务。找到有效凭证后,搜索即告停止。这种系统搜索被称为凭证提供者链。

使用其中一个标准化凭证提供商时, Amazon SDKs始终尝试在证书到期时自动续订证书。无论您在链中使用哪个提供商,内置的凭证提供商链都使您的应用程序能够刷新您的凭证。无需其他代码即可执行SDK此操作。

尽管它们使用的不同链条各SDK不相同,但它们通常包括以下来源:

凭证提供者 描述
Amazon 访问密钥 Amazon IAM用户的访问密钥(例如AWS_ACCESS_KEY_ID、和AWS_SECRET_ACCESS_KEY)。
使用 Web 身份或 OpenID Connect 进行联合 - 承担角色凭证提供者 使用知名的外部身份提供商 (IdP) 登录,例如 Login with Amazon、Facebook、Google 或任何其他兼容 OpenID Connect () OIDC 的 IdP。使用 () 中的 JSON Web 令牌 (JWT) 假设IAM角色的 Amazon Security Token Service 权限。Amazon STS
IAM身份中心凭证提供商 从中获取凭证 Amazon IAM Identity Center。
代入角色凭证提供者 通过承担IAM角色的权限来访问其他资源。(检索角色的临时凭证,然后使用该凭证)。
容器凭证提供者 亚马逊弹性容器服务(亚马逊ECS)和亚马逊 Elastic Kubernetes Service(亚马逊)凭证。EKS容器凭证提供者获取客户的容器化应用程序的凭证。
进程凭证提供者 自定义凭证提供者。从外部来源或进程(包括 IAM Roles Anywhere)获取凭证。
IMDS凭证提供商 亚马逊弹性计算云 (AmazonEC2) 实例配置文件凭证。将IAM角色与您的每个EC2实例相关联。在该实例上运行的代码就可以使用该角色的临时凭证。凭证通过 Amazon EC2 元数据服务提供。

对于链中的每个步骤,都有多种分配设置值的方法。在代码中指定的设置值始终优先。但是,还有 环境变量共享config文件和credentials文件。有关更多信息,请参阅 设置的优先级

SDK特定和特定工具的凭证提供者链

要直接访问您或工具SDK的特定凭证提供商链详细信息,请从以下选项中选择您的SDK或工具: