本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
标准化凭证提供者
许多凭证提供者已标准化为一致的默认值,并且在许多 SDK 中以相同的方式工作。当跨多个 SDK 进行编码时,这种一致性可以提高工作效率和清晰度。所有设置都可以在代码中被覆盖。有关详细信息,请参阅您的特定 SDK API。
重要
并非所有 SDK 都支持所有提供者,甚至提供者内部的所有方面。
凭证提供者链
所有 SDK 都有一系列地点(或来源)供其检查,以便找到用于向 Amazon Web Service 发出请求的有效凭证。找到有效凭证后,即停止搜索。此系统搜索被称为默认凭证提供者链。
尽管每个 SDK 使用的链各不相同,但它们通常包括以下来源:
| 凭证提供者 | 描述 |
|---|---|
| Amazon 访问密钥 | IAM 用户的 Amazon 访问密钥(例如 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY)。 |
| 使用 Web 身份或 OpenID Connect 联合身份验证 - 承担角色凭证提供者 | 使用知名的外部身份提供者(IdP)(例如,Login with Amazon、Facebook、Google 或任何其他 OpenID Connect (OIDC) 兼容的 IdP)登录。使用 Amazon Security Token Service (Amazon STS) 中的 Web 身份令牌假设 IAM 角色的权限。 |
| IAM Identity Center 凭证提供者 | 从 Amazon IAM Identity Center 中获取凭证。 |
| 代入角色凭证提供者 | 具有 IAM 角色的权限即可访问其他资源。(检索角色的临时凭证,然后使用该凭证)。 |
| 容器凭证提供者 | Amazon Elastic Container Service(Amazon ECS)和 Amazon Elastic Kubernetes Service(Amazon EKS)凭证。容器凭证提供者获取客户的容器化应用程序的凭证。 |
| 进程凭证提供者 | 自定义凭证提供者。从外部来源或流程(包括 IAM Roles Anywhere)获取您的凭证。 |
| IMDS 凭证提供者 | Amazon Elastic Compute Cloud(Amazon EC2)实例配置文件凭证。将 IAM 角色与您的每个 EC2 实例相关联。在该实例上运行的代码就可以使用该角色的临时凭证。凭证通过 Amazon EC2 元数据服务提供。 |
对于链中的每个步骤,都有多种分配设置值的方法。在代码中指定的设置值始终优先。但是,还有 环境变量 和 共享config文件和credentials文件。有关更多信息,请参阅设置的优先级。