Penyedia kredensyal - AWS SDK untuk Kotlin
Rantai penyedia kredensyal defaultTentukan penyedia kredensyal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia kredensyal

Urutan di mana rantai penyedia kredensyal default menyelesaikan kredensyal diubah dengan versi 1.4.0 Untuk detailnya, lihat catatan di bawah ini.

Saat Anda mengirim permintaan ke Amazon Web Services menggunakan AWS SDK untuk Kotlin, permintaan harus ditandatangani secara kriptografis dengan kredensyal yang dikeluarkan oleh. AWS Kotlin SDK menandatangani permintaan secara otomatis untuk Anda. Untuk memperoleh kredensyal, SDK dapat menggunakan pengaturan konfigurasi yang terletak di beberapa tempat, misalnya properti sistem JVM, variabel lingkungan, AWS config file bersama dan filecredentials, dan metadata instans Amazon. EC2

SDK menggunakan abstraksi penyedia kredensyal untuk menyederhanakan proses pengambilan kredensyal dari berbagai sumber. SDK berisi beberapa implementasi penyedia kredensional.

Misalnya, Jika konfigurasi yang diambil menyertakan setelan akses masuk tunggal Pusat Identitas IAM dari config file bersama, SDK bekerja dengan Pusat Identitas IAM untuk mengambil kredensyal sementara yang digunakan untuk membuat permintaan. Layanan AWS Dengan pendekatan ini untuk memperoleh kredensyal, SDK menggunakan penyedia IAM Identity Center (juga dikenal sebagai penyedia kredensyal SSO). Bagian penyiapan panduan ini menjelaskan konfigurasi ini.

Untuk menggunakan penyedia kredensyal tertentu, Anda dapat menentukannya saat membuat klien layanan. Atau, Anda dapat menggunakan rantai penyedia kredensyal default untuk mencari pengaturan konfigurasi secara otomatis.

Rantai penyedia kredensyal default

Jika tidak ditentukan secara eksplisit pada konstruksi klien, SDK untuk Kotlin menggunakan penyedia kredensyal yang secara berurutan memeriksa setiap tempat di mana Anda dapat menyediakan kredensyal. Penyedia kredensyal default ini diimplementasikan sebagai rantai penyedia kredensyal.

Untuk menggunakan rantai default untuk menyediakan kredensyal dalam aplikasi Anda, buat klien layanan tanpa menyediakan properti secara eksplisit. credentialsProvider

val ddb = DynamoDbClient {
    region = "us-east-2"
}

Untuk informasi selengkapnya tentang pembuatan klien layanan, lihat membangun dan mengonfigurasi klien.

Pelajari tentang rantai penyedia kredensial default

Rantai penyedia kredensyal default mencari konfigurasi kredensyal menggunakan urutan yang telah ditentukan berikut. Ketika pengaturan yang dikonfigurasi memberikan kredensyal yang valid, rantai berhenti.

1. AWS kunci akses (properti sistem JVM)

SDK mencari properti sistemaws.accessKeyId,aws.secretAccessKey, dan aws.sessionToken JVM.

2. AWS kunci akses (variabel lingkungan)

SDK mencoba memuat kredensyal dari variabel AWS_ACCESS_KEY_ID danAWS_SECRET_ACCESS_KEY, dan AWS_SESSION_TOKEN lingkungan.

3. Token identitas web

SDK mencari variabel lingkungan AWS_WEB_IDENTITY_TOKEN_FILE dan AWS_ROLE_ARN (atau properti aws.webIdentityTokenFile sistem JVM dan). aws.roleArn Berdasarkan informasi token dan perannya, SDK memperoleh kredensyal sementara.

4. Profil dalam file konfigurasi

Pada langkah ini, SDK menggunakan pengaturan yang terkait dengan profil. Secara default, SDK menggunakan credentials file bersama AWS config dan, tetapi jika variabel AWS_CONFIG_FILE lingkungan disetel, SDK menggunakan nilai itu. Jika variabel AWS_PROFILE lingkungan (atau properti sistem aws.profile JVM) tidak disetel, SDK mencari profil “default”, jika tidak maka akan mencari profil yang cocok dengan nilai. AWS_PROFILE’s

SDK mencari profil berdasarkan konfigurasi yang dijelaskan dalam paragraf sebelumnya dan menggunakan pengaturan yang ditentukan di sana. Jika setelan yang ditemukan oleh SDK berisi campuran setelan untuk pendekatan penyedia kredensyal yang berbeda, SDK menggunakan urutan berikut:

  1. AWS tombol akses (file konfigurasi) - SDK menggunakan pengaturan untukaws_access_key_id,aws_access_key_id, danaws_session_token.

  2. Asumsikan konfigurasi peran - Jika SDK menemukan role_arn dan source_profile atau credential_source pengaturan, SDK mencoba untuk mengambil peran. Jika SDK menemukan source_profile setelan, SDK akan mendapatkan kredensyal dari profil lain untuk menerima kredensyal sementara untuk peran yang ditentukan oleh. role_arn Jika SDK menemukan credential_source setelan, SDK akan mendapatkan kredensyal dari wadah Amazon ECS, EC2 instans Amazon, atau dari variabel lingkungan tergantung pada nilai setelan. credential_source Kemudian menggunakan kredensil tersebut untuk memperoleh kredensil sementara untuk peran tersebut.

    Profil harus berisi source_profile pengaturan atau credential_source pengaturan, tetapi tidak keduanya.

  3. Konfigurasi token identitas web - Jika SDK menemukan role_arn dan web_identity_token_file mengatur, ia memperoleh kredensyal sementara untuk mengakses AWS sumber daya berdasarkan dan token. role_arn

  4. Konfigurasi token SSO - Jika SDK menemukansso_session,sso_account_id, sso_role_name pengaturan (bersama dengan sso-session bagian pendamping dalam file konfigurasi), SDK mengambil kredensyal sementara dari layanan Pusat Identitas IAM.

  5. Konfigurasi SSO lama - Jika SDK menemukan sso_start_url,,, dan sso_role_name pengaturan sso_regionsso_account_id, SDK mengambil kredensyal sementara dari layanan Pusat Identitas IAM.

  6. Konfigurasi login - Jika SDK menemukan login_session setelan, SDK menggunakan kredensyal sementara dari sesi login, atau mencoba untuk menyegarkannya jika kedaluwarsa dalam waktu kurang dari 5 menit. Untuk mempelajari cara memulai sesi login, lihat panduan pengguna AWS CLI.

  7. Konfigurasi proses - Jika SDK menemukan credential_process setelan, SDK menggunakan nilai jalur untuk memanggil proses dan memperoleh kredensyal sementara.

5. Kredensyal kontainer

SDK mencari variabel lingkungan AWS_CONTAINER_CREDENTIALS_RELATIVE_URI atau AWS_CONTAINER_CREDENTIALS_FULL_URI dan AWS_CONTAINER_AUTHORIZATION_TOKEN_FILE atauAWS_CONTAINER_AUTHORIZATION_TOKEN. Ini menggunakan nilai-nilai ini untuk memuat kredensyal dari titik akhir HTTP yang ditentukan melalui permintaan GET.

6. Kredensyal IMDS

SDK mencoba mengambil kredensyal dari Layanan Metadata Instance di titik akhir HTTP default atau yang dikonfigurasi. SDK hanya mendukung IMDSv2.

Jika kredensyal masih belum diselesaikan pada saat ini, pembuatan klien gagal dengan pengecualian.

Catatan: Ubah urutan resolusi kredensil

Urutan resolusi kredensyal yang dijelaskan di atas adalah terkini untuk 1.4.x+ rilis SDK untuk Kotlin. Sebelum 1.4.0 rilis, item nomor 3 dan 4 diaktifkan dan item 4a saat ini mengikuti item 4g saat ini.

Tentukan penyedia kredensyal

Anda dapat menentukan penyedia kredensyal alih-alih menggunakan rantai penyedia default. Pendekatan ini memberi Anda kontrol langsung atas kredensi mana yang digunakan SDK.

Misalnya, untuk menggunakan kredensyal untuk peran IAM yang diasumsikan, tentukan StsAssumeRoleCredentialsProvider kapan Anda membuat klien:

val ddb = DynamoDbClient {
    region = "us-east-1"
    credentialsProvider = StsAssumeRoleCredentialsProvider()
}

Anda juga dapat membuat rantai khusus (CredentialsProviderChain) yang menggabungkan beberapa penyedia dalam pesanan pilihan Anda.

Cache kredensyal dengan penyedia mandiri

penting

Rantai default menyimpan kredensil secara otomatis. Penyedia mandiri tidak menyimpan kredensyal cache. Untuk menghindari pengambilan kredensyal pada setiap panggilan API, bungkus penyedia Anda dengan file. CachedCredentialsProvider Penyedia yang di-cache mengambil kredensil baru hanya ketika kredensi saat ini kedaluwarsa.

Untuk menyimpan kredensi cache dengan penyedia mandiri, gunakan kelas: CachedCredentialsProvider

val ddb = DynamoDbClient {
     region = "us-east-1"
     credentialsProvider = CachedCredentialsProvider(StsAssumeRoleCredentialsProvider())
 }

Atau, gunakan fungsi cached() ekstensi untuk kode yang lebih ringkas:

val ddb = DynamoDbClient {
      region = "us-east-1"
      credentialsProvider = StsAssumeRoleCredentialsProvider().cached()
 }