認証情報プロバイダーチェーン明示的な認証情報プロバイダーアイデンティティのキャッシュ

AWS SDK for C++ 認証情報プロバイダーの使用

へのすべてのリクエストは、によって発行された認証情報を使用して暗号で署名 AWS する必要があります AWS。実行時、SDK は複数の場所を確認して認証情報の設定値を取得します。

を使用した認証は AWS 、コードベース外で処理できます。多くの認証方法は、認証情報プロバイダーチェーンを使用して、SDK によって自動的に検出、使用、更新されます。

プロジェクトの AWS 認証を開始するためのガイド付きオプションについては、 SDK およびツールリファレンスガイドの「認証とアクセス」を参照してください。 AWS SDKs

認証情報プロバイダーチェーン

クライアントのコンストラクト時に認証情報プロバイダーを明示的に指定しない場合、SDK for C++ は認証情報プロバイダーチェーンを使用して、認証情報を提供できる一連の場所を確認します。SDK がこれらの場所のいずれかで認証情報を見つけると、検索は停止します。

認証情報の取得順序

すべての SDK には、 AWS のサービスに対するリクエストに使用する有効な認証情報を取得するためにチェックする一連の場所 (またはソース) があります。有効な認証情報が見つかると、検索は停止されます。この体系的な検索は、認証情報プロバイダーチェーンと呼ばれます。

チェーンのステップごとに、値を設定するさまざまな方法があります。コード内で直接値を設定することが常に優先され、次に環境変数としてを設定し、共有ファイルでを設定します AWS config。詳細については、『AWS SDK とツールのリファレンスガイド』の「設定の優先順位」を参照してください。

SDK は、共有 AWS config ファイルと credentials ファイル内の[default]プロファイルから認証情報をロードしようとします。AWS_PROFILE 環境変数を使用することで、SDK がロードする名前付きプロファイルを選択できます。これにより、[default] の代わりに任意のプロファイルを使用できます。config および credentialsファイルは、 AWS SDKsとツールによって共有されます。AWS SDKsおよびツールリファレンスガイドには、すべての SDK およびで使用される AWS SDKs設定に関する情報が記載されています AWS CLI。共有 AWS configファイルを使用して SDK を設定する方法の詳細については、「共有設定ファイルと認証情報ファイル」を参照してください。環境変数を設定して SDK を設定する方法の詳細については、「環境変数のサポート」を参照してください。

で認証するために AWS、 SDK for C++ は認証情報プロバイダーを次の順序でチェックします。

AWS アクセスキー (一時的および長期的な認証情報)

SDK は、 AWS_ACCESS_KEY_IDと AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKEN環境変数、または共有 AWS credentialsファイルから認証情報をロードしようとします。
- このプロバイダーの設定に関するガイダンスについては、「AWS SDK とツールのリファレンスガイド」の「 AWS アクセスキー」を参照してください。
- このプロバイダーの SDK 設定プロパティの詳細については、「AWS SDK とツールのリファレンスガイド」の「 AWS アクセスキー」を参照してください。
AWS STS ウェブ ID

アクセスを必要とするモバイルアプリケーションまたはクライアントベースのウェブアプリケーションを作成すると AWS、 AWS Security Token Service (AWS STS) は、パブリック ID プロバイダー (IdP) を介して認証されたフェデレーティッドユーザーの一時的なセキュリティ認証情報のセットを返します。
- プロファイルでこれを指定すると、SDK またはツールは AssumeRoleWithWebIdentity API メソッドを使用して AWS STS 一時的な認証情報の取得を試みます。この方法の詳細については、「AWS Security Token Service API リファレンス」の「AssumeRoleWithWebIdentity」を参照してください。
- このプロバイダーの設定に関するガイダンスについては、「AWS SDK とツールのリファレンスガイド」の「ウェブアイデンティティまたは OpenID Connect とのフェデレーション」を参照してください。
- このプロバイダーの SDK 設定プロパティの詳細については、「AWS SDK とツールのリファレンスガイド」の「ロール認証情報プロバイダーを引き受ける」を参照してください。
AWS IAM アイデンティティセンター

IAM Identity Center を使用して認証する場合、SDK for C++ は AWS CLI コマンドを実行してセットアップされたシングルサインオントークンを使用しますaws sso login。SDK は、IAM Identity Center が有効なトークンと交換した一時的な認証情報を使用します。次に、SDK は AWS のサービスを呼び出すときにこの一時的な認証情報を使用します。このプロセスの詳細については、「AWS SDK とツールのリファレンスガイド」の「AWS のサービスの SDK 認証情報解決について理解する」を参照してください。
- このプロバイダーの設定に関するガイダンスについては、「AWS SDK とツールのリファレンスガイド」の「IAM Identity Center 認証」を参照してください。
- このプロバイダーの SDK 設定プロパティの詳細については、「AWS SDK とツールのリファレンスガイド」の「IAM Identity Center 認証情報プロバイダー」を参照してください。
Signin を使用したログイン認証情報 ID AWS リゾルバー

AWS サインインとコンソール認証情報を使用して認証する場合、SDK for C++ は CLI aws login --profileで aws loginまたはを実行してセットアップされたコンソール認証情報を使用します。SDK は、 AWS サービスを呼び出すときにこれらの認証情報を使用します。
- このプロセスの詳細については、 SDK およびツールリファレンスガイドの「コンソール認証情報を使用した AWS ローカル開発用ログイン」を参照してください。 AWS SDKs
外部プロセスプロバイダー

このプロバイダーは、オンプレミスの認証情報ストアからの認証情報の取得やオンプレミスの ID プロバイダーとの統合など、カスタム実装を提供するために使用できます。
- このプロバイダーの設定方法の一例については、「AWS SDK とツールのリファレンスガイド」の「IAM Roles Anywhere」を参照してください。
- このプロバイダーの SDK 設定プロパティの詳細については、「AWS SDK とツールのリファレンスガイド」の「プロセス認証情報プロバイダー」を参照してください。
Amazon ECS および Amazon EKS コンテナ認証情報

Amazon Elastic Container Service のタスクと Kubernetes サービスアカウントには IAM ロールを関連付けることができます。IAM ロールで付与されたアクセス許可は、タスクで実行されているコンテナまたはポッドのコンテナによって引き受けられます。このロールにより、(コンテナ上の) SDK for C++ アプリケーションコードが他の AWS のサービスを使用できるようになります。

SDK は、Amazon ECS と Amazon EKS によって自動的に設定される AWS_CONTAINER_CREDENTIALS_RELATIVE_URI または AWS_CONTAINER_CREDENTIALS_FULL_URI の環境変数から認証情報を取得しようとします。
- Amazon ECS 用にこのロールを設定する方法の詳細については、「Amazon Elastic Container Service デベロッパーガイド」の「Amazon ECS タスクの IAM ロール」を参照してください。
- Amazon EKS の設定情報については、「Amazon EKS ユーザーガイド」の「Amazon EKS Pod Identity Agent の設定」を参照してください。
- このプロバイダーの SDK 設定プロパティの詳細については、「AWS SDK とツールのリファレンスガイド」の「コンテナ認証情報プロバイダー」を参照してください。
Amazon EC2 インスタンスメタデータサービス

IAM ロールを作成し、インスタンスにアタッチします。インスタンス上の SDK for C++ アプリケーションは、ロールによって提供された認証情報をインスタンスメタデータから取得しようとします。
- このロールの設定とメタデータの使用の詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 の IAM ロール」および「インスタンスメタデータの操作」を参照してください。
- このプロバイダーの SDK 設定プロパティの詳細については、「AWS SDK とツールのリファレンスガイド」の「IMDS 認証情報プロバイダー」を参照してください。

認証情報プロバイダーチェーンは、GitHub AWSCredentialsProviderChainの AWS SDK for C++ ソースコードので確認できます。

新しいユーザーが開始するための推奨アプローチに従った場合は、「開始方法」トピックAWS SDK for C++ AWS を使用したでの認証の中に AWS ログイン認証情報認証を設定します。その他の認証方法もさまざまな状況で役に立ちます。セキュリティリスクを避けるため、常に短期の認証情報を使用することをお勧めします。その他の認証方法については、『AWS SDK とツールのリファレンスガイド』の「認証とアクセス」を参照してください。

明示的な認証情報プロバイダー

SDK による認証方法の検出のために認証情報プロバイダーチェーンに依存するのではなく、特定の認証情報プロバイダーを指定できます。そのためには、サービスクライアントのコンストラクタで認証情報を指定します。

次の例では、認証情報プロバイダーチェーンを使用する代わりに一時的なアクセス認証情報を直接指定して、Amazon Simple Storage Service クライアントを作成しています。


    SDKOptions options;
    Aws::InitAPI(options);
    {
        const auto cred_provider = Aws::MakeShared<Auth::SimpleAWSCredentialsProvider>("TestAllocationTag",
            "awsAccessKeyId",
            "awsSecretKey",
            "sessionToken");
        S3Client client{cred_provider};
    }
    Aws::ShutdownAPI(options);

アイデンティティのキャッシュ

SDK は、認証情報や SSO トークンなど他のアイデンティティタイプをキャッシュします。デフォルトでは、SDK は遅延キャッシュ方式を使用します。この方式では、認証情報は最初のリクエスト時にロードされ、キャッシュされて、有効期限が近づいたら、次のリクエスト時に自動的に更新が試みられます。同じ Aws::Client::ClientConfiguration から作成されたクライアントはキャッシュを共有します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS リージョン

CMake のパラメータ