Cadeia de fornecedores de credenciais padrão no AWS SDK for Java 2.x - AWS SDK for Java 2.x
Ordem de recuperação das configurações de credenciaisUsar o DefaultCredentialsProvider no código

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Cadeia de fornecedores de credenciais padrão no AWS SDK for Java 2.x

A cadeia de provedores de credenciais padrão na pesquisa AWS SDK for Java 2.x automaticamente as AWS credenciais em uma sequência predefinida de locais, permitindo que os aplicativos se autentiquem Serviços da AWS sem especificar explicitamente as fontes de credenciais.

A cadeia de fornecedores de credenciais padrão é implementada pela DefaultCredentialsProviderclasse. Ela delega sequencialmente a outros provedores de credenciais implementações que verificam a configuração em vários locais. O primeiro provedor de credenciais que consegue encontrar todos os elementos de configuração necessários faz com que a cadeia termine.

Para usar a cadeia de provedores de credenciais padrão para fornecer credenciais temporárias, crie um compilador de clientes de serviço, mas não especifique um provedor de credenciais. O trecho de código a seguir cria um DynamoDbClient que usa a cadeia de provedores de credenciais padrão para localizar e recuperar as configurações.

// Any external Region configuration is overridden.
// The SDK uses the default credentials provider chain because no specific credentials provider is specified.
Region region = Region.US_WEST_2;
DynamoDbClient ddb = 
    DynamoDbClient.builder()
                  .region(region)
                  .build();

Ordem de recuperação das configurações de credenciais

A cadeia de fornecedores de credenciais padrão do SDK para Java 2.x pesquisa a configuração em seu ambiente usando uma sequência predefinida.

  1. Propriedades do sistema Java

    • O SDK usa a SystemPropertyCredentialsProviderclasse para carregar credenciais temporárias das propriedadesaws.accessKeyId,aws.secretAccessKey, e do sistema aws.sessionToken Java.

      nota

      Para mais informações sobre como definir as propriedades de sistema do Java, consulte o tutorial Propriedades do sistema no site Tutoriais do Java oficial.

  2. Variáveis de ambiente

  3. Token de identidade da web e ARN do perfil do IAM

    • O SDK usa a WebIdentityTokenFileCredentialsProviderclasse para carregar credenciais assumindo uma função usando um token de identidade da web.

    • O provedor de credenciais procura as seguintes variáveis de ambiente ou propriedades do sistema de JVM:

      • AWS_WEB_IDENTITY_TOKEN_FILE or aws.webIdentityTokenFile

      • AWS_ROLE_ARN ou aws.roleArn

      • AWS_ROLE_SESSION_NAME ou aws.roleSessionName (opcional)

    • Depois que o SDK adquire os valores, ele chama o AWS Security Token Service (STS) e usa as credenciais temporárias que retorna para assinar as solicitações.

    • Ambientes de tempo de execução, como o Amazon Elastic Kubernetes Service (EKS), disponibilizam automaticamente tokens de identidade da web, permitindo que os aplicativos obtenham AWS SDKs credenciais temporárias. AWS

  4. Os arquivos credentials e config compartilhados

    • O SDK usa o ProfileCredentialsProviderpara carregar as configurações de login único do IAM Identity Center ou credenciais temporárias do [default] perfil nos arquivos compartilhados. credentials config

      O Guia de referência do AWS SDKs and Tools tem informações detalhadas sobre como o SDK for Java funciona com o token de login único do IAM Identity Center para obter credenciais temporárias que o SDK usa para chamar. Serviços da AWS

      nota

      Os config arquivos credentials e são compartilhados por várias AWS SDKs ferramentas. Para obter mais informações, consulte O. aws/credentials and .aws/configarquivos no Guia de referência de ferramentas AWS SDKs e ferramentas.

    • Como um perfil nos arquivos de credentials e config compartilhados pode conter muitos conjuntos diferentes de configurações, o ProfileCredentialsProvider delega a uma série de outros provedores para procurar as configurações no perfil [default]:

      • Credenciais de token de identidade da web (classe WebIdentityTokenCredentialsProvider): quando o perfil contém role_arn e web_identity_token_file.

      • Credenciais de SSO (classe SsoCredentialsProvider): quando o perfil contém propriedades relacionadas ao SSO, como sso_role_name e sso_account_id.

      • Credenciais baseadas em perfis com perfil de origem (classe StsAssumeRoleCredentialsProvider): quando o perfil contém role_arn e source_profile.

      • Credenciais baseadas em perfis com origem de credenciais (classe StsAssumeRoleWithSourceCredentialsProvider): quando o perfil contém role_arn e credential_source.

        • Quando credential_source = Environment: é usada uma cadeia de SystemPropertyCredentialsProvider e EnvironmentVariableCredentialsProvider

        • Quando credential_source = Ec2InstanceMetadata: é usado InstanceProfileCredentialsProvider

        • Quando credential_source = EcsContainer: é usado ContainerCredentialsProvider

      • Credenciais de login do console (classeLoginCredentialsProvider): quando o perfil contém login_session

      • Credenciais de processo (classe ProcessCredentialsProvider): quando o perfil contém credential_process.

      • Credenciais de sessão (classe StaticSessionCredentialsProvider): quando o perfil contém aws_access_key_id, aws_secret_access_key e aws_session_token.

      • Credenciais básicas (classe StaticCredentialsProvider): quando o perfil contém aws_access_key_id e aws_secret_access_key.

  5. Amazon ECS credenciais de contêiner

    • O SDK usa a ContainerCredentialsProviderclasse para carregar credenciais temporárias usando as seguintes variáveis de ambiente:

      1. AWS_CONTAINER_CREDENTIALS_RELATIVE_URI ou AWS_CONTAINER_CREDENTIALS_FULL_URI

      2. AWS_CONTAINER_AUTHORIZATION_TOKEN_FILE ou AWS_CONTAINER_AUTHORIZATION_TOKEN

    O agente de contêiner do ECS define automaticamente a variável de ambiente AWS_CONTAINER_CREDENTIALS_RELATIVE_URI, que aponta para o endpoint de credenciais do ECS. As outras variáveis de ambiente geralmente são definidas em cenários específicos em que o endpoint padrão da credencial do ECS não é usado.

  6. Amazon EC2 credenciais fornecidas pela função IAM da instância

  7. Se o SDK não conseguir encontrar as configurações necessárias por meio de todas as etapas listadas acima, ele lançará uma exceção com uma saída semelhante à seguinte:

    software.amazon.awssdk.core.exception.SdkClientException: Unable to load credentials from any of the providers 
in the chain AwsCredentialsProviderChain(credentialsProviders=[SystemPropertyCredentialsProvider(), 
EnvironmentVariableCredentialsProvider(), WebIdentityTokenCredentialsProvider(), ProfileCredentialsProvider(), 
ContainerCredentialsProvider(), InstanceProfileCredentialsProvider()])

Usar o DefaultCredentialsProvider no código

Você pode usar explicitamente a cadeia de provedores de credenciais padrão no código. Funcionalmente, isso equivale a você não especificar nenhum provedor de credenciais, já que o SDK usa DefaultCredentialsProvider por padrão. No entanto, o uso explícito pode tornar seu código mais legível e autodocumentado. Isso mostra claramente sua intenção de usar a cadeia de credenciais padrão.

import software.amazon.awssdk.auth.credentials.DefaultCredentialsProvider;
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3.S3Client;

public class ExplicitDefaultCredentialsExample {
    public static void main(String[] args) {
        // Explicitly create the DefaultCredentialsProvider.
        DefaultCredentialsProvider defaultCredentialsProvider = DefaultCredentialsProvider
                                                                    .builder().build();

        // Use it with any service client.
        S3Client s3Client = S3Client.builder()
            .region(Region.US_WEST_2)
            .credentialsProvider(defaultCredentialsProvider)
            .build();

        // Now you can use the client with the default credentials chain.
        s3Client.listBuckets();
    }
}

Ao criar o provedor de credenciais padrão, você pode fornecer mais configurações:

DefaultCredentialsProvider customizedProvider = DefaultCredentialsProvider.builder()
    .profileName("custom-profile")  // Use a specific profile if the chain gets to the `ProfileCredentialsProvider` stage.
    .asyncCredentialUpdateEnabled(true)  // Enable async credential updates.
    .build();

Essa abordagem oferece mais controle e, ao mesmo tempo, fornece a conveniência da cadeia de credenciais padrão.