使用 AWS 适用于 C++ 凭证提供程序的 SDK

对的所有请求都 AWS 必须使用颁发的凭证进行加密签名。 AWS运行时，SDK 会通过检查多个位置来检索凭证的配置值。

身份验证 AWS 可以在您的代码库之外处理。SDK 可通过凭证提供程序链自动检测、使用并刷新多种身份验证方式。

有关项目 AWS 身份验证入门的指导性选项，请参阅《工具参考指南》和《工具参考指南》中的身份验证AWS SDKs 和访问权限。

凭证提供程序链

如果您在构建客户端时没有明确指定凭证提供程序，那么适用于 C++ 的 SDK 会使用凭证提供程序链来检查一系列可以提供凭证的位置。SDK 在其中一个位置找到凭证后，搜索就会停止。

凭证检索顺序

所有 SDKs 人都有一系列地点（或来源）供他们检查，以便获得用于向某人提出请求的有效凭证 AWS 服务。找到有效凭证后，搜索即告停止。这种系统性搜索称为凭证提供程序链。

对于链中的每个步骤，都有不同的设置值的方法。直接在代码中设置值始终优先，然后设置为环境变量，然后在共享 AWS config文件中设置。有关更多信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的设置优先级。

SDK 尝试从共享 AWS config和credentials文件中的[default]配置文件加载凭证。您可以使用 AWS_PROFILE 环境变量来选择您想让 SDK 加载的命名配置文件，而不是使用 [default]。config和credentials文件由 AWS SDKs 和工具共享。《AWS SDKs 和工具参考指南》包含有关所有 AWS SDKs 人使用的 SDK 配置设置的信息 AWS CLI。要详细了解如何通过共享 AWS config文件配置 SDK，请参阅共享配置和凭据文件。要详细了解如何通过设置环境变量来配置 SDK，请参阅环境变量支持。

要进行身份验证 AWS，适用于 C++ 的 SDK 将按以下顺序检查凭证提供者。

AWS 访问密钥（临时和长期证书）

SDK 尝试从AWS_ACCESS_KEY_ID和和AWS_SECRET_ACCESS_KEYAWS_SESSION_TOKEN环境变量或共享 AWS credentials文件加载凭证。
- 有关配置此提供程序的指导，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的AWS 访问密钥。
- 有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的AWS 访问密钥。
AWS STS 网络身份

在创建需要访问的移动应用程序或基于客户端的 Web 应用程序时 AWS， AWS Security Token Service (AWS STS) 会为通过公共身份提供商 (IdP) 进行身份验证的联合用户返回一组临时安全证书。
- 当您在配置文件中指定此项时，SDK 或工具会尝试使用 AWS STS AssumeRoleWithWebIdentity API 方法检索临时证书。有关此方法的详细信息，请参阅 AWS Security Token Service API 参考AssumeRoleWithWebIdentity中的。
- 有关配置此提供程序的指导，请参阅《和工具参考指南》AWS SDKs 中的 “使用网络身份进行联合” 或 OpenID Connect。
- 有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的代入角色凭据提供程序。
IAM Identity Center

如果您使用 IAM Identity Center 进行身份验证，则此时适用于 C++ 的 SDK 将使用通过运行 AWS CLI 命令aws sso login设置的单点登录令牌。该 SDK 使用的临时凭证是由 IAM Identity Center 用一个有效的令牌换取的。然后，SDK 在调用 AWS 服务时会使用临时凭证。有关此过程的详细信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》 AWS 服务中的 “了解 SDK 凭据解析”。
- 有关配置此提供商的指导，请参阅AWS SDKs 和工具参考指南中的 IAM 身份中心身份验证。
- 有关此提供商的 SDK 配置属性的详细信息，请参阅AWS SDKs 和工具参考指南中的 IAM Identity Center 凭证提供商。
使用登录登录凭证身份解析器 AWS

如果您使用 AWS 登录和控制台凭证进行身份验证，则此时适用于 C++ 的 SDK 将使用通过运行aws login或aws login --profile在 CLI 中设置的控制台证书。SDK 在调用 AWS 服务时使用这些凭证。
- 有关此过程的详细信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的 “使用控制台凭据登录进行 AWS 本地开发”。
外部流程提供程序

此提供程序可用于提供自定义实现，例如从本地凭证存储中检索凭证或与本地身份提供程序集成。
- 有关配置此提供商的一种方法的指导，请参阅《AWS SDKs 工具参考指南》中的 IAM Anywhere 角色。
- 有关此提供商的 SDK 配置属性的详细信息，请参阅AWS SDKs 和工具参考指南中的流程凭证提供程序。
Amazon ECS 和 Amazon EKS 容器凭证

您的 Amazon Elastic Container Service 任务和 Kubernetes 服务账户可以具有与其关联的 IAM 角色。在 IAM 角色中授予的权限由任务中运行的容器或容器组（Pod）内的容器承担。此角色允许您的适用于 C++ 的 SDK 应用程序代码（在容器上）使用其他 AWS 服务。

SDK 尝试从 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 或 AWS_CONTAINER_CREDENTIALS_FULL_URI 环境变量检索凭证，这些变量可以由 Amazon ECS 和 Amazon EKS 自动设置。
- 有关为 Amazon ECS 设置此角色的详细信息，请参阅《Amazon Elastic Container Service 开发人员指南》中的 Amazon ECS 任务 IAM 角色。
- 有关 Amazon EKS 的设置信息，请参阅《Amazon EKS 用户指南》中的设置 Amazon EKS 容器组身份代理。
- 有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的容器凭证提供程序。
Amazon EC2 实例元数据服务

创建 IAM 角色并将其附加到您的实例。实例上适用于 C++ 的 SDK 应用程序会尝试从实例元数据中检索由角色提供的凭证。
- 有关设置此角色和使用元数据、Amazon 的 IAM 角色 EC2和使用实例元数据的详细信息，请参阅亚马逊 EC2 用户指南。
- 有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》AWS SDKs 和《工具参考指南》中的 IMDS 凭证提供程序。

可以在上的适用于 C++ 的 AWS SDK GitHub源代码AWSCredentialsProviderChain中查看证书提供者链。

如果您遵循推荐的新用户入门方法，则可以在入门主题中AWS 使用 AWS 适用于 C++ 的 SDK 进行身份验证设置 AWS 登录凭据身份验证。其他身份验证方法适用于不同的情况。为避免安全风险，我们建议始终使用短期凭证。有关其他身份验证方法的步骤，请参阅《和工具参考指南》中的身份验证AWS SDKs 和访问权限。

显式凭证提供程序

您可以指定 SDK 应使用的特定凭证提供程序，而不是依赖凭证提供程序链来检测您的身份验证方法。您可以通过在服务客户端的构造函数中提供凭证来实现此目的。

以下示例通过直接提供临时访问凭证（而非使用链）创建了一个 Amazon Simple Storage Service 客户端。


    SDKOptions options;
    Aws::InitAPI(options);
    {
        const auto cred_provider = Aws::MakeShared<Auth::SimpleAWSCredentialsProvider>("TestAllocationTag",
            "awsAccessKeyId",
            "awsSecretKey",
            "sessionToken");
        S3Client client{cred_provider};
    }
    Aws::ShutdownAPI(options);

身份缓存

SDK 将缓存凭证和其他身份类型，例如 SSO 令牌。默认情况下，SDK 使用惰性缓存实现：在首次请求时加载凭证并缓存，当凭证即将过期时，会在下次请求时尝试刷新。从同一个 Aws::Client::ClientConfiguration 创建的客户端共享一个缓存。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS 区域

CMake 参数