向适用于 Java 的 AWS SDK 提供临时凭证 - 适用于 Java 的 AWS SDK 1.x
使用默认凭证提供程序链指定凭证提供程序或提供程序链明确指定临时凭证更多信息

适用于 Java 的 AWS SDK 1.x 版本自 2024 年 7 月 31 日起已进入维护模式,并将于 2025 年 12 月 31 日终止支持。我们建议您迁移到 AWS SDK for Java 2.x 以继续获得新功能、可用性改进和安全更新。

向适用于 Java 的 AWS SDK 提供临时凭证

要向 Amazon Web Services 发出请求,您必须提供 AWS 临时凭证,以供适用于 Java 的 AWS SDK 在调用服务时使用。您可以通过下列方式来执行此操作:

  • 使用默认凭证提供程序链(推荐)

  • 使用特定的凭证提供程序或提供程序链(或创建您自己的)。

  • 在代码中自行提供临时凭证。

使用默认凭证提供程序链

在初始化新服务客户端而不提供任何参数时,适用于 Java 的 AWS SDK 将尝试使用由 DefaultAWSCredentialsProviderChain 类实施的默认凭证提供程序链 来查找临时凭证。默认凭证提供程序链将按此顺序查找凭证:

  1. 环境变量AWS_ACCESS_KEY_IDAWS_SECRET_KEYAWS_SECRET_ACCESS_KEYAWS_SESSION_TOKEN。适用于 Java 的 AWS SDK使用 EnvironmentVariableCredentialsProvider 类加载这些凭证。

  2. Java 系统属性aws.accessKeyIdaws.secretKey(而不是 aws.secretAccessKey)和 aws.sessionToken。适用于 Java 的 AWS SDK使用 SystemPropertiesCredentialsProvider 加载这些凭证。

  3. 来自环境或容器的 Web 身份令牌凭证

  4. 默认凭证配置文件 – 通常位于 ~/.aws/credentials(位置可能因平台而异),此凭证文件由多个 AWS SDK 和 AWS CLI 共享。适用于 Java 的 AWS SDK使用 ProfileCredentialsProvider 加载这些凭证。

    您可以使用由 AWS CLI 提供的 aws configure 命令创建凭证文件,也可以使用文本编辑器编辑文件来创建它。有关凭证文件格式的信息,请参阅 AWS 凭证文件格式

  5. Amazon ECS 容器凭证 – 如果设置了环境变量 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI,则从 Amazon ECS 加载该凭证。适用于 Java 的 AWS SDK使用 ContainerCredentialsProvider 加载这些凭证。可以指定此值的 IP 地址。

  6. 实例配置文件凭证 – 在 EC2 实例上使用,并通过 Amazon EC2 元数据服务传送。适用于 Java 的 AWS SDK使用 InstanceProfileCredentialsProvider 加载这些凭证。可以指定此值的 IP 地址。

    注意

    仅在未设置 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI 时使用实例配置文件凭证。有关更多信息,请参阅 EC2ContainerCredentialsProviderWrapper

设置临时凭证

要使用 AWS 临时凭证,必须在上述位置中的至少一个 位置设置该凭证。有关设置凭证的信息,请参阅以下主题:

设置备用凭证配置文件

默认情况下,适用于 Java 的 AWS SDK 使用默认配置文件,但可通过几种方式自定义源自凭证文件的配置文件。

您可以使用 AWS 配置文件环境变量来更改 SDK 所加载的配置文件。

例如,在 Linux、macOS 或 Unix 上,您可运行以下命令来将配置文件更改为 myProfile

export AWS_PROFILE="myProfile"

在 Windows 上,您将使用以下配置文件。

set AWS_PROFILE="myProfile"

设置 AWS_PROFILE 环境变量将影响所有正式支持的 AWS SDK 和工具(包括 AWS CLI 和 AWS Tools for Windows PowerShell)的凭证加载。如果只需要更改 Java 应用程序的配置文件,则可改用系统属性 aws.profile

注意

环境变量优先于系统属性。

设置备用凭证文件位置

适用于 Java 的 AWS SDK 会自动从默认凭证文件位置加载 AWS 临时凭证。但是,您也可以通过在 AWS_CREDENTIAL_PROFILES_FILE 环境变量中设置凭证文件的完整路径来指定位置。

您可以使用此功能临时更改 适用于 Java 的 AWS SDK 查找凭证文件的位置(例如,通过使用命令行设置此变量)。或者,您也可以在您的用户环境或系统环境中设置该环境变量,在用户范围或系统范围内对其进行更改。

覆盖默认凭证文件位置

  • AWS_CREDENTIAL_PROFILES_FILE 环境变量设置为 AWS 凭证文件的位置。

    • 在 Linux、macOS 或 Unix 上,请使用:

      export AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

    • 在 Windows 上,请使用:

      set AWS_CREDENTIAL_PROFILES_FILE=path/to/credentials_file

Credentials 文件格式

根据本指南中的基本设置说明,您的凭证文件应采用以下基本格式。

[default]
aws_access_key_id=<value from AWS access portal>
aws_secret_access_key=<value from AWS access portal>
aws_session_token=<value from AWS access portal>

[profile2]
aws_access_key_id=<value from AWS access portal>
aws_secret_access_key=<value from AWS access portal>
aws_session_token=<value from AWS access portal>

在方括号中指定配置文件名(例如:[default]),后跟该配置文件中的可配置字段作为键值对。您的 credentials 文件可包含多个配置文件,可使用 aws configure --profile PROFILE_NAME 选择要配置的配置文件来添加或编辑这些配置文件。

您可以指定其他字段,例如 metadata_service_timeoutmetadata_service_num_attempts。无法使用 CLI 配置这些文件 – 如果您想使用这些文件,则必须手动编辑它们。有关配置文件及其可用字段的更多信息,请参阅《AWS Command Line Interface 用户指南》中的配置 AWS Command Line Interface

加载凭证

在设置临时凭证后,SDK 使用默认凭证提供程序链来加载这些凭证。

为此,应实例化 AWS 服务 服务客户端,但不向生成器明确提供凭证,如下所示。

AmazonS3 s3Client = AmazonS3ClientBuilder.standard()
                       .withRegion(Regions.US_WEST_2)
                       .build();

指定凭证提供程序或提供程序链

您可以通过客户端生成器来指定一个不同于默认凭证提供程序链的凭证提供程序。

向将 AWSCredentialsProvider 接口作为输入的客户端生成器提供凭证提供程序或提供程序链的实例。以下示例演示使用环境 凭证的具体情况。

AmazonS3 s3Client = AmazonS3ClientBuilder.standard()
                       .withCredentials(new EnvironmentVariableCredentialsProvider())
                       .build();

有关适用于 Java 的 AWS SDK 提供的凭证提供程序和提供程序链的完整列表,请参阅 AWSCredentialsProvider 中的所有已知实施类

注意

您可以使用此方法提供您创建的凭证提供程序或提供程序链,方式是使用您自己的可实施 AWSCredentialsProvider 接口的凭证提供程序或通过为 AWSCredentialsProviderChain 类生成子类。

明确指定临时凭证

如果默认凭证链和特定的或自定义的提供程序或提供程序链都不适用于您的代码,您可以通过自行提供来明确设置这些凭证。如果您已使用 AWS STS 检索了临时凭证,请使用此方法指定用于 AWS 访问的凭证。

  1. 实例化 BasicSessionCredentials 类,并为其提供 AWS 访问密钥、AWS 秘密密钥和 AWS 会话令牌,供 SDK 用于连接。

  2. 使用 对象创建 AWSStaticCredentialsProviderAWSCredentials

  3. 使用 AWSStaticCredentialsProvider 配置客户端生成器并构建客户端。

示例如下:

BasicSessionCredentials awsCreds = new BasicSessionCredentials("access_key_id", "secret_key_id", "session_token");
AmazonS3 s3Client = AmazonS3ClientBuilder.standard()
                        .withCredentials(new AWSStaticCredentialsProvider(awsCreds))
                        .build();

更多信息