本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用短期凭证进行身份验证 AWS SDKs 和工具
我们建议配置您的 AWS SDK 或工具,使其[使用 IAM 身份中心对 AWS SDK 和工具进行身份验证](access-sso.md)与延长会话持续时间选项一起使用。但是,您可以复制和使用 AWS 访问门户中提供的临时证书。在这些临时凭证过期后,将需要复制新凭证。您可以在配置文件中使用临时凭证,也可以将其用作系统属性和环境变量的值。
最佳实践:我们建议您的应用程序使用来自以下来源的临时凭证,而不是手动管理凭证文件中的访问密钥和令牌:
+ 一种 AWS 计算服务,例如在 Amazon Elastic Compute Cloud 或中运行您的应用程序 AWS Lambda。
+ 凭证提供者链中的其他选项,例如[使用 IAM 身份中心对 AWS SDK 和工具进行身份验证](access-sso.md)。
+ 也可使用 [进程凭证提供者](feature-process-credentials.md) 来检索临时凭证。
**使用从 AWS 访问门户中检索到的短期凭证设置凭证文件**
1. [创建共享凭证文件](https://docs.aws.amazon.com/sdkref/latest/guide/file-location.html)。
1. 在凭证文件中,粘贴以下占位符文本,直到粘贴有效的临时凭证为止。
```
[default]
aws_access_key_id=
aws_secret_access_key=
aws_session_token=
```
1. 保存该文件。文件 `~/.aws/credentials` 现在应该存在于您的本地开发系统上。如果未指定特定的命名配置文件,此文件包含 SDK 或工具使用的[[默认] 配置文件](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html#file-format-profile)。
1. [登录 AWS 访问门户](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html)。
1. 按照这些[手动刷新凭证](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials)的说明从 AWS 访问门户复制 IAM 角色证书。
1. 对于链接的说明中的步骤 4,选择可授予访问权限以满足您的开发需求的 IAM 角色名称。此角色的名称通常类似于**PowerUserAccess**或**开发人员**。
1. 对于链接的说明中的步骤 7,选择**手动将配置文件添加到您的 AWS 凭证文件**选项并复制内容。
1. 将复制的凭证粘贴到您的本地`credentials`文件中。如果您使用的是`default`配置文件,则不需要生成的配置文件名称。您的文件应类似于以下内容。
```
[default]
aws_access_key_id=AKIAIOSFODNN7EXAMPLE
aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
```
1. 保存 `credentials` 文件。
当 SDK 创建服务客户端时,它将访问这些临时凭证并将它们用于每个请求。在步骤 5a 中选择的 IAM 角色的设置决定了[临时凭证的有效时间](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html)。最长持续时间为 12 小时。
在临时凭证过期后,重复步骤 4 到 7。