Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS
Provedor de credenciais de processo - AWS SDKs e ferramentas
Especificando o caminho para o programa de credenciaisSaída válida do programa de credenciaisSupport by AWS SDKs and tools

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provedor de credenciais de processo

PDFRSS
nota

Para obter ajuda na compreensão do layout das páginas de configurações ou na interpretação da tabela Support by AWS SDKs and tools a seguir, consulteEntendendo as páginas de configurações deste guia.

SDKs fornecem uma forma de estender a cadeia de fornecedores de credenciais para casos de uso personalizados. Esse provedor pode ser usado para fornecer implementações personalizadas, como recuperar credenciais de um repositório de credenciais local ou integrar-se ao seu provedor de identificação local.

Por exemplo, o IAM Roles Anywhere usa credential_process para obter credenciais temporárias em nome do seu aplicativo. Para configurar credential_process para esse uso, consulte Usando o IAM Roles Anywhere para autenticação AWS SDKs e ferramentas.

nota

O seguinte descreve um método de obtenção de credenciais de um processo externo e pode ser usado se você estiver executando software fora do. AWS Se você estiver criando um recurso AWS computacional, use outros provedores de credenciais. Ao usar essa opção, certifique-se de que o arquivo de configuração esteja o mais bloqueado possível usando as melhores práticas de segurança para seu sistema operacional. Confirme se sua ferramenta de credencial personalizada não grava nenhuma informação secretaStdErr, pois ela AWS CLI pode capturar SDKs e registrar essas informações, potencialmente expondo-as a usuários não autorizados.

Configure essa funcionalidade usando o seguinte:

credential_process- configuração de AWS config arquivo compartilhado

Especifica um comando externo que o SDK ou uma ferramenta executa em seu nome para gerar ou recuperar credenciais de autenticação a serem usadas. A configuração especifica o nome de um programa/comando que o SDK invocará. Quando o SDK invoca o processo, ele espera que o processo grave dados JSON em stdout. O provedor personalizado deve retornar informações em um formato específico. Essas informações contêm as credenciais que o SDK ou a ferramenta podem usar para autenticar você.

nota

O provedor de credenciais do processo faz parte do Entenda a cadeia de fornecedores de credenciais. No entanto, o provedor de credenciais do processo só é verificado após vários outros provedores que estão nesta série. Portanto, se você quiser que seu programa use as credenciais deste provedor, você deve remover outros provedores de credenciais válidos da sua configuração ou usar um perfil diferente. Como alternativa, em vez de confiar na cadeia de fornecedores de credenciais para descobrir automaticamente qual provedor retorna credenciais válidas, especifique o uso do provedor de credenciais do processo no código. Você pode especificar fontes de credenciais diretamente ao criar clientes de serviço.

Especificando o caminho para o programa de credenciais

O valor da configuração é uma string que contém um caminho para um programa que o SDK ou a ferramenta de desenvolvimento executa em seu nome:

  • O caminho e o nome do arquivo podem consistir somente dos seguintes caracteres: A-Z, a-z, 0-9, hífen (-), sublinhado (_), barra (/), barra invertida (\) e espaço.

  • Se o caminho ou o nome do arquivo contiver um espaço, coloque o caminho completo e o nome do arquivo entre aspas duplas (“ ”).

  • Se um nome de parâmetro ou um valor de parâmetro tiver um espaço, coloque esse elemento entre aspas duplas (“ ”). Coloque somente o nome ou o valor entre aspas, não o par.

  • Não inclua variáveis de ambiente nas strings. Por exemplo, não inclua $HOME ou %USERPROFILE%.

  • Não especifique a pasta base como ~. * Você deve especificar o caminho completo ou o nome do arquivo base. Se houver um nome de arquivo base, o sistema tentará encontrar o programa nas pastas especificadas pela variável de ambiente PATH. O caminho varia de acordo com o sistema operacional:

    O exemplo a seguir mostra a configuração de credential_process no arquivo compartilhado config no Linux/macOS.

    credential_process = "/path/to/credentials.sh" parameterWithoutSpaces "parameter with spaces"

    O exemplo a seguir mostra a configuração de credential_process no arquivo compartilhado config no Windows.

    credential_process = "C:\Path\To\credentials.cmd" parameterWithoutSpaces "parameter with spaces"

  • Pode ser especificado em um perfil dedicado:

    [profile cred_process] 
credential_process = /Users/username/process.sh 
region = us-east-1

Saída válida do programa de credenciais

O SDK executa o comando conforme especificado no perfil e em seguida lê os dados do fluxo de saída padrão. O comando especificado, seja um script ou um programa binário, deverá gerar a saída JSON em STDOUT que corresponde à sintaxe a seguir. 

{
    "Version": 1,
    "AccessKeyId": "an AWS access key",
    "SecretAccessKey": "your AWS secret access key",
    "SessionToken": "the AWS session token for temporary credentials", 
    "Expiration": "RFC3339 timestamp for when the credentials expire"
}
nota

No momento da elaboração deste documento, a chave Version deve ser definida como 1. Isso pode aumentar ao longo do tempo conforme a estrutura evolui.

A Expiration chave é um carimbo de data/hora RFC3339 formatado. Se a chave Expiration não estiver presente na saída da ferramenta, o SDK vai supor que as credenciais são de longo prazo que não são atualizadas. Caso contrário, as credenciais serão consideradas temporárias e serão atualizadas automaticamente com a nova execução do comando credential_process antes de expirarem.

nota

O SDK não armazena em cache as credenciais do processo externo como faz com credenciais assume-role. Se o armazenamento em cache for obrigatório, implemente-o no processo externo.

O processo externo pode retornar um código de retorno diferente de zero para indicar que ocorreu um erro ao recuperar as credenciais.

Support by AWS SDKs and tools

Os itens a seguir SDKs oferecem suporte aos recursos e configurações descritos neste tópico. Quaisquer exceções parciais estão anotadas. Todas as configurações de propriedade do sistema JVM são suportadas pelo AWS SDK para Java e pelo AWS SDK para Kotlin único.

SDK Compatível Notas ou mais informações
AWS CLI v2 Sim
SDK para C++ Sim
SDK para Go V2 (1.x) Sim
SDK para Go 1.x (V1) Sim Para usar as configurações do arquivo config compartilhado, você deve ativar o carregamento do arquivo de configuração; consulte Sessões.
SDK para Java 2.x Sim
SDK para Java 1.x Sim
SDK para 3.x JavaScript Sim
SDK para 2.x JavaScript Sim
SDK para Kotlin Sim
SDK para .NET 3.x Sim
SDK para PHP 3.x Sim
SDK para Python (Boto3) Sim
SDK para Ruby 3.x Sim
SDK para Rust Sim
SDK para Swift Sim
Ferramentas para PowerShell Sim

Próximo tópico:

Atributos padronizados

Tópico anterior:

Provedor de IMDS

Precisa de ajuda?

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.