本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
授予编程式访问权限
你可以运行 AWS CLI 以及本指南中的代码示例,可在您的本地计算机或其他计算机上使用 AWS 环境,例如 Amazon 弹性计算云实例。要运行这些示例,您需要授予访问权限 AWS SDK示例使用的操作。
在本地计算机上运行代码
要在本地计算机上运行代码,我们建议您使用短期凭证向用户授予访问权限 AWS SDK操作。有关运行的具体信息 AWS CLI 以及本地计算机上的代码示例,请参阅在本地计算机上使用配置文件。
如果用户想要与之交互,则需要编程访问权限 AWS 在外面 AWS Management Console。 授予编程访问权限的方式取决于正在访问的用户类型 AWS.
要向用户授予编程式访问权限,请选择以下选项之一。
哪个用户需要编程式访问权限? | 目的 | 方式 |
---|---|---|
人力身份 (在IAM身份中心管理的用户) |
使用临时证书签署对的编程请求 AWS CLI, AWS SDKs,或 AWS APIs. |
按照您希望使用的界面的说明进行操作。
|
IAM | 使用临时证书签署对的编程请求 AWS CLI, AWS SDKs,或 AWS APIs. | 按照使用临时证书中的说明进行操作 AWS 《IAM用户指南》中的资源。 |
IAM | (不推荐使用) 使用长期凭证签署对的编程请求 AWS CLI, AWS SDKs,或 AWS APIs. |
按照您希望使用的界面的说明进行操作。
|
在本地计算机上使用配置文件
你可以运行 AWS CLI 以及本指南中的代码示例,其中包含您在中创建的短期证书在本地计算机上运行代码。为了获取凭证和其他设置信息,这些示例使用名为 profile-name
的配置文件。例如:
session = boto3.Session(profile_name="profile-name") rekognition_client = session.client("rekognition")
个人资料所代表的用户必须有权调用 Rekognition SDK 操作和其他操作 AWS SDK示例所需的操作。
要创建适用于的个人资料 AWS CLI 和代码示例,请选择以下选项之一。确保您创建的配置文件的名称为 profile-name
。
由管理的用户 IAM-按照切换到IAM角色 (AWSCLI) 中的说明进行操作。
-
员工身份(管理的用户由 AWS IAM Identity Center) — 按照 “配置AWSCLI要使用” 中的说明进行操作 AWS IAM Identity Center。 对于代码示例,我们建议使用集成开发环境 (IDE),该环境支持通过 Identity Center 进行IAM身份验证的 AWS Toolkit。有关 Java 示例,请参阅使用 Java 开始构建
。有关 Python 示例,请参阅使用 Python 开始构建 。有关更多信息,请参阅IAM身份中心证书。
注意
您可以使用代码获取短期凭证。有关更多信息,请参阅切换到IAM角色 (AWSAPI)。对于 IAM Identity Center,请按照获取角色CLI访问凭证IAM中的说明获取角色的短期证书。
在中运行代码 AWS 环境
您不应使用用户凭证进行签名 AWS SDK打电话进来 AWS 环境,例如在环境中运行的生产代码 AWS Lambda function。相反,您应该配置一个角色来定义代码所需的权限。然后,将该角色附加到运行代码的环境。关于如何附加角色和提供可用的临时凭证,取决于运行代码的环境:
-
AWS Lambda 函数 — 使用 Lambda 在担任 Lambda 函数的执行角色时自动提供给您的函数的临时证书。这些凭证在 Lambda 环境变量中可用。您不需要指定配置文件。有关更多信息,请参阅 Lambda 执行角色。
-
亚马逊 EC2-使用亚马逊EC2实例元数据终端节点凭证提供程序。提供商使用您附加到亚马逊实例的亚马逊EC2实例配置文件自动为您生成和刷新证书。EC2有关更多信息,请参阅使用IAM角色向在 Amazon EC2 实例上运行的应用程序授予权限
-
Amazon Elastic Container Service — 使用 Container 凭证提供程序。Amazon ECS 向元数据终端节点发送和刷新证书。您指定的任务IAM角色提供了一种管理应用程序使用的证书的策略。有关更多信息,请参阅与AWS服务交互。
有关凭证提供程序的更多信息,请参阅标准化凭证提供程序。