本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS 适用于 C\$1\$1 凭证提供程序的 SDK
<a name="credproviders"></a>

 对的所有请求都 AWS 必须使用颁发的凭证进行加密签名。 AWS运行时，SDK 会通过检查多个位置来检索凭证的配置值。

身份验证 AWS 可以在您的代码库之外处理。SDK 可通过凭证提供程序链自动检测、使用并刷新多种身份验证方式。

有关项目 AWS 身份验证入门的指导性选项，请参阅《工具参考指南》[和《*工具参考指南》中的身份验证AWS SDKs 和*访问权限](https://docs.aws.amazon.com/sdkref/latest/guide/access.html)。

## 凭证提供程序链
<a name="credproviders-default-credentials-provider-chain"></a>

如果您在构建客户端时没有明确指定凭证提供程序，那么适用于 C\$1\$1 的 SDK 会使用凭证提供程序链来检查一系列可以提供凭证的位置。SDK 在其中一个位置找到凭证后，搜索就会停止。

### 凭证检索顺序
<a name="credproviders-credential-retrieval-order"></a>

所有 SDKs 人都有一系列地点（或来源）供他们检查，以便获得用于向某人提出请求的有效凭证 AWS 服务。找到有效凭证后，搜索即告停止。这种系统性搜索称为凭证提供程序链。

对于链中的每个步骤，都有不同的设置值的方法。直接在代码中设置值始终优先，然后设置为环境变量，然后在共享 AWS `config`文件中设置。有关更多信息，请参阅《工具参考指南[》*AWS SDKs 和《工具参考指南》*中的设置优先级](https://docs.aws.amazon.com/sdkref/latest/guide/settings-reference.html#precedenceOfSettings)。

SDK 尝试从共享 AWS `config`和`credentials`文件中的`[default]`配置文件加载凭证。您可以使用 `AWS_PROFILE` 环境变量来选择您想让 SDK 加载的命名配置文件，而不是使用 `[default]`。`config`和`credentials`文件由 AWS SDKs 和工具共享。《*AWS SDKs 和工具参考指南》*包含有关所有 AWS SDKs 人使用的 SDK 配置设置的信息 AWS CLI。要详细了解如何通过共享 AWS `config`文件配置 SDK，请参阅[共享配置和凭据文件](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html)。要详细了解如何通过设置环境变量来配置 SDK，请参阅[环境变量支持](https://docs.aws.amazon.com/sdkref/latest/guide/environment-variables.html)。

要进行身份验证 AWS，适用于 C\$1\$1 的 SDK 将按以下顺序检查凭证提供者。

1. **AWS 访问密钥（临时和长期证书）**

   SDK 尝试从`AWS_ACCESS_KEY_ID`和和`AWS_SECRET_ACCESS_KEY``AWS_SESSION_TOKEN`环境变量或共享 AWS `credentials`文件加载凭证。
   +  有关配置此提供程序的指导，请参阅《工具参考指南》*AWS SDKs 和《工具参考指南》*中的[AWS 访问密钥](https://docs.aws.amazon.com/sdkref/latest/guide/access-users.html)。
   +  有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》*AWS SDKs 和《工具参考指南》*中的[AWS 访问密钥](https://docs.aws.amazon.com/sdkref/latest/guide/feature-static-credentials.html)。

1. **AWS STS 网络身份**

   在创建需要访问的移动应用程序或基于客户端的 Web 应用程序时 AWS， AWS Security Token Service (AWS STS) 会为通过公共身份提供商 (IdP) 进行身份验证的联合用户返回一组临时安全证书。
   + 当您在配置文件中指定此项时，SDK 或工具会尝试使用 AWS STS `AssumeRoleWithWebIdentity` API 方法检索临时证书。有关此方法的详细信息，请参阅 *AWS Security Token Service API 参考[AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)*中的。
   +  有关配置此提供程序的指导，请参阅《*和工具参考指南》AWS SDKs 中的* “[使用网络身份进行联合” 或 OpenID](https://docs.aws.amazon.com/sdkref/latest/guide/access-assume-role.html#webidentity) Connect。
   +  有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》*AWS SDKs 和《工具参考指南*》中的代入[角色凭据提供程序](https://docs.aws.amazon.com/sdkref/latest/guide/feature-assume-role-credentials.html)。

1. **IAM Identity Center**

   如果您使用 IAM Identity Center 进行身份验证，则此时适用于 C\$1\$1 的 SDK 将使用通过运行 AWS CLI 命令`aws sso login`设置的单点登录令牌。该 SDK 使用的临时凭证是由 IAM Identity Center 用一个有效的令牌换取的。然后，SDK 在调用 AWS 服务时会使用临时凭证。有关此过程的详细信息，请参阅《工具参考指南》*AWS SDKs 和《工具参考指南》 AWS 服务*中的 “[了解 SDK 凭据解析](https://docs.aws.amazon.com/sdkref/latest/guide/understanding-sso.html#idccredres)”。
   +  有关配置此提供商的指导，请参阅*AWS SDKs 和工具参考指南*[中的 IAM 身份中心身份验证](https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html)。
   +  有关此提供商的 SDK 配置属性的详细信息，请参阅*AWS SDKs 和工具参考指南*[中的 IAM Identity Center 凭证提供商](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html)。

1. **使用登录登录凭证身份解析器 AWS **

   如果您使用 AWS 登录和控制台凭证进行身份验证，则此时适用于 C\$1\$1 的 SDK 将使用通过运行`aws login`或`aws login --profile`在 CLI 中设置的控制台证书。SDK 在调用 AWS 服务时使用这些凭证。
   +  有关此过程的详细信息，请参阅《工具参考指南》*AWS SDKs 和《工具参考指南》*中的 “[使用控制台凭据登录进行 AWS 本地开发](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sign-in.html)”。

1. **外部流程提供程序**

   此提供程序可用于提供自定义实现，例如从本地凭证存储中检索凭证或与本地身份提供程序集成。
   +  有关配置此提供商的一种方法的指导，请参阅《*AWS SDKs 工具参考指南》*[中的 IAM Anywhere 角色](https://docs.aws.amazon.com/sdkref/latest/guide/access-rolesanywhere.html)。
   +  有关此提供商的 SDK 配置属性的详细信息，请参阅*AWS SDKs 和工具参考指南*中的[流程凭证提供](https://docs.aws.amazon.com/sdkref/latest/guide/feature-process-credentials.html)程序。

1. **Amazon ECS 和 Amazon EKS 容器凭证**

   您的 Amazon Elastic Container Service 任务和 Kubernetes 服务账户可以具有与其关联的 IAM 角色。在 IAM 角色中授予的权限由任务中运行的容器或容器组（Pod）内的容器承担。此角色允许您的适用于 C\$1\$1 的 SDK 应用程序代码（在容器上）使用其他 AWS 服务。

   SDK 尝试从 `AWS_CONTAINER_CREDENTIALS_RELATIVE_URI` 或 `AWS_CONTAINER_CREDENTIALS_FULL_URI` 环境变量检索凭证，这些变量可以由 Amazon ECS 和 Amazon EKS 自动设置。
   + 有关为 Amazon ECS 设置此角色的详细信息，请参阅《Amazon Elastic Container Service 开发人员指南》**中的 [Amazon ECS 任务 IAM 角色](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html)。
   + 有关 Amazon EKS 的设置信息，请参阅《Amazon EKS 用户指南》****中的[设置 Amazon EKS 容器组身份代理](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html)。
   +  有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》*AWS SDKs 和《工具参考指南*》中的[容器凭证提供程序](https://docs.aws.amazon.com/sdkref/latest/guide/feature-container-credentials.html)。

1. **Amazon EC2 实例元数据服务**

   创建 IAM 角色并将其附加到您的实例。实例上适用于 C\$1\$1 的 SDK 应用程序会尝试从实例元数据中检索由角色提供的凭证。
   + 有关设置此角色和使用元数据、[Amazon 的 IAM 角色 EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)和[使用实例元数据的](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html)详细信息，请参阅*亚马逊 EC2 用户指南*。
   +  有关此提供商的 SDK 配置属性的详细信息，请参阅《工具参考指南》*AWS SDKs 和《工具参考*指南》中的 [IMDS 凭证提供程序](https://docs.aws.amazon.com/sdkref/latest/guide/feature-imds-credentials.html)。

可以在上的 适用于 C\$1\$1 的 AWS SDK GitHub源代码[https://github.com/aws/aws-sdk-cpp/blob/main/src/aws-cpp-sdk-core/source/auth/AWSCredentialsProviderChain.cpp#L43-L86](https://github.com/aws/aws-sdk-cpp/blob/main/src/aws-cpp-sdk-core/source/auth/AWSCredentialsProviderChain.cpp#L43-L86)中查看证书提供者链。

如果您遵循推荐的新用户入门方法，则可以在入门主题中[AWS 使用 AWS 适用于 C\$1\$1 的 SDK 进行身份验证](credentials.md)设置 AWS 登录凭据身份验证。其他身份验证方法适用于不同的情况。为避免安全风险，我们建议始终使用短期凭证。有关其他身份验证方法的步骤，请参阅《[和*工具参考指南》中的身份验证AWS SDKs 和*访问权限](https://docs.aws.amazon.com/sdkref/latest/guide/access.html)。

## 显式凭证提供程序
<a name="credproviders-explicit-credentials-provider"></a>

您可以指定 SDK 应使用的特定凭证提供程序，而不是依赖凭证提供程序链来检测您的身份验证方法。您可以通过在服务客户端的构造函数中提供凭证来实现此目的。

以下示例通过直接提供临时访问凭证（而非使用链）创建了一个 Amazon Simple Storage Service 客户端。

```
    SDKOptions options;
    Aws::InitAPI(options);
    {
        const auto cred_provider = Aws::MakeShared<Auth::SimpleAWSCredentialsProvider>("TestAllocationTag",
            "awsAccessKeyId",
            "awsSecretKey",
            "sessionToken");
        S3Client client{cred_provider};
    }
    Aws::ShutdownAPI(options);
```

## 身份缓存
<a name="credproviders-identity-caching"></a>

SDK 将缓存凭证和其他身份类型，例如 SSO 令牌。默认情况下，SDK 使用惰性缓存实现：在首次请求时加载凭证并缓存，当凭证即将过期时，会在下次请求时尝试刷新。从同一个 [https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-core/html/struct_aws_1_1_client_1_1_client_configuration.html](https://docs.aws.amazon.com/sdk-for-cpp/latest/api/aws-cpp-sdk-core/html/struct_aws_1_1_client_1_1_client_configuration.html) 创建的客户端共享一个缓存。