直接使用阿里云账号的主账号的Access Key ID和Access Key Secret进行应用开发会有一定的安全风险,为了提升安全性,您可以使用为RAM角色签发的STS Token来访问阿里云服务。这里介绍如何使用STS Token来调用SDK访问阿里云服务,更多关于RAM和STS的资料请参考
RAM和STS介绍。
使用STS Token调用SDK有以下好处:
1) 减少了主账号Access Key ID和Access Key Secret泄露的风险,特别是移动设备等场景。2) 能使用灵活的权限控制,STS Token有一定的时间限制,并且根据RAM角色的灵活设置对ECS、SLB资源的精细授权。
方式一:直接使用STS Token
这是直接使用STS Token调用SDK的代码示例。如果要直接使用STS Token,您需要自行维护STS Token的周期性更新。
- import com.aliyuncs.DefaultAcsClient;
- import com.aliyuncs.auth.BasicSessionCredentials;
- import com.aliyuncs.ecs.model.v20140526.DescribeInstancesRequest;
- import com.aliyuncs.ecs.model.v20140526.DescribeInstancesResponse;
- import com.aliyuncs.exceptions.ClientException;
- import com.aliyuncs.profile.DefaultProfile;
- public class SimpleSTSTokenSample {
- public static void main(String[] args) {
- BasicSessionCredentials credentials = new BasicSessionCredentials(
- "<your-access-key-id>",
- "<your-access-key-secret>",
- "<your-session-token>"
- );
- DefaultProfile profile = DefaultProfile.getProfile("<your-region-id>");
- DefaultAcsClient client = new DefaultAcsClient(profile, credentials);
- DescribeInstancesRequest request = new DescribeInstancesRequest();
- try {
- DescribeInstancesResponse response = client.getAcsResponse(request);
- } catch (ClientException e) {
- System.err.println(e.toString());
- }
- }
- }
其中:
- <your-access-key-id>、<your-access-key-secret>和<your-session-token>是通过STS的AssumeRole请求返回的授权信息。
- <your-region-id>是您正在使用的地域的Region ID,详情请看地域列表。
方式二:使用SDK自动管理STS Token的周期
直接使用STS Token调用SDK会带来周期性刷新的麻烦,SDK提供了一种更为方便的方式供您调用。您可以传入RoleArn(角色的全局资源描述符,详情请看
身份管理中的角色)给SDK,让SDK帮您管理AssumeRole请求的调用、授权信息的获取和使用以及授权信息的过期自动更新。样例代码如下:
- import com.aliyuncs.DefaultAcsClient;
- import com.aliyuncs.auth.BasicCredentials;
- import com.aliyuncs.auth.STSAssumeRoleSessionCredentialsProvider;
- import com.aliyuncs.ecs.model.v20140526.DescribeInstancesRequest;
- import com.aliyuncs.ecs.model.v20140526.DescribeInstancesResponse;
- import com.aliyuncs.exceptions.ClientException;
- import com.aliyuncs.profile.DefaultProfile;
- public class UseRoleArnSample {
- public static void main(String[] args) {
- DefaultProfile profile = DefaultProfile.getProfile("<your-region-id>");
- BasicCredentials basicCredentials = new BasicCredentials(
- "<your-access-key-id>",
- "<your-access-key-id>"
- );
- STSAssumeRoleSessionCredentialsProvider provider = new STSAssumeRoleSessionCredentialsProvider(
- basicCredentials,
- "<your-role-arn>",
- profile
- );
- DefaultAcsClient client = new DefaultAcsClient(profile, provider);
- DescribeInstancesRequest request = new DescribeInstancesRequest();
- try {
- DescribeInstancesResponse response = client.getAcsResponse(request);
- } catch (ClientException e) {
- System.err.println(e.toString());
- }
- }
- }
其中:
- <your-access-key-id>和<your-access-key-secret>来自您使用的子账号,请从阿里云控制台获取。
- <your-role-arn>可以从控制台的访问控制产品的角色管理的相应角色页面中获得。
- <your-region-id>是您正在使用的地域的Region ID,详情请看地域列表。