如何在 C# .NET 核心控制台程序中指定 AWS 凭证

Question

我正在尝试测试 .NET 核心控制台程序以将消息发布到 SNS。由于我在尝试让它在 Lambda 中工作时遇到问题，我想在非 Lambda 环境中尝试它。在 Lambda 中，角色涵盖了安全性，但在控制台程序中，我认为我必须以某种方式指定我的访问密钥和秘密。

我已经阅读了这个页面：http://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config-creds.html#net-dg-config-creds-sdk-store，但仍然很困惑。

我在本地开发计算机上运行，​​而不是 EC2 实例。无意将其投入生产，只是尝试测试一些代码。

我使用的是 Visual Studio 2015，.NET Core 1.0。我使用 Nuget 获得以下信息： "AWSSDK.Extensions.NETCore.Setup": "3.3.3", "AWSSDK.SimpleNotificationService": "3.3.0.23",

根据对How to set credentials on AWS SDK on NET Core? 的回答，我创建了 /user/.aws/credentials 文件（假设凭据是文件名而不是目录名）。

但该问题/答案并未说明如何实际使用此文件。我正在运行的代码如下。

    public static void Main(string[] args)
    {
        Console.WriteLine("Started");
        //var awsCredentials = new Amazon.Runtime.AWSCredentials()
        var client = new Amazon.SimpleNotificationService.AmazonSimpleNotificationServiceClient(Amazon.RegionEndpoint.EUWest2);
        //var client = new Amazon.SimpleNotificationService.AmazonSimpleNotificationServiceClient(awsCredentials, Amazon.RegionEndpoint.EUWest2);
        //Amazon.SimpleNotificationService.Model.PublishResponse publishResp = null;
        SendMessage(client).Wait();
        Console.WriteLine("Completed call to SendMessage: Press enter to end:");
        Console.ReadLine(); 
    }

我在新客户端上遇到的错误是：

An unhandled exception of type 'Amazon.Runtime.AmazonServiceException' occurred in AWSSDK.Core.dll

Additional information: Unable to find credentials

我看到有一种方法可以将 AWSCredentials 对象传递给该构造函数，但我不明白如何构建它。 Amazon.Runtime.AWSCredentials 是一个抽象类，所以我不能在“新”语句中使用它。

Answer 1

根据 Dan Pantry 的回答，这是一个简单的简短回答，代码突出显示（注意第二行中的区域枚举）：

var awsCredentials = new Amazon.Runtime.BasicAWSCredentials("myaccesskey", "mysecretkey"); 
var client = new Amazon.SimpleNotificationService.AmazonSimpleNotificationSer‌​viceClient(
                              awsCreden‌​tials, Amazon.RegionEndpoint.EUWest2);

如果可能，请使用角色，但以上在需要时可以使用。那么问题是在哪里存储访问密钥/秘密密钥；可能是环境变量、配置文件、提示用户或任何常见的嫌疑人。

AWS-CLI 和 Python 使用此处的凭证：c:\Users\username\.aws\credentials，因此 C# 可以只读取该文件，以免将代码放入 C# 程序本身。但是运行该程序的每个用户/开发人员都需要在那里设置他们的凭据。

现在也有在本地机器上运行 Lambda 的概念，但是我还没试过： https://dzone.com/articles/run-aws-lambda-functions-locally-on-windows-machin#:~:text=Step%201%3A%20Download%20SAM%20local,version%20with%20the%20command%20below.&text=Step%203%3A%20Write%20your%20lambda,yaml%20on%20the%20root%20level。 所以关键是，如果你要做 Lambda，但你需要先在本地测试，这可能值得一试。

Answer 2

您需要构造它的一个子类，而不是抽象类。你可以看看类层次结构here。

对于后代，选项是：

• AnonymousAWSCredentials - 以匿名用户身份进行身份验证。
• BasicAWSCredentials - 您直接向类构造函数提供您的凭据。
• EnvironmentAWSCredentials - 从正在运行的可执行文件的环境变量中提取凭据。
• InstanceProfileAWSCredentials - 从运行可执行文件的 EC2 实例的实例配置文件中提取凭证。这显然只适用于 EC2。
• SessionAWSCredentials - 类似于 BasicAWSCredentials，但使用 AWS STS 中的临时会话令牌使用 AWS 会话。
• RefreshingSessionAWSCredentials - 类似于 SessionAWSCredentials，但会在 STS 令牌过期时刷新。

请注意，在没有凭据对象的情况下，默认策略涉及检查环境变量，然后是实例配置文件。

如果您想让程序从~/.aws/credentials 提取凭据，您需要做一些跑腿工作。曾经有一个 StoredProfileAWSCredentials 类，但似乎已被删除 - 您可以通过查看 this github 问题找到更多信息。实际上，这仅在开发中有用，因为您不会在生产中使用 ~/.aws/credentials，但可能会使用实例配置文件 - 我建议在测试或开发环境中使用默认策略并使用 Environment AWS 凭证。

我在工作中采用这种方法，因为我们使用命令行工具从 AWS STS 中获取有限时间令牌，并将它们插入当前 shell 以供下一小时使用。

编辑：看来您正在使用 AWS Lambda。它们基于分配给它们的角色对 AWS 资源进行联合访问，因此这应该使用 aws-sdk 库中使用实例配置文件的默认凭证策略来工作。所以这只是开发/测试真正需要的，在这种情况下，我再次建议只使用环境变量。

Answer 3

这是一个非常老的问题，现有的答案有效，但我真的不喜欢将我的访问密钥 ID 和密钥值直接硬编码到源代码中，即使对于 throw-我在本地机器上做的项目。一方面，我将来可能会撤销这些密钥，因此我想利用 .aws\credentials 文件中的凭据。

要为我的 .NET 核心应用程序（包括控制台应用程序等）执行此操作，我首先添加两个 NuGet 包：

• Microsoft.Extensions.Configuration.Json
• AWSSDK.Extensions.NETCore.Setup

然后，我在我的项目中添加了一个 applications.json 文件，其中包含以下内容（注意 - 您需要右键单击该文件，并将“复制到输出”设置为“如果较新则复制”或“始终” ):

{
  "AWS": {
    "Profile": "default",
    "ProfilesLocation": "C:\\Users\\my-user-profile-folder\\.aws\\credentials",
    "Region": "us-west-2"
  }
}

最后，我使用以下内容创建 AWS 开发工具包客户端的实例：

var builder = new ConfigurationBuilder().AddJsonFile("appsettings.Development.json", optional: false, reloadOnChange: true);
var options = builder.Build().GetAWSOptions();
var s3client = options.CreateServiceClient<IAmazonS3>();

这样，如果我更新我的凭据文件，我很好。或者，如果我的代码被压缩并通过电子邮件发送给朋友或同事，我不会不小心将我的凭据也发送给他们。

有另一种方法可以做到这一点，而无需添加 NuGet 包，许多人可能更喜欢这种方式。您可以像这样使用新的 SharedCredentialsFile 类和 AWSCredentialsFactory（在此处使用“默认”配置文件，并假设您的凭据文件位于默认位置，与其他方法相同）：

var sharedFile = new SharedCredentialsFile();
sharedFile.TryGetProfile("default", out var profile);
AWSCredentialsFactory.TryGetAWSCredentials(profile, sharedFile, out var credentials);

var s3Client = new AmazonS3Client(credentials);

注意 - 我没有检查这两个 Try* 方法是否在这里成功，您可能应该这样做。使用这些类的详细信息在这里：https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config-creds.html#how-to-create-an-amazons3client-using-the-sharedcredentialsfile-class

Answer 4

对于那些纠结于个人资料名称的人，您可以在这里找到它。

你的~/.aws/credentials的内容：

[YOUR_PROFILE_NAME]
aws_access_key_id = ***
aws_secret_access_key = ***
aws_security_token = ***
aws_session_expiration = ***
aws_session_token = ***

那么在您的应用程序中，您可以像这样访问凭据：

var chain = new CredentialProfileStoreChain();
var result = chain.TryGetAWSCredentials("YOUR_PROFILE_NAME", out var credentials);

资源：

• 访问凭据和配置文件：https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/net-dg-config-creds.html#creds-locate
• 命名配置文件：https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html

Answer 5

在将您的凭据保存在共享的“凭据”文件中的同时，您可以在创建 CredentialProfileStoreChain 时重新定义 ProfilesLocation

//define your file location here:
var chain = new CredentialProfileStoreChain(@"C:\aws\credentials");
// input the name of your credentials here:
if (chain.TryGetAWSCredentials("nameofprofile", out AWSCredentials awsCredentials))
{
    //executes if the credentials were found and inserted into awsCredentials
}
else
{
    // executes if the credentials were not found
}

取自这里：https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/creds-locate.html