AWS SDK for JavaScript v3 中凭证链优先级问题解析

在 AWS SDK for JavaScript v3 中，凭证提供链(credential provider chain)的行为与 v2 版本存在一个值得注意的差异，这可能会影响使用环境变量配置凭证的开发者的工作流程。

凭证链优先级问题

根据官方文档描述，AWS SDK 的凭证提供链应该按照优先级顺序依次尝试各个凭证提供者，直到找到有效凭证为止。然而在实际实现中，当同时设置了 AWS_PROFILE 和 AWS_ACCESS_KEY_ID/AWS_SECRET_ACCESS_KEY 环境变量时，v3 版本会优先使用 AWS_PROFILE 而完全忽略直接提供的访问密钥对。

这种行为与以下情况产生冲突：

1. 使用 Granted 或 AWS SSO CLI 等工具时，通常会同时设置这三类环境变量
2. AWS SDK for JavaScript v2 版本会优先考虑直接提供的访问密钥
3. Rust SDK 等其他语言实现也保持了与 v2 类似的行为

技术影响分析

这种优先级差异可能导致以下场景出现问题：

• 自动化脚本中同时配置了 profile 和直接凭证
• CI/CD 环境中混合使用不同凭证来源
• 开发者本地环境使用 SSO 工具时

从技术实现角度看，v3 的默认凭证提供者会首先检查 AWS_PROFILE 环境变量是否存在，如果存在则直接进入 profile 凭证流程，完全跳过了环境变量凭证的检查步骤。

解决方案与未来改进

AWS 团队已经确认这是一个已知问题，并计划在未来的更新中调整凭证链的优先级，使 AWS_ACCESS_KEY_ID 获得更高的优先级。这种调整将使 v3 的行为与 v2 和其他语言 SDK 保持一致。

对于当前遇到此问题的开发者，可以考虑以下临时解决方案：

1. 明确指定凭证提供链的顺序
2. 避免同时设置冲突的环境变量
3. 使用自定义凭证提供者实现

这个变化提醒我们在升级 SDK 版本时，不仅需要关注显式的 API 变化，还需要注意这些隐式的行为差异，特别是在安全相关的凭证处理逻辑上。