Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de tokens al portador
Algunos servicios de AWS requieren que tenga permiso para obtener un token al portador del servicio AWS STS para poder acceder a sus recursos mediante programación. Estos servicios admiten un protocolo que requiere que utilice un token al portador en lugar de una solicitud Signature Version 4 firmada tradicional. Cuando realiza operaciones de la API de AWS CLI o AWS que requieren tokens al portador, el servicio de AWS solicita un token al portador en su nombre. El servicio le proporciona el token, que puede utilizar más adelante para realizar futuras operaciones en ese servicio.
Los tokens al portador del servicio AWS STS incluyen información original de su entidad
principal que podría afectar a sus permisos. Esta información puede incluir etiquetas
de entidad principal, etiquetas de sesión y políticas de sesión. El ID de clave de
acceso del token comienza con el prefijo ABIA
. Esto le ayuda a identificar las operaciones que se realizaron mediante tokens al
portador del servicio en sus registros de CloudTrail.
El token al portador solo se puede usar para hacer llamadas al servicio que lo genera y en la región en que se generó. No puede utilizar el token al portador para realizar operaciones en otros servicios o regiones.
Un ejemplo de un servicio que admite tokens al portador es AWS CodeArtifact. Para
poder interactuar con AWS CodeArtifact a través de un administrador de paquetes como
NPM, Maven o PIP, primero debe llamar a la operación aws codeartifact get-authorization-token
. Esta operación devuelve un token al portador que puede utilizar para realizar operaciones
de AWS CodeArtifact. De forma alternativa, puede utilizar el comando aws codeartifact login
, que completa la misma operación y luego configura su cliente automáticamente.
Si realiza una acción en un servicio de AWS que genera un token al portador para usted, debe tener los siguientes permisos en su política de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServiceBearerToken", "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "arn:aws:iam::
111122223333
:user/TestUser1
" } ] }