Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des jetons porteurs
Certains AWS services nécessitent que vous soyez autorisé à obtenir un jeton de support de AWS STS service avant de pouvoir accéder à leurs ressources par programmation. Ces services prennent en charge un protocole qui vous oblige à utiliser un jeton porteur au lieu d'utiliser une demande signée traditionnelle Signature Version 4. Lorsque vous effectuez des opérations AWS CLI ou des opérations d' AWS API qui nécessitent des jetons porteurs, le AWS service demande un jeton porteur en votre nom. Le service vous fournit le jeton, que vous pouvez ensuite utiliser pour effectuer toute opération ultérieure dans ce service.
AWS STS les jetons de support incluent des informations issues de votre authentification principale d'origine qui peuvent affecter vos autorisations. Ces informations peuvent comprendre des balises de principal ou de session, ainsi que des politiques de session. L'ID de clé d'accès du jeton commence par le préfixe ABIA. Cela vous permet d'identifier les opérations effectuées à l'aide de jetons de support dans vos CloudTrail journaux.
Important
Le jeton porteur ne peut être utilisé que pour les appels vers le service qui le génère et dans la région dans laquelle il a été généré. Vous ne pouvez pas l'utiliser pour effectuer des opérations dans d'autres services ou régions.
Un exemple de service qui prend en charge les jetons au porteur est AWS CodeArtifact. Avant de pouvoir interagir avec AWS CodeArtifact un gestionnaire de packages tel que NPM, Maven ou PIP, vous devez appeler l'opération. aws codeartifact get-authorization-token Cette opération renvoie un jeton porteur que vous pouvez utiliser pour effectuer des AWS CodeArtifact opérations. Si vous préférez, vous pouvez aussi utiliser la commande aws codeartifact login qui exécute la même opération, puis configure automatiquement votre client.
Si vous effectuez une action dans un AWS service qui génère un jeton porteur pour vous, vous devez disposer des autorisations suivantes dans votre politique IAM :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServiceBearerToken", "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "*" } ] }
Pour obtenir un exemple de jeton de support de service, consultezUtilisation de stratégies basées sur l'identité pour AWS CodeArtifact dans le Guide de l'utilisateur AWS CodeArtifact.
