Jetons pour porteurs de service - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Jetons pour porteurs de service

Certains AWS services nécessitent que vous soyez autorisé à obtenir un jeton de support de AWS STS service avant de pouvoir accéder à leurs ressources par programmation. Ces services prennent en charge un protocole qui vous oblige à utiliser un jeton porteur au lieu d'utiliser un jeton traditionnelAWS Signature Version 4 pour les API demandes. Lorsque vous effectuez AWS CLI ou effectuez AWS API des opérations nécessitant des jetons au porteur, le AWS service demande un jeton au porteur en votre nom. Le service vous fournit le jeton, que vous pouvez ensuite utiliser pour effectuer toute opération ultérieure dans ce service.

AWS STS les jetons de support incluent des informations issues de votre authentification principale d'origine qui peuvent affecter vos autorisations. Ces informations peuvent comprendre des balises de principal ou de session, ainsi que des politiques de session. L'ID de clé d'accès du jeton commence par le préfixe ABIA. Cela vous permet d'identifier les opérations effectuées à l'aide de jetons de support dans vos CloudTrail journaux.

Important

Le jeton porteur ne peut être utilisé que pour les appels vers le service qui le génère et dans la région dans laquelle il a été généré. Vous ne pouvez pas l'utiliser pour effectuer des opérations dans d'autres services ou régions.

Un exemple de service qui prend en charge les jetons au porteur est AWS CodeArtifact. Avant de pouvoir interagir avec AWS CodeArtifact un gestionnaire de packages tel que NPM Maven, orPIP, vous devez appeler l'aws codeartifact get-authorization-tokenopération. Cette opération renvoie un jeton porteur que vous pouvez utiliser pour effectuer des AWS CodeArtifact opérations. Si vous préférez, vous pouvez aussi utiliser la commande aws codeartifact login qui exécute la même opération, puis configure automatiquement votre client.

Si vous effectuez une action dans un AWS service qui génère un jeton porteur pour vous, vous devez disposer des autorisations suivantes dans votre IAM politique :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServiceBearerToken", "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "*" } ] }

Pour obtenir un exemple de jeton de support de service, consultezUtilisation de stratégies basées sur l'identité pour AWS CodeArtifact dans le Guide de l'utilisateur AWS CodeArtifact.