Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des jetons porteurs
Certains services AWS nécessitent que vous ayez l'autorisation d'obtenir un jeton porteur du service AWS STS avant de pouvoir accéder à leurs ressources par programmation. Ces services prennent en charge un protocole qui vous oblige à utiliser un jeton porteur au lieu d'utiliser une demande signée traditionnelle Signature Version 4. Lorsque vous effectuez des opérations d'AWS CLI ou d'API AWS qui nécessitent des jetons porteurs, le service AWS demande un jeton porteur en votre nom. Le service vous fournit le jeton, que vous pouvez ensuite utiliser pour effectuer toute opération ultérieure dans ce service.
AWS STSLes jetons porteurs du service incluent les informations provenant de votre authentification d'origine en tant que principal, lesquelles peuvent avoir une influence sur vos autorisations. Ces informations peuvent comprendre des balises de principal ou de session, ainsi que des politiques de session. L'ID de clé d'accès du jeton commence par le préfixe ABIA. Cela vous aide à identifier les opérations effectuées à l'aide de jetons porteurs de service dans les journaux CloudTrail.
Important
Le jeton porteur ne peut être utilisé que pour les appels vers le service qui le génère et dans la région dans laquelle il a été généré. Vous ne pouvez pas l'utiliser pour effectuer des opérations dans d'autres services ou régions.
Un exemple de service qui prend en charge les jetons porteurs est AWS CodeArtifact. Avant de pouvoir interagir avec AWS CodeArtifact à l'aide d'un gestionnaire de paquets tel que NPM, Maven ou PIP, vous devez appeler l'opération aws codeartifact get-authorization-token. Cette opération renvoie un jeton porteur que vous pouvez utiliser pour effectuer des opérations AWS CodeArtifact. Si vous préférez, vous pouvez aussi utiliser la commande aws codeartifact login qui exécute la même opération, puis configure automatiquement votre client.
Si vous effectuez une action dans un service AWS qui génère un jeton porteur pour vous, vous devez disposer des autorisations suivantes dans votre politique IAM :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServiceBearerToken", "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "*" } ] }
Pour obtenir un exemple de jeton de support de service, consultezUtilisation de stratégies basées sur l'identité pour AWS CodeArtifact dans le Guide de l'utilisateur AWS CodeArtifact.
