ベアラートークンを使用する

一部の AWS のサービスでは、プログラムでリソースにアクセスする前に、AWS STS サービスベアラートークンを取得するアクセス許可が必要です。これらのサービスは、従来の署名バージョン 4 の署名付きリクエストを使用する代わりに、ベアラトークンの使用が必要なプロトコルをサポートします。ベアラートークンをリクエストする AWS CLI または AWS API オペレーションを実行すると、AWS のサービスはお客様に代わってベアラートークンをリクエストします。サービスによってトークンが提供され、このトークンを使用して、サービスで後続のオペレーションを実行できます。

AWS STS サービスベアラートークンには、アクセス許可に影響する可能性がある元のプリンシパル認証の情報が含まれます。この情報には、プリンシパルタグ、セッションタグ、セッションポリシーが含まれます。トークンのアクセスキー ID は、ABIA プレフィックスで始まります。これは、CloudTrail ログ内のサービスベアラートークンを使用して実行されたオペレーションを識別するのに役立ちます。

重要

ベアラートークンは、それを生成するサービスへの呼び出しと、それが生成されたリージョンでのみ使用できます。ベアラトークンを使用して、他のサービスやリージョンでオペレーションを実行することはできません。

ベアラートークンをサポートするサービスの例は、AWS CodeArtifact です。NPM、Maven、または PIP などのパッケージマネージャを使用して AWS CodeArtifact を操作する前に、aws codeartifact get-authorization-token オペレーションを呼び出す必要があります。このオペレーションは、AWS CodeArtifact オペレーションを実行するために使用できるベアラートークンを返します。または、同じオペレーションを完了し、クライアントを自動的に設定する aws codeartifact login コマンドを使用できます。

ベアラートークンを生成する AWS のサービスでアクションを実行する場合は、IAM ポリシーに次のアクセス許可が必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowServiceBearerToken",
            "Effect": "Allow",
            "Action": "sts:GetServiceBearerToken",
            "Resource": "*"
        }
    ]
}

サービスのベアラートークンの例については、「AWS CodeArtifact ユーザーガイド」の「Using identity-based policies for AWS CodeArtifact」( でのアイデンティティベースのポリシーの使用) を参照してください。