보유자 토큰 사용

일부 AWS 서비스의 경우 프로그래밍 방식으로 리소스에 액세스하기 전에 AWS STS 서비스 보유자 토큰을 가져올 수 있는 권한이 있어야 합니다. 이러한 서비스는 기존의 서명 버전 4의 서명된 요청을 사용하는 대신 보유자 토큰을 사용해야 하는 프로토콜을 지원합니다. 보유자 토큰이 필요한 AWS CLI 또는 AWS API 작업을 수행할 때 AWS 서비스는 사용자를 대신하여 보유자 토큰을 요청합니다. 이 서비스는 토큰을 제공하므로 해당 서비스에서 후속 작업을 수행하는 데 사용할 수 있습니다.

AWS STS 서비스 보유자 토큰에는 권한에 영향을 줄 수 있는 원래 보안 주체 인증 정보가 포함됩니다. 이 정보에는 보안 주체 태그, 세션 태그 및 세션 정책이 포함될 수 있습니다. 토큰의 액세스 키 ID는 ABIA 접두사로 시작합니다. 이렇게 하면 CloudTrail 로그에서 서비스 보유자 토큰을 사용하여 수행된 작업을 식별할 수 있습니다.

중요

보유자 토큰은 이 토큰을 생성하는 서비스에 대한 호출과 이 토큰이 생성된 리전에서만 사용할 수 있습니다. 보유자 토큰을 사용하여 다른 서비스 또는 리전에서 작업을 수행할 수 없습니다.

보유자 토큰을 지원하는 서비스의 예는 AWS CodeArtifact입니다. NPM, Maven 또는 PIP와 같은 패키지 관리자를 사용하여 AWS CodeArtifact와 상호 작용하기 전에 aws codeartifact get-authorization-token 작업을 호출해야 합니다. 이 작업은 AWS CodeArtifact 작업을 수행하는 데 사용할 수 있는 보유자 토큰을 반환합니다. 또는 동일한 작업을 완료한 다음 클라이언트를 자동으로 구성하는 aws codeartifact login 명령을 사용할 수 있습니다.

AWS 서비스에서 보유자 토큰을 생성하는 작업을 수행하는 경우 IAM 정책에 다음 권한이 있어야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowServiceBearerToken",
            "Effect": "Allow",
            "Action": "sts:GetServiceBearerToken",
            "Resource": "*"
        }
    ]
}

서비스 보유자 토큰의 예는 AWS CodeArtifact 사용 설명서의 AWS CodeArtifact에 대한 자격 증명 기반 정책 사용 섹션을 참조하세요.