使用持有人權杖 - AWS Identity and Access Management

使用持有人權杖

某些 AWS 服務要求您具有取得 AWS STS 服務持有人權杖的許可,才能以程式設計方式存取其資源。這些服務支援的通訊協定會要求您使用持有人權杖,而不是使用傳統的 Signature 第 4 版簽署要求。當您執行需要持有人權杖的 AWS CLI 或 AWS API 操作時,AWS 服務會代表您要求持有人權杖。該服務會提供您權杖,接著您就可以使用該權杖在該服務中執行後續操作。

AWS STS 服務持有人權杖包含來自原始主體身分驗證的資訊,此資訊可能會影響您的許可。此資訊可能包括主體標籤、工作階段標籤和工作階段政策。權杖的存取金鑰 ID 會以 ABIA 字首開頭。這可協助您在 CloudTrail 日誌中識別出使用服務持有人權杖來執行的操作。

重要

持有人權杖只能用於對產生該權杖之服務的呼叫,以及產生該權杖的區域中。您無法在其他服務或區域中使用持有人權杖執行操作。

支援持有人權杖的服務範例之一是 AWS CodeArtiFact。您必須先呼叫 AWS 操作,才可以使用套件管理員 (例如 NPM、Maven 或 PIP) 來與 aws codeartifact get-authorization-token CodeArtifact 互動。此操作會傳回可用於執行 AWS CodeArtiFact 操作的持有人權杖。或者,您也可以使用能完成相同操作並自動設定您用戶端的 aws codeartifact login 命令。

如果您在為您產生持有人權杖的 AWS 服務中執行動作,則您必須在您的 IAM 政策中具有下列許可:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowServiceBearerToken", "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "*" } ] }

如需服務持有人權杖範例,請參閱 AWS CodeArtifact 使用者指南中的將以身分為基礎的政策用於 AWS CodeArtifact