使用持有人權杖

某些 AWS 服務要求您具有取得 AWS STS 服務持有人權杖的許可，才能以程式設計方式存取其資源。這些服務支援的通訊協定會要求您使用持有人權杖，而不是使用傳統的 Signature 第 4 版簽署要求。當您執行需要持有人權杖的 AWS CLI 或 AWS API 操作時，AWS 服務會代表您要求持有人權杖。該服務會提供您權杖，接著您就可以使用該權杖在該服務中執行後續操作。

AWS STS 服務持有人權杖包含來自原始主體身分驗證的資訊，此資訊可能會影響您的許可。此資訊可能包括主體標籤、工作階段標籤和工作階段政策。權杖的存取金鑰 ID 會以 ABIA 字首開頭。這可協助您在 CloudTrail 日誌中識別出使用服務持有人權杖來執行的操作。

重要

持有人權杖只能用於對產生該權杖之服務的呼叫，以及產生該權杖的區域中。您無法在其他服務或區域中使用持有人權杖執行操作。

支援持有人權杖的服務範例之一是 AWS CodeArtiFact。您必須先呼叫 AWS 操作，才可以使用套件管理員 (例如 NPM、Maven 或 PIP) 來與 aws codeartifact get-authorization-token CodeArtifact 互動。此操作會傳回可用於執行 AWS CodeArtiFact 操作的持有人權杖。或者，您也可以使用能完成相同操作並自動設定您用戶端的 aws codeartifact login 命令。

如果您在為您產生持有人權杖的 AWS 服務中執行動作，則您必須在您的 IAM 政策中具有下列許可：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowServiceBearerToken",
            "Effect": "Allow",
            "Action": "sts:GetServiceBearerToken",
            "Resource": "*"
        }
    ]
}

如需服務持有人權杖範例，請參閱 AWS CodeArtifact 使用者指南中的將以身分為基礎的政策用於 AWS CodeArtifact。