Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Alcuni servizi AWS richiedono che l'utente disponga dell'autorizzazione a ottenere un token di connessione del servizio AWS STS prima di poter accedere alle loro risorse a livello di programmazione. Questi servizi supportano un protocollo che richiede l'utilizzo di un token di connessione invece di utilizzare un AWS Signature Version 4 per le richieste API tradizionale. Quando si eseguono operazioni AWS CLI o API AWS che richiedono token di connessione, il servizio AWS richiede un token di connessione per conto dell'utente. Il servizio fornisce il token, che è possibile utilizzare per eseguire le operazioni successive in tale servizio.
I token di connessione al servizio AWS STS includono informazioni dall'autenticazione principale originale che potrebbero influire sulle autorizzazioni. Queste informazioni possono includere tag del principale, tag di sessione e policy di sessione. L'ID chiave di accesso del token inizia con il prefisso ABIA
. Ciò consente di identificare le operazioni eseguite utilizzando i token di connessione al servizio nei log CloudTrail.
Importante
Il token di connessione può essere utilizzato solo per le chiamate al servizio che lo genera e nella regione in cui è stato generato. Non è possibile utilizzare il token di connessione per eseguire operazioni in altri servizi o regioni.
Un esempio di servizio che supporta i token di connessione è AWS CodeArtifact. Prima di poter interagire con AWS CodeArtifact utilizzando un programma di gestione dei pacchetti, ad esempio NPM, Maven o PIP, è necessario richiamare l'operazione aws codeartifact get-authorization-token
. Questa operazione restituisce un token di connessione che è possibile utilizzare per eseguire operazioni AWS CodeArtifact. In alternativa, è possibile utilizzare il comando aws codeartifact login
che completa la stessa operazione e quindi configura automaticamente il client.
Se si esegue un'operazione in un servizio AWS che genera un token di connessione per l'utente, è necessario disporre delle seguenti autorizzazioni nella policy IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowServiceBearerToken",
"Effect": "Allow",
"Action": "sts:GetServiceBearerToken",
"Resource": "*"
}
]
}
Per un esempio di token portatore di servizi, consulta Utilizzo di policy basate sulle identità per AWS CodeArtifact nella Guida per l'utente di AWS CodeArtifact.