使用持有人權杖

某些 AWS 服務需要您具有獲得 AWS STS 服務承載令牌的權限，然後才能以編程方式訪問其資源。這些服務支援的通訊協定會要求您使用持有人權杖，而不是使用傳統的 Signature 第 4 版簽署要求。當您執行 AWS CLI 或需要承載令牌的 AWS API 操作時， AWS 服務會代表您請求承載令牌。該服務會提供您權杖，接著您就可以使用該權杖在該服務中執行後續操作。

AWS STS 服務承載令牌包括來自原始主體驗證的信息，這些信息可能會影響您的權限。此資訊可能包括主體標籤、工作階段標籤和工作階段政策。權杖的存取金鑰 ID 會以 ABIA 字首開頭。這有助於您識別 CloudTrail日誌中使用服務承載令牌執行的操作。

支持承載令牌的服務示例是 AWS CodeArtifact。您必須先呼叫aws codeartifact get-authorization-token作業，才能 AWS CodeArtifact 使用套件管理員 (例如 NPM、Maven 或 PIP) 進行互動。此操作返回一個承載令牌，您可以使用它來執行 AWS CodeArtifact 操作。或者，您也可以使用能完成相同操作並自動設定您用戶端的 aws codeartifact login 命令。

如果您在為您產生承載權杖的 AWS 服務中執行動作，則 IAM 政策中必須具有以下許可：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowServiceBearerToken",
            "Effect": "Allow",
            "Action": "sts:GetServiceBearerToken",
            "Resource": "*"
        }
    ]
}

如需服務持有人權杖範例，請參閱 AWS CodeArtifact 使用者指南中的將以身分為基礎的政策用於 AWS CodeArtifact。