本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 服務持有人權杖 有些 AWS 服務需要您取得 AWS STS 服務承載字符的許可,才能以程式設計方式存取其資源。這些服務支援的協定會要求您使用持有人權杖,而不是使用傳統的 [AWS API 請求的簽章版本 4](reference_sigv.md)。當您執行需要承載字符的 AWS CLI 或 AWS API 操作時, AWS 服務會代表您請求承載字符。該服務會提供您權杖,接著您就可以使用該權杖在該服務中執行後續操作。 AWS STS 服務承載字符包含原始主體身分驗證中可能影響您許可的資訊。此資訊可能包括主體標籤、工作階段標籤和工作階段政策。權杖的存取金鑰 ID 會以 `ABIA` 字首開頭。這可協助您在 CloudTrail 日誌中識別出使用服務持有人權杖來執行的操作。 **重要** 持有人權杖只能用於對產生該權杖之服務的呼叫,以及產生該權杖的區域中。您無法在其他服務或區域中使用持有人權杖執行操作。 支援承載字符的服務範例是 AWS CodeArtifact。您必須先呼叫 `aws codeartifact get-authorization-token`操作,才能使用 NPM、Maven 或 PIP 等套件管理員與 AWS CodeArtifact 互動。此操作會傳回承載字符,您可以用來執行 AWS CodeArtifact 操作。或者,您也可以使用能完成相同操作並自動設定您用戶端的 `aws codeartifact login` 命令。 如果您在為您產生承載字符的 AWS 服務中執行 動作,您必須在 IAM 政策中擁有下列許可: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowServiceBearerToken", "Effect": "Allow", "Action": "sts:GetServiceBearerToken", "Resource": "*" } ] } ``` ------ 如需服務持有人權杖範例,請參閱 *AWS CodeArtifact* 使用者指南中的[將以身分為基礎的政策用於 AWS CodeArtifact](https://docs.aws.amazon.com/codeartifact/latest/ug/auth-and-access-control-iam-identity-based-access-control.html)。