Token di connessione al servizio

Alcuni servizi AWS richiedono che l'utente disponga dell'autorizzazione a ottenere un token di connessione del servizio AWS STS prima di poter accedere alle loro risorse a livello di programmazione. Questi servizi supportano un protocollo che richiede l'utilizzo di un token di connessione invece di utilizzare un AWS Signature Version 4 per le richieste API tradizionale. Quando si eseguono operazioni AWS CLI o API AWS che richiedono token di connessione, il servizio AWS richiede un token di connessione per conto dell'utente. Il servizio fornisce il token, che è possibile utilizzare per eseguire le operazioni successive in tale servizio.

AWS STSI token di connessione al servizio includono informazioni dall'autenticazione principale originale che potrebbero influire sulle autorizzazioni. Queste informazioni possono includere tag del principale, tag di sessione e policy di sessione. L'ID chiave di accesso del token inizia con il prefisso ABIA. Ciò consente di identificare le operazioni eseguite utilizzando i token di connessione al servizio nei log CloudTrail.

Un esempio di servizio che supporta i token di connessione è AWS CodeArtifact. Prima di poter interagire con AWS CodeArtifact utilizzando un programma di gestione dei pacchetti, ad esempio NPM, Maven o PIP, è necessario richiamare l'operazione aws codeartifact get-authorization-token. Questa operazione restituisce un token di connessione che è possibile utilizzare per eseguire operazioni AWS CodeArtifact. In alternativa, è possibile utilizzare il comando aws codeartifact login che completa la stessa operazione e quindi configura automaticamente il client.

Se si esegue un'operazione in un servizio AWS che genera un token di connessione per l'utente, è necessario disporre delle seguenti autorizzazioni nella policy IAM:

Per un esempio di token portatore di servizi, consulta Utilizzo di policy basate sulle identità per AWS CodeArtifact nella Guida per l'utente di AWS CodeArtifact.