在使用云手机提供的客户端服务前，必须通过鉴权流程。为了最大程度地保障密钥的安全，我们建议您通过客户端动态请求服务端发放临时 AK/SK，用以生成一个仅短时间内有效的一次性 Token 来完成鉴权，而不是将长期的 AK/SK 存储在客户端。通过这种方式获取到的临时凭证仅在有限的时间内有效，即使被非法获取，也会很快失效，极大降低了密钥泄露的风险。
本文介绍如何通过安全令牌服务（STS）换取临时鉴权凭证。

1. 进入控制台

使用已有的火山引擎账号登录控制台。

2. 进入访问控制

点击右上角 用户名 ，选择 访问控制。

3. 新建角色并添加权限

3.1 新建角色

在左侧导航栏中选择身份管理-角色 ，点击 新建角色。

3.2 选择信任身份

信任身份类型选择 账号 ，身份选择 当前账号 ，点击下一步。

3.3 配置角色信息

填写 角色名 和其他信息，点击下一步。

3.4 添加权限

搜索并添加 STSAssumeRoleAccess 和 ACEPFullAccess 策略，点击提交。

4. 新建子账户并添加权限

4.1 新建子账户

在左侧导航栏选择 身份管理-用户 ，点击 新建用户。

点击 通过用户名创建，输入 用户名 并点击下一步。

4.2 为新建的子账户赋权限

搜索并添加 STSAssumeRoleAccess 和 ACEPFullAccess 权限，点击下一步进行信息确认，确认无误后点击提交完成子账户创建。

4.3 为新建的子账户新建访问密钥

选择刚创建的用户进入用户详情，点击 密钥-新建密钥 ，获取到子账户 AK、SK。

5. 获取临时鉴权密钥

测试环境

测试环境下，你可以使用子账户的 AK、SK，在控制台生成临时鉴权密钥。
在控制台左侧导航栏点击新手入门，选择存储方案后点击生成临时鉴权密钥。

正式环境

正式环境下，我们推荐您使用子账户的 AK、SK，通过安全令牌服务（STS）来换取临时鉴权密钥，详细参考 STS 接口说明。

6. STS 接口调用 SDK

Java： 地址
Python： 地址