在使用云手机提供的客户端服务前，必须通过鉴权流程。为了最大程度地保障密钥的安全，我们建议您通过客户端动态请求服务端发放临时 AK/SK，用以生成一个仅短时间内有效的一次性 Token 来完成鉴权，而不是将长期的 AK/SK 存储在客户端。通过这种方式获取到的临时凭证仅在有限的时间内有效，即使被非法获取，也会很快失效，极大降低了密钥泄露的风险。
本文介绍如何通过安全令牌服务（STS）换取临时鉴权凭证。

1. 进入控制台 #

使用已有的火山引擎账号登录控制台。

2. 进入访问控制 #

点击右上角 用户名 ，选择 访问控制。

3. 新建角色并添加权限 #

3.1 新建角色 #

在左侧导航栏中选择身份管理-角色 ，点击 新建角色。

3.2 选择信任身份 #

信任身份类型选择 账号 ，身份选择 当前账号 ，点击下一步。

3.3 配置角色信息 #

填写 角色名 和其他信息，点击下一步。

3.4 添加权限 #

搜索并添加 STSAssumeRoleAccess 和 ACEPFullAccess 策略，点击提交。

4. 新建子账户并添加权限 #

4.1 新建子账户 #

在左侧导航栏选择 身份管理-用户 ，点击 新建用户。

点击 通过用户名创建，输入 用户名 并点击下一步。

4.2 为新建的子账户赋权限 #

搜索并添加 STSAssumeRoleAccess 和 ACEPFullAccess 权限，点击下一步进行信息确认，确认无误后点击提交完成子账户创建。

4.3 为新建的子账户新建访问密钥 #

选择刚创建的用户进入用户详情，点击 密钥-新建密钥 ，获取到子账户 AK、SK。

5. 获取临时鉴权密钥 #

测试环境 #

测试环境下，你可以使用子账户的 AK、SK，在控制台生成临时鉴权密钥。
在控制台左侧导航栏点击新手入门，选择存储方案后点击生成临时鉴权密钥。

正式环境 #

正式环境下，推荐您使用子账户的 AK、SK，通过安全令牌服务（STS）来换取临时鉴权密钥，详情参见 STS 接口说明。

指定资源权限范围

STS 接口提供了参数 Policy 用于进一步限制临时密钥的权限，基于权限最小化原则，推荐您设置 Policy 参数，限制临时密钥可以访问的云手机资源范围。
以下提供了 Policy 示例值：

{
"Statement": [
    {
      "Effect": "Allow", // 声明当前权限效果为允许
      "Action": [ // 需要限制的Action
        "ACEP:ListPod",
        "ACEP:DetailPod"
      ],
      "Resource": [
        "trn:ACEP::20000****:product_id/198670449019506****", // 需要限制的业务资源
        "trn:ACEP::20000****:pod_id/756989046484640****" // 需要限制的实例资源
      ]
    }
  ]
}

参数说明：

• Action 用于指定服务及操作，格式为 服务ID:接口Action，支持传入多个。
  例如上述示例值表示临时密钥可以调用云手机（ACEP）的 ListPod、DetailPod 接口。
• Resource 参数用于指定业务或实例资源，格式如下，支持传入多个。
  • 指定业务：trn:服务ID::火山账号ID:product_id/您的云手机业务ID
  • 指定实例：trn:服务ID::火山账号ID:pod_id/您的云手机实例ID
    例如上述示例值表示临时密钥可以访问云手机（ACEP）内 ID 为 198670449019506**** 的业务、ID 为 756989046484640**** 的实例。

SDK 调用 STS 接口示例代码

基于火山引擎 SDK 调用 STS 接口获取临时密钥的示例代码如下：

• Java 示例代码
• Python 示例代码