说明

为保证密钥安全性，不建议客户端存储长期的AKSK，因此推荐业务的服务端，优先调用安全令牌服务（STS），通过长期密钥换取临时密钥，再将临时密钥下发给客户端使用。密钥有过期时间，推荐每次请求获取一个新的密钥。

步骤

1. 进入控制台

进入控制台地址

2. 进入访问控制

点击右上角的用户名，并点击访问控制

3. 新建角色

3.1 新建角色

点击左侧角色，再点击新建角色

3.2 选择信任身份

信任身份类型选择账号，选择身份选择当前账号，点击下一步

3.3 配置角色信息

填写角色名和其他信息，点击下一步

3.4 添加权限

策略名选择STSAssumeRoleAccess和CVFullAccess，点击提交

4. 新建子账户

4.1 选择用户名创建

点击左侧身份管理，并点击用户，再点击新建用户

点击通过用户名创建

输入用户名并点击下一步完成流程

4.2 为新建的子账户赋权限

对刚创建的用户，点击管理

在管理页面，点击权限，再点击添加权限，权限选择STSAssumeRoleAccess和CVFullAccess

4.3 为新建的子账户新建密钥

在管理页面，点击密钥，再点击新建密钥，获取到子账户密钥

5. 调用STS接口

使用子账户的AK、SK，调用STS进行临时密钥获取，获得临时AK、临时SK、临时token，详细参考STS接口说明

参数说明

前置流程获取到的信息包括：
1. 账号id：200000000
2. 子账户AK：ak
3. 子账户SK：sk
4. 角色名：cert_test

则 RoleTrn 取值为 "trn:iam::200000000:role/cert_test"

6. STS接口调用SDK

Java：地址
Python：地址