因此，当您使用HMAC密钥创建服务凭证时，实际上发生的情况是这些永久密钥是由COS（不是IAM）生成的，并绑定到IAM服务ID（即非人类用户）。当您通过使用这些密钥创建签名来发送S3 API请求时，COS会找出关联的服务ID并与IAM一起检查以查看该身份是否具有足够的特权来执行所请求的操作。这使您可以使用持久性HMAC密钥，但需要浪费一些CPU为每个请求计算所有HMAC签名内容。因此，虽然IAM在策略执行级别处于幕后工作，但身份验证直接由COS处理。

现在，如果您要以编程方式创建服务凭证，则有一个REST API，但没有已发布的库（尽管我想您可以尝试从OpenAPI规范中生成一个）。本质上，您只需调用该API并在{"HMAC":true}对象内提供"Parameters"位。在响应中，您将找到带有HMAC密钥的凭据。

所有这些，您不想为应用程序的最终用户使用IAM令牌或HMAC签名。考虑一下您作为执行操作的执行者已绑定到HMAC凭证的服务ID。尝试使用户身份验证部分保持隔离，然后在允许某些最终用户执行某项操作时，让服务ID进行操作。显然，所有应用程序都将有所不同并面临各自的挑战。我们已经看到使用的一种模式（我一直打算为之编写教程）是让应用程序生成一个预签名的URL，并将其传递给客户端，从而避免了在应用程序空间之外传递凭据的任何需要。

IAM基本上是供管理员，开发人员和其他云服务用来对IBM Cloud中的操作进行身份验证和授权的（因此不打算扩展成千上万个访问策略），但是您应该寻找一些东西像App ID这样的最终用户身份验证片。

您使用的是哪种语言/框架？您是否在使用COS SDK？如果您想使用API​​密钥，它们会为您抽象化令牌管理内容。