メニュー
AWS Identity and Access Management
ユーザーガイド

GetSessionToken のアクセス権限

GetSessionToken が IAM ユーザーの認証情報によって呼び出された場合、一時的なセキュリティ認証情報は IAM ユーザーと同じアクセス権限を持ちます。同様に、GetSessionToken が AWS アカウントのルートユーザー認証情報を使用して呼び出された場合、一時的なセキュリティ認証情報にはルートユーザーのアクセス許可が含まれます。

注記

GetSessionToken は、ルートユーザーの認証情報を使用して呼び出さないことをお勧めします。代わりに、ベストプラクティスに従って、必要なアクセス権限を持つ 1 つ以上の IAM ユーザーを作成します。AWS との日常的なやり取りには、これらの IAM ユーザーを使用します。

GetSessionToken を呼び出す主な理由は、多要素認証(MFA)で認証されている場合にのみ許可されたアクションをユーザーが実行する必要があるからです。MFA で認証されたユーザーが要求した場合にのみ、特定のアクションを許可するポリシーを作成することができます。MFA 認証チェックを正常に渡すには、ユーザーはまず GetSessionToken を呼び出し、オプションの SerialNumber および TokenCode パラメータを GetSessionToken API 呼び出しに含める必要があります。ユーザーが SerialNumber および TokenCode の有効な値を渡せば、つまり、ユーザーが MFA デバイスで正常に認証されれば、GetSessionToken API 呼び出しで返される認証情報は MFA コンテキストを含みます。その後、GetSessionToken で返された認証情報によって AWS を呼び出すと、MFA 認証を必要とする AWS API を正常に呼び出すことができます。

GetSessionToken を呼び出すときに取得する一時的な認証情報には、次の機能と制限があります。

AWS STS API の比較で、この API およびその制限と機能を、一時的なセキュリティ認証情報を作成する他の API と比較してください。

GetSessionToken を使用した MFA 保護 API アクセスの詳細については、「MFA 保護 API アクセスの設定」を参照してください。