Verwenden Sie es GetSessionToken mit einem oder AWS SDK CLI

Die folgenden Codebeispiele zeigen, wie man es benutztGetSessionToken.

Beispiele für Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Im folgenden Codebeispiel können Sie diese Aktion im Kontext sehen:

• Holen Sie sich ein Sitzungstoken, für das ein MFA Token erforderlich ist

CLI

AWS CLI

Um eine Reihe von kurzfristigen Anmeldeinformationen für eine IAM Identität zu erhalten

Der folgende get-session-token Befehl ruft eine Reihe von kurzfristigen Anmeldeinformationen für die IAM Identität ab, die den Anruf getätigt hat. Die resultierenden Anmeldeinformationen können für Anfragen verwendet werden, bei denen die Richtlinie eine mehrstufige Authentifizierung (MFA) vorschreibt. Die Anmeldeinformationen verfallen 15 Minuten nach ihrer Generierung.

aws sts get-session-token \
    --duration-seconds 900 \
    --serial-number "YourMFADeviceSerialNumber" \
    --token-code 123456

Ausgabe:

{
    "Credentials": {
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Temporäre Sicherheitsanmeldedaten anfordern.

• APIEinzelheiten finden Sie GetSessionTokenin der AWS CLI Befehlsreferenz.

PowerShell

Tools für PowerShell

Beispiel 1: Gibt eine Amazon.RuntimeAWSCredentials Instanz zurück, die temporäre Anmeldeinformationen enthält, die für einen bestimmten Zeitraum gültig sind. Die Anmeldeinformationen, die zum Anfordern temporärer Anmeldeinformationen verwendet werden, werden aus den aktuellen Shell-Standardeinstellungen abgeleitet. Um andere Anmeldeinformationen anzugeben, verwenden Sie die Parameter - ProfileName oder - AccessKey SecretKey /-.

Get-STSSessionToken

Ausgabe:

AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....

Beispiel 2: Gibt eine Amazon.RuntimeAWSCredentials Instanz zurück, die temporäre Anmeldeinformationen enthält, die für eine Stunde gültig sind. Die für die Anfrage verwendeten Anmeldeinformationen stammen aus dem angegebenen Profil.

Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile

Ausgabe:

AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....

Beispiel 3: Gibt eine Amazon.RuntimeAWSCredentials Instanz mit temporären Anmeldeinformationen zurück, die für eine Stunde gültig sind. Dabei werden die Identifikationsnummer des MFA Geräts, das dem Konto zugeordnet ist, dessen Anmeldeinformationen im Profil „myprofilename“ angegeben sind, und der vom Gerät bereitgestellte Wert verwendet.

Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456

Ausgabe:

AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....

• APIEinzelheiten finden Sie unter GetSessionToken AWS Tools for PowerShellCmdlet-Referenz.

Python

SDKfür Python (Boto3)

Anmerkung

Es gibt noch mehr dazu. GitHub Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen.

Rufen Sie ein Sitzungstoken ab, indem Sie ein MFA Token übergeben, und verwenden Sie es, um Amazon S3 S3-Buckets für das Konto aufzulisten.

def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
    """
    Gets a session token with MFA credentials and uses the temporary session
    credentials to list Amazon S3 buckets.

    Requires an MFA device serial number and token.

    :param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
                              device, this is an Amazon Resource Name (ARN).
    :param mfa_totp: A time-based, one-time password issued by the MFA device.
    :param sts_client: A Boto3 STS instance that has permission to assume the role.
    """
    if mfa_serial_number is not None:
        response = sts_client.get_session_token(
            SerialNumber=mfa_serial_number, TokenCode=mfa_totp
        )
    else:
        response = sts_client.get_session_token()
    temp_credentials = response["Credentials"]

    s3_resource = boto3.resource(
        "s3",
        aws_access_key_id=temp_credentials["AccessKeyId"],
        aws_secret_access_key=temp_credentials["SecretAccessKey"],
        aws_session_token=temp_credentials["SessionToken"],
    )

    print(f"Buckets for the account:")
    for bucket in s3_resource.buckets.all():
        print(bucket.name)

• APIEinzelheiten finden Sie unter GetSessionTokenPython (Boto3) API -Referenz.AWS SDK