Permisos requeridos para GetSessionToken Permisos concedidos por GetSessionToken

Permisos para GetSessionToken

La ocasión principal para llamar a la operación de API GetSessionToken o al comando get-session-token de la CLI es cuando un usuario debe autenticarse con la autenticación multifactor (MFA). Se puede escribir una política que permite determinadas acciones solo cuando dichas acciones las solicita un usuario autenticado con MFA. Para transferir correctamente la comprobación de autorización MFA, el usuario debe llamar primero a GetSessionToken e incluir los parámetros adicionales SerialNumber y TokenCode. Si el usuario se ha autenticado correctamente con un dispositivo MFA, las credenciales devueltas por la operación de API GetSessionToken incluyen el contexto de MFA. Este contexto indica que el usuario se ha autenticado con MFA y está autorizado a realizar operaciones de API que requieren la autenticación MFA.

Permisos requeridos para GetSessionToken

No se requiere ningún permiso para que un usuario obtenga un token de sesión. La finalidad de la operación GetSessionToken es autenticar al usuario mediante MFA. No se pueden utilizar políticas para controlar las operaciones de autenticación.

Para conceder permisos para realizar la mayoría de las operaciones de AWS, es preciso agregar la acción del mismo nombre a una política. Por ejemplo, para crear un usuario, debe utilizar la operación API CreateUser, el comando create-user de la CLI o la AWS Management Console. Para realizar estas operaciones, debe disponer de una política que le permita obtener acceso a la acción CreateUser.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

Puede incluir la acción GetSessionToken en sus políticas, pero no tiene efecto en la capacidad de un usuario para realizar la operación GetSessionToken.

Permisos concedidos por GetSessionToken

Si se llama a GetSessionToken con las credenciales de un usuario de IAM, las credenciales de seguridad temporales tienen los mismos permisos que el usuario de IAM. Del mismo modo, si se llama a GetSessionToken con credenciales de Usuario raíz de la cuenta de AWS, las credenciales de seguridad temporales tienen permisos de usuario raíz.

nota

Se recomienda evitar el uso de las credenciales de usuario raíz para llamar a GetSessionToken. En lugar de esto, siga nuestras prácticas recomendadas y cree uno o más usuarios de IAM con los permisos que necesitan. A continuación, utilice estos usuarios de IAM para la interacción diaria con AWS.

Las credenciales temporales que obtiene si llama a GetSessionToken tienen las siguientes funciones y limitaciones:

Puede utilizar las credenciales para acceder a la AWS Management Console transmitiendo las credenciales al punto de enlace de inicio de sesión único de la federación en https://signin.aws.amazon.com/federation. Para obtener más información, consulte Permitir el acceso del agente de identidades personalizadas a la consola de AWS.
Las credenciales no se pueden utilizar para llamar a las operaciones de API de AWS STS o IAM. Puede utilizarlas para llamar a las operaciones de API de otros servicios de AWS.

Compare esta operación de API y sus limitaciones y posibilidades con las demás operaciones de API que crean credenciales de seguridad temporales en Comparación de las operaciones de la API de AWS STS.

Para obtener más información sobre el acceso mediante API protegidas por MFA utilizando GetSessionToken, consulte Configuración del acceso a una API protegido por MFA.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos para GetFederationToken

Deshabilitar permisos