Autorisations pour GetSessionToken - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour GetSessionToken

L'appel à l'GetSessionTokenAPIopération ou à la get-session-token CLI commande se produit principalement lorsqu'un utilisateur doit être authentifié à l'aide de l'authentification multifactorielle ()MFA. Il est possible d'écrire une politique qui autorise certaines actions uniquement lorsque ces actions sont demandées par un utilisateur authentifié auprès de lui. MFA Pour réussir le contrôle MFA d'autorisation, un utilisateur doit d'abord appeler GetSessionToken et inclure les options SerialNumber et TokenCode les paramètres. Si l'utilisateur est authentifié avec succès auprès d'un MFA appareil, les informations d'identification renvoyées par l'GetSessionTokenAPIopération incluent le MFA contexte. Ce contexte indique que l'utilisateur est authentifié auprès de lui MFA et qu'il est autorisé à effectuer des API opérations nécessitant une MFA authentification.

Autorisations requises pour GetSessionToken

Aucune autorisation n'est requise pour qu'un utilisateur obtienne un jeton de session. Le but de l'GetSessionTokenopération est d'authentifier l'utilisateur à l'aide MFA de. Vous ne pouvez pas utiliser de stratégies pour contrôler les opérations d’authentification.

Pour autoriser l'exécution de la plupart AWS des opérations, vous devez ajouter l'action portant le même nom à une politique. Par exemple, pour créer un utilisateur, vous devez utiliser l'CreateUserAPIopération, la create-user CLI commande ou le AWS Management Console. Pour effectuer ces opérations, vous devez disposer d'une politique qui vous permet d'accéder à l'action CreateUser .

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

Vous pouvez inclure l'action GetSessionToken dans vos politiques, mais elle n'a aucun effet sur la possibilité de l'utilisateur d'effectuer l'opération GetSessionToken .

Autorisations octroyées par GetSessionToken

S'il GetSessionToken est appelé avec les informations d'identification d'un IAM utilisateur, les informations d'identification de sécurité temporaires ont les mêmes autorisations que l'IAMutilisateur. De même, GetSessionToken s'ils sont appelés avec des Utilisateur racine d'un compte AWS informations d'identification, les informations d'identification de sécurité temporaires ont des autorisations d'utilisateur root.

Note

Il est recommandé de ne pas appeler GetSessionToken avec les informations d'identification d'utilisateur racine. Suivez plutôt nos meilleures pratiques et créez des IAM utilisateurs dotés des autorisations dont ils ont besoin. Utilisez ensuite ces IAM utilisateurs pour vos interactions quotidiennes avec AWS.

Les informations d'identification temporaires que vous obtenez lorsque vous appelez GetSessionToken présentent les fonctionnalités et limitations suivantes :

  • Vous pouvez utiliser les informations d'identification pour accéder au AWS Management Console en les transmettant au point de terminaison d'authentification unique de la fédération à l'https://signin.aws.amazon.com/federationadresse. Pour de plus amples informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la AWS console.

  • Vous ne pouvez pas utiliser les informations d'identification pour appeler IAM ou effectuer AWS STS API des opérations. Vous pouvez les utiliser pour appeler les API opérations d'autres AWS services.

Comparez cette API opération, ses limites et ses capacités aux autres API opérations qui créent des informations d'identification de sécurité temporaires sur Comparez les AWS STS informations d'identification

Pour plus d'informations sur l'utilisation de l'APIaccès MFA protégéGetSessionToken, consultezAPIAccès sécurisé avec MFA.