Autorisations pour GetSessionToken - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations pour GetSessionToken

La bonne occasion pour appeler l’GetSessionToken opération d'API ou la get-session-token commande CLI est lorsqu'un utilisateur doit être authentifié avec l'authentification multi-facteur (MFA). Il est possible d'écrire une politique qui autorise certaines actions uniquement lorsque ces actions sont requises par un utilisateur authentifié à l'aide de MFA. Pour réussir à transmettre le contrôle de l'autorisation d'authentification MFA, un utilisateur doit d'abord appeler GetSessionToken et inclure le SerialNumber facultatif et TokenCode les paramètres. Si l'utilisateur est correctement authentifié par un dispositif MFA, les informations d'identification retournées par l'opération d'API GetSessionToken incluent le contexte MFA. Ce contexte indique que l'utilisateur est authentifié par l'authentification MFA et est autorisé pour les opérations d'API nécessitant une authentification MFA.

Autorisations requises pour GetSessionToken

Aucune autorisation n'est requise pour qu'un utilisateur obtienne un jeton de session. Le but principal de l'opération GetSessionToken est d'authentifier l'utilisateur à l'aide de l'authentification MFA. Vous ne pouvez pas utiliser de stratégies pour contrôler les opérations d’authentification.

Pour accorder des autorisations permettant d'effectuer la plupart des opérations AWS, vous ajoutez l'action avec le même nom à une politique. Par exemple, pour créer un utilisateur, vous devez utiliser l'opération d'API CreateUser, la commande CLI create-user ou l'AWS Management Console. Pour effectuer ces opérations, vous devez disposer d'une politique qui vous permet d'accéder à l'action CreateUser .

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

Vous pouvez inclure l'action GetSessionToken dans vos politiques, mais elle n'a aucun effet sur la possibilité de l'utilisateur d'effectuer l'opération GetSessionToken .

Autorisations accordées par GetSessionToken

Si GetSessionToken est appelée avec les informations d'identification d'un utilisateur IAM, les informations d'identification de sécurité temporaires ont les mêmes autorisations que cet utilisateur IAM. De même, si GetSessionToken est appelé avec les informations d'identification de Utilisateur racine d'un compte AWS, les informations d'identification de sécurité temporaires disposent des autorisations de l'utilisateur root.

Note

Il est recommandé de ne pas appeler GetSessionToken avec les informations d'identification d'utilisateur racine. Mettez plutôt en application nos bonnes pratiques pour créer des utilisateurs IAM avec les autorisations nécessaires. Ensuite, utilisez ces utilisateurs IAM pour les interactions quotidiennes avec AWS.

Les informations d'identification temporaires que vous obtenez lorsque vous appelez GetSessionToken présentent les fonctionnalités et limitations suivantes :

  • Vous pouvez utiliser les informations d'identification pour accéder à AWS Management Console en transmettant les informations d'identification au point de terminaison d'authentification unique de fédération à l'adresse https://signin.aws.amazon.com/federation. Pour plus d’informations, veuillez consulter Activation de l'accès à la AWS console par un courtier d'identité personnalisé.

  • Vous ne pouvez pas utiliser les informations d'identification pour appeler les opérations IAM ou d'API AWS STS. Vous pouvez les utiliser pour appeler les opérations d'API d'autres services AWS.

Comparez cette opération d'API et ses limitations et capacités avec les autres opérations d'API qui créent des informations d'identification de sécurité temporaires à Comparaison des opérations d'API AWS STS

Pour plus d'informations sur l'accès aux API protégé par MFA à l'aide de GetSessionToken, consultez Configuration de l'accès aux API protégé par MFA.