Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations pour GetSessionToken
L'appel à l'GetSessionToken
APIopération ou à la get-session-token
CLI commande se produit principalement lorsqu'un utilisateur doit être authentifié à l'aide de l'authentification multifactorielle ()MFA. Il est possible d'écrire une politique qui autorise certaines actions uniquement lorsque ces actions sont demandées par un utilisateur authentifié auprès de lui. MFA Pour réussir le contrôle MFA d'autorisation, un utilisateur doit d'abord appeler GetSessionToken
et inclure les options SerialNumber
et TokenCode
les paramètres. Si l'utilisateur est authentifié avec succès auprès d'un MFA appareil, les informations d'identification renvoyées par l'GetSessionToken
APIopération incluent le MFA contexte. Ce contexte indique que l'utilisateur est authentifié auprès de lui MFA et qu'il est autorisé à effectuer des API opérations nécessitant une MFA authentification.
Autorisations requises pour GetSessionToken
Aucune autorisation n'est requise pour qu'un utilisateur obtienne un jeton de session. Le but de l'GetSessionToken
opération est d'authentifier l'utilisateur à l'aide MFA de. Vous ne pouvez pas utiliser de stratégies pour contrôler les opérations d’authentification.
Pour autoriser l'exécution de la plupart AWS des opérations, vous devez ajouter l'action portant le même nom à une politique. Par exemple, pour créer un utilisateur, vous devez utiliser l'CreateUser
APIopération, la create-user
CLI commande ou le AWS Management Console. Pour effectuer ces opérations, vous devez disposer d'une politique qui vous permet d'accéder à l'action CreateUser
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }
Vous pouvez inclure l'action GetSessionToken
dans vos politiques, mais elle n'a aucun effet sur la possibilité de l'utilisateur d'effectuer l'opération GetSessionToken
.
Autorisations octroyées par GetSessionToken
S'il GetSessionToken
est appelé avec les informations d'identification d'un IAM utilisateur, les informations d'identification de sécurité temporaires ont les mêmes autorisations que l'IAMutilisateur. De même, GetSessionToken
s'ils sont appelés avec des Utilisateur racine d'un compte AWS informations d'identification, les informations d'identification de sécurité temporaires ont des autorisations d'utilisateur root.
Note
Il est recommandé de ne pas appeler GetSessionToken
avec les informations d'identification d'utilisateur racine. Suivez plutôt nos meilleures pratiques et créez des IAM utilisateurs dotés des autorisations dont ils ont besoin. Utilisez ensuite ces IAM utilisateurs pour vos interactions quotidiennes avec AWS.
Les informations d'identification temporaires que vous obtenez lorsque vous appelez GetSessionToken
présentent les fonctionnalités et limitations suivantes :
-
Vous pouvez utiliser les informations d'identification pour accéder au AWS Management Console en les transmettant au point de terminaison d'authentification unique de la fédération à l'
https://signin.aws.amazon.com/federation
adresse. Pour de plus amples informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la AWS console. -
Vous ne pouvez pas utiliser les informations d'identification pour appeler IAM ou effectuer AWS STS API des opérations. Vous pouvez les utiliser pour appeler les API opérations d'autres AWS services.
Comparez cette API opération, ses limites et ses capacités aux autres API opérations qui créent des informations d'identification de sécurité temporaires sur Comparez les AWS STS informations d'identification
Pour plus d'informations sur l'utilisation de l'APIaccès MFA protégéGetSessionToken
, consultezAPIAccès sécurisé avec MFA.