Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin untuk GetSessionToken
Alasan utama untuk menghubungi operasi API GetSessionToken
atau Perintah CLI get-session-token
adalah ketika pengguna harus diautentikasi dengan autentikasi Autentikasi Multi-Faktor (MFA). Hal tersebut memungkinkan untuk menulis kebijakan yang mengizinkan tindakan tertentu hanya jika tindakan tersebut diminta oleh pengguna yang telah diautentikasi dengan MFA. Agar berhasil melewati pemeriksaan otorisasi MFA, pengguna harus melakukan panggilan pertama GetSessionToken
dan menyertakan opsional parameter SerialNumber
dan TokenCode
. Jika pengguna berhasil mengautentikasi dengan sebuah perangkat MFA, kredensial dikembalikan oleh operasi API GetSessionToken
mencakup konteks MFA. Konteks ini menunjukkan bahwa pengguna diautentikasi dengan MFA dan diotorisasi untuk operasi API yang memerlukan autentikasi MFA.
Izin diperlukan untuk GetSessionToken
Tidak ada izin yang diperlukan bagi pengguna untuk mendapatkan token sesi. Tujuan dari operasi GetSessionToken
adalah mengautentikasi pengguna menggunakan MFA. Anda tidak dapat menggunakan kebijakan untuk mengontrol operasi autentikasi.
Untuk memberikan izin untuk melakukan sebagian besar AWS operasi, Anda menambahkan tindakan dengan nama yang sama ke kebijakan. Misalnya, untuk membuat pengguna, Anda harus menggunakan operasi API CreateUser
, perintah CLI create-user
, atau AWS Management Console. Untuk melakukan operasi ini, Anda harus memiliki kebijakan yang mengijinkan Anda untuk mengakses tindakan CreateUser
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }
Anda dapat memasukkan tindakan GetSessionToken
dalam kebijakan Anda, tetapi tidak itu berpengaruh pada kemampuan pengguna untuk melakukan operasi GetSessionToken
.
Izin diberikan oleh GetSessionToken
Jika GetSessionToken
yang dipanggil dengan kredensial pengguna IAM, kredensial keamanan sementara memiliki izin yang sama dengan pengguna IAM. Demikian pula, jika GetSessionToken
dipanggil dengan Pengguna root akun AWS kredenal, kredenal keamanan sementara memiliki izin pengguna root.
catatan
Kami menyarankan agar Anda tidak memanggil GetSessionToken
dengan kredensial pengguna root. Sebaliknya, ikuti praktik terbaik kami dan membuat pengguna IAM dengan izin yang mereka butuhkan. Kemudian gunakan pengguna IAM ini untuk interaksi sehari-hari dengan AWS.
Kredensial sementara yang Anda dapatkan ketika Anda memanggil GetSessionToken
memiliki kemampuan dan batasan sebagai berikut:
-
Anda dapat menggunakan kredensi untuk mengakses AWS Management Console dengan meneruskan kredensialnya ke titik akhir masuk tunggal federasi di.
https://signin.aws.amazon.com/federation
Untuk informasi selengkapnya, lihat Mengaktifkan akses broker identitas khusus ke konsol AWS. -
Anda tidak dapat menggunakan kredensialnya untuk memanggil operasi IAM atau AWS STS API. Anda dapat menggunakannya untuk memanggil operasi API untuk AWS layanan lain.
Bandingkan operasi API ini serta batasan dan kemampuannya dengan operasi API lain yang membuat kredensial keamanan sementara di Membandingkan operasi AWS STS API
Untuk informasi selengkapnya tentang akses API yang dilindungi MFA menggunakan GetSessionToken
, lihat Mengonfigurasi akses API yang dilindungi MFA.