Izin untuk GetSessionToken - AWS Identity and Access Management
Izin diperlukan untuk GetSessionTokenIzin diberikan oleh GetSessionToken

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin untuk GetSessionToken

Alasan utama untuk menghubungi operasi API GetSessionToken atau Perintah CLI get-session-token adalah ketika pengguna harus diautentikasi dengan autentikasi Autentikasi Multi-Faktor (MFA). Hal tersebut memungkinkan untuk menulis kebijakan yang mengizinkan tindakan tertentu hanya jika tindakan tersebut diminta oleh pengguna yang telah diautentikasi dengan MFA. Agar berhasil melewati pemeriksaan otorisasi MFA, pengguna harus melakukan panggilan pertama GetSessionToken dan menyertakan opsional parameter SerialNumber dan TokenCode. Jika pengguna berhasil mengautentikasi dengan sebuah perangkat MFA, kredensial dikembalikan oleh operasi API GetSessionToken mencakup konteks MFA. Konteks ini menunjukkan bahwa pengguna diautentikasi dengan MFA dan diotorisasi untuk operasi API yang memerlukan autentikasi MFA.

Izin diperlukan untuk GetSessionToken

Tidak ada izin yang diperlukan bagi pengguna untuk mendapatkan token sesi. Tujuan dari operasi GetSessionToken adalah mengautentikasi pengguna menggunakan MFA. Anda tidak dapat menggunakan kebijakan untuk mengontrol operasi autentikasi.

Untuk memberikan izin untuk melakukan sebagian besar AWS operasi, Anda menambahkan tindakan dengan nama yang sama ke kebijakan. Misalnya, untuk membuat pengguna, Anda harus menggunakan operasi API CreateUser, perintah CLI create-user, atau AWS Management Console. Untuk melakukan operasi ini, Anda harus memiliki kebijakan yang mengijinkan Anda untuk mengakses tindakan CreateUser.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

Anda dapat memasukkan tindakan GetSessionToken dalam kebijakan Anda, tetapi tidak itu berpengaruh pada kemampuan pengguna untuk melakukan operasi GetSessionToken.

Izin diberikan oleh GetSessionToken

Jika GetSessionToken yang dipanggil dengan kredensial pengguna IAM, kredensial keamanan sementara memiliki izin yang sama dengan pengguna IAM. Demikian pula, jika GetSessionToken dipanggil dengan Pengguna root akun AWS kredenal, kredenal keamanan sementara memiliki izin pengguna root.

catatan

Kami menyarankan agar Anda tidak memanggil GetSessionToken dengan kredensial pengguna root. Sebaliknya, ikuti praktik terbaik kami dan membuat pengguna IAM dengan izin yang mereka butuhkan. Kemudian gunakan pengguna IAM ini untuk interaksi sehari-hari dengan AWS.

Kredensial sementara yang Anda dapatkan ketika Anda memanggil GetSessionToken memiliki kemampuan dan batasan sebagai berikut:

  • Anda dapat menggunakan kredensi untuk mengakses AWS Management Console dengan meneruskan kredensialnya ke titik akhir masuk tunggal federasi di. https://signin.aws.amazon.com/federation Untuk informasi selengkapnya, lihat Mengaktifkan akses broker identitas khusus ke konsol AWS.

  • Anda tidak dapat menggunakan kredensialnya untuk memanggil operasi IAM atau AWS STS API. Anda dapat menggunakannya untuk memanggil operasi API untuk AWS layanan lain.

Bandingkan operasi API ini serta batasan dan kemampuannya dengan operasi API lain yang membuat kredensial keamanan sementara di Membandingkan operasi AWS STS API

Untuk informasi selengkapnya tentang akses API yang dilindungi MFA menggunakan GetSessionToken, lihat Mengonfigurasi akses API yang dilindungi MFA.