AWS Identity and Access Management
ユーザーガイド

GetSessionToken のアクセス権限

GetSessionToken API オペレーション、あるいは get-session-token CLI を呼び出す主な場面は、ユーザーを多要素認証 (MFA) で認証する必要がある場合です。MFA で認証されたユーザーが要求した場合にのみ、特定のアクションを許可するポリシーを作成することができます。MFA 認証チェックを正常に渡すには、ユーザーはまず GetSessionToken を呼び出し、オプションの SerialNumber および TokenCode パラメータを含める必要があります。ユーザーが MFA デバイスで正常に認証されている場合、GetSessionToken API オペレーションで返される認証情報には MFA コンテキストが含まれています。このコンテキストは、ユーザーが MFA で認証され、MFA 認証を必要とする API オペレーションへのアクセス権限があることを示します。

GetSessionToken に必要なアクセス権限

ユーザーがセッショントークンを取得するために必要なアクセス権限はありません。GetSessionToken オペレーションの目的は、MFA を使用してユーザーを認証することです。認証オペレーションを制御するためにポリシーを使用することはできません。

ほとんどの AWS オペレーションを実行するためのアクセス権限を付与するには、ポリシーに同じ名前のアクションを追加します。たとえば、ユーザーを作成するには、CreateUser API オペレーション、create-user CLI コマンド、あるいは AWS マネジメントコンソール を使用する必要があります。これらのオペレーションを実行するには、CreateUser アクションにアクセスできるポリシーを持っている必要があります。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

ポリシーに GetSessionToken アクションを含めることはできますが、これはユーザーが GetSessionToken オペレーションを実行する権限に影響を及ぼしません。

GetSessionToken によるアクセス権限付与

GetSessionToken が IAM ユーザーの認証情報によって呼び出された場合、一時的なセキュリティ認証情報は IAM ユーザーと同じアクセス権限を持ちます。同様に、GetSessionToken が AWS アカウントのルートユーザー 認証情報によって呼び出された場合、一時的なセキュリティ認証情報は ルートユーザー のアクセス許可を持ちます。

注記

GetSessionToken は、ルートユーザー 認証情報を使用して呼び出さないようお勧めします。代わりに、ベストプラクティスに従って、必要なアクセス許可を持つ IAM ユーザーを作成します。AWS との日常的なやり取りには、これらの IAM ユーザーを使用します。

GetSessionToken を呼び出すときに取得する一時的な認証情報には、次の機能と制限があります。

AWS STS API オペレーションの比較 で、この API オペレーションおよびその制限と機能を、一時的なセキュリティ認証情報を作成する他の API と比較してください。

GetSessionToken を使用した MFA 保護 API アクセスの詳細については、「MFA 保護 API アクセスの設定」を参照してください。