GetSessionToken のアクセス権限

GetSessionToken API オペレーション、あるいは get-session-token CLI を呼び出す主な場面は、ユーザーを多要素認証 (MFA) で認証する必要がある場合です。MFA で認証されたユーザーが要求した場合にのみ、特定のアクションを許可するポリシーを作成することができます。MFA 認証チェックを正常に渡すには、ユーザーはまず GetSessionToken を呼び出し、オプションの SerialNumber および TokenCode パラメータを含める必要があります。ユーザーが MFA デバイスで正常に認証されている場合、GetSessionToken API オペレーションで返される認証情報には MFA コンテキストが含まれています。このコンテキストは、ユーザーが MFA で認証され、MFA 認証を必要とする API オペレーションへのアクセス権限があることを示します。

GetSessionToken に必要なアクセス権限

ユーザーがセッショントークンを取得するために必要なアクセス権限はありません。GetSessionToken オペレーションの目的は、MFA を使用してユーザーを認証することです。認証オペレーションを制御するためにポリシーを使用することはできません。

ほとんどの AWS オペレーションを実行するためのアクセス権限を付与するには、ポリシーに同じ名前のアクションを追加します。たとえば、ユーザーを作成するには、CreateUser API オペレーション、create-user CLI コマンド、または AWS Management Console を使用する必要があります。これらのオペレーションを実行するには、CreateUser アクションにアクセスできるポリシーを持っている必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

ポリシーに GetSessionToken アクションを含めることはできますが、これはユーザーが GetSessionToken オペレーションを実行する権限に影響を及ぼしません。

GetSessionToken によるアクセス権限付与

GetSessionToken が IAM ユーザーの認証情報によって呼び出された場合、一時的なセキュリティ認証情報は IAM ユーザーと同じアクセス権限を持ちます。同様に、GetSessionToken が AWS アカウントのルートユーザー 認証情報によって呼び出された場合、一時的なセキュリティ認証情報は ルートユーザーのアクセス許可を持ちます。

注記

GetSessionToken は、ルートユーザー認証情報を使用して呼び出さないようお勧めします。代わりに、ベストプラクティスに従って、必要なアクセス許可を持つ IAM ユーザーを作成します。AWS との日常的なやり取りには、これらの IAM ユーザーを使用します。

GetSessionToken を呼び出すときに取得する一時的な認証情報には、次の機能と制限があります。

• フェデレーションのシングルサインオンエンドポイント https://signin.aws.amazon.com/federation に認証情報を渡すことで AWS Management Console にアクセスできます。詳細については、「AWS コンソールへのカスタム ID ブローカーアクセスを有効にする」を参照してください。

• 認証情報を使用して IAM または AWS STS API オペレーションを呼び出すことはできません。認証情報を使用してその他の サービスの API オペレーションを呼び出すことはできますAWS。

AWS STS 認証情報を比較する で、この API オペレーションおよびその制限と機能を、一時的なセキュリティ認証情報を作成する他の API と比較してください。

GetSessionToken を使用した MFA 保護 API アクセスの詳細については、「MFA を使用した安全な API アクセス」を参照してください。