GetSessionToken에 대한 권한 - AWS Identity and Access Management
GetSessionToken에 필요한 권한GetSessionToken에서 부여하는 권한

GetSessionToken에 대한 권한

GetSessionToken API 작업 또는 get-session-token CLI 명령을 호출해야 하는 기본적인 경우는 사용자가 멀티 팩터 인증(MFA)으로 인증되어야 할 때입니다. MFA로 인증된 사용자가 요청하는 경우에 한해 특정 작업들을 허용하는 정책을 작성하는 것도 가능합니다. MFA 권한 부여 확인을 성공적으로 통과하려면 사용자는 먼저 GetSessionToken을 호출하여 선택 사항인 SerialNumberTokenCode 파라미터를 포함해야 합니다. 사용자가 MFA 디바이스를 통해 인증을 받으면 GetSessionToken API 작업에서 반환하는 자격 증명에는 MFA 컨텍스트가 포함됩니다. 이 컨텍스트에서는 사용자가 MFA 디바이스를 통해 인증을 받았고 MFA 인증이 필요한 API 작업에 대한 권한이 있음을 표시합니다.

GetSessionToken에 필요한 권한

사용자는 권한이 없어도 세션 토큰을 얻을 수 있습니다. GetSessionToken 작업의 목적은 MFA를 사용하는 사용자를 인증하는 것입니다. 정책을 사용하여 인증 작업을 제어할 수는 없습니다.

대부분의 AWS 작업을 수행할 수 있는 권한을 부여하려면 이름이 같은 작업을 정책에 추가합니다. 예를 들어 사용자를 생성하려면 CreateUser API 작업, create-user CLI 명령 또는 AWS Management Console을 사용해야 합니다. 이러한 작업을 수행하려면 CreateUser 작업에 액세스할 수 있게 허용하는 정책이 있어야 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

정책에 GetSessionToken 작업을 포함할 수 있지만, 사용자가 GetSessionToken 작업을 수행할 수 있는 권한에는 영향을 미치지 않습니다.

GetSessionToken에서 부여하는 권한

GetSessionToken이 IAM 사용자의 자격 증명으로 호출되면, 임시 보안 자격 증명은 IAM 사용자와 동일한 권한을 갖습니다. 마찬가지로 GetSessionToken이 AWS 계정 루트 사용자 보안 인증 정보로 호출되면, 임시 보안 자격 증명은 루트 사용자 권한을 갖습니다.

참고

루트 사용자 자격 증명으로 GetSessionToken을 호출하지 않는 것이 좋습니다. 대신에 모범 사례에 따라 필요한 권한을 지닌 IAM 사용자를 생성하세요. 그런 다음 이러한 IAM 사용자를 AWS와의 일상적인 상호 작용에 사용하세요.

GetSessionToken을 호출할 때 얻는 임시 자격 증명은 다음과 같은 기능과 한계를 지닙니다.

  • https://signin.aws.amazon.com/federation에서 페더레이션 Single Sign-On 엔드포인트로 자격 증명을 전달하여 AWS Management Console에 액세스할 수 있습니다. 자세한 내용은 사용자 지정 자격 증명 브로커가 AWS 콘솔에 액세스할 수 있도록 하기 단원을 참조하십시오.

  • 자격 증명을 사용해 IAM 또는 AWS STS API 작업을 호출할 수 없습니다. 자격 증명을 사용해 다른 서비스에 대한 API 작업을 호출할 수는 있습니다.AWS

AWS STS API 작업 비교에서 이 API 작업과 이 작업의 한계 및 기능을 임시 보안 자격 증명을 생성하는 다른 API와 비교해 보세요.

GetSessionToken을 사용한 MFA 보호 API 액세스에 대한 자세한 내용은 MFA 보호 API 액세스 구성 섹션을 참조하세요.