GetSessionToken에 대한 권한 - AWS Identity and Access Management

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

GetSessionToken에 대한 권한

GetSessionToken API 작업 또는 get-session-token CLI 명령을 호출해야 하는 기본적인 경우는 사용자가 멀티 팩터 인증(MFA)으로 인증되어야 할 때입니다. MFA로 인증된 사용자가 요청하는 경우에 한해 특정 작업들을 허용하는 정책을 작성하는 것도 가능합니다. MFA 권한 부여 확인을 성공적으로 통과하려면 사용자는 먼저 GetSessionToken을 호출하여 선택 사항인 SerialNumberTokenCode 파라미터를 포함해야 합니다. 사용자가 MFA 디바이스를 통해 인증을 받으면 GetSessionToken API 작업에서 반환하는 자격 증명에는 MFA 컨텍스트가 포함됩니다. 이 컨텍스트에서는 사용자가 MFA 디바이스를 통해 인증을 받았고 MFA 인증이 필요한 API 작업에 대한 권한이 있음을 표시합니다.

GetSession 토큰에 필요한 권한

사용자는 권한이 없어도 세션 토큰을 얻을 수 있습니다. GetSessionToken 작업의 목적은 MFA를 사용하는 사용자를 인증하는 것입니다. 정책을 사용하여 인증 작업을 제어할 수는 없습니다.

대부분의 AWS 작업을 수행할 수 있는 권한을 부여하려면 이름이 같은 작업을 정책에 추가합니다. 예를 들어 사용자를 생성하려면 CreateUser API 작업, create-user CLI 명령 또는 AWS Management 콘솔을 사용해야 합니다. 이러한 작업을 수행하려면 CreateUser 작업에 액세스할 수 있게 허용하는 정책이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

정책에 GetSessionToken 작업을 포함할 수 있지만, 사용자가 GetSessionToken 작업을 수행할 수 있는 권한에는 영향을 미치지 않습니다.

GetSession 토큰이 부여한 권한

GetSessionToken이 IAM의 자격 증명으로 호출되면, 임시 보안 자격 증명은 IAM 사용자와 동일한 권한을 갖습니다. 마찬가지로 GetSessionToken이 AWS 계정 루트 사용자으로 호출되면, 임시 보안 자격 증명은 루트 사용자 권한을 갖습니다.

참고

루트 사용자 자격 증명으로 GetSessionToken을 호출하지 않는 것이 좋습니다. 대신에 모범 사례에 따라 필요한 권한을 지닌 IAM 사용자를 생성하십시오. 그런 다음 이러한 IAM 사용자를 AWS와의 일상적인 상호 작용에 사용하십시오.

GetSessionToken을 호출할 때 얻는 임시 자격 증명은 다음과 같은 기능과 한계를 지닙니다.

  • 자격 증명을 사용하여 AWS Management 콘솔 에서 자격 증명을 통합 Single Sign-On 끝점으로 전달하여 https://signin.aws.amazon.com/federation. 자세한 내용은 을 참조하십시오. 사용자 지정 ID 브로커 액세스 활성화 AWS 콘솔.

  • 자격 증명을 사용해 IAM 또는 AWS STS API 작업을 호출할 수 없습니다. 자격 증명을 사용해 다른 AWS 서비스에 대한 API 작업을 호출할 수는 있습니다.

비교 AWS STS API 작업에서 이 API 작업과 이 작업의 한계 및 기능을 임시 보안 자격 증명을 생성하는 다른 API와 비교해 보십시오.

GetSessionToken을 사용한 MFA 보호 API 액세스에 대한 자세한 내용은 MFA 보호 API 액세스 구성 단원을 참조하십시오.