Permissões necessárias para GetSessionToken Permissões concedias por GetSessionToken

Permissões para GetSessionToken

A principal ocasião para chamar a operação de API GetSessionToken ou o comando get-session-token da CLI é quando um usuário deve ser autenticado com Multi-Factor Authentication (MFA). É possível gravar uma política que permite determinadas ações somente quando essas ações são solicitadas por um usuário que foi autenticado com o MFA. Para passar na verificação de autorização MFA, um usuário deve primeiro chamar GetSessionToken e incluir os parâmetros SerialNumber e TokenCode opcionais. Se o usuário for autenticado com êxito com um dispositivo MFA, as credenciais retornadas pela operação de API GetSessionToken incluirão o contexto de MFA. Esse contexto indica que o usuário é autenticado com a MFA e é autorizado para operações de API que exigem autenticação de MFA.

Permissões necessárias para GetSessionToken

Nenhuma permissão é necessária para que um usuário obtenha um token de sessão. O objetivo da operação GetSessionToken é autenticar o usuário que usa a MFA. Não é possível usar políticas para controlar as operações de autenticação.

Para conceder permissões para a execução da maioria das operações da AWS, adicione a ação com o mesmo nome a uma política. Por exemplo, para criar um usuário, você deve usar a operação de API CreateUser, o comando create-user da CLI ou o AWS Management Console. Para executar essas operações, você deve ter uma política que permite acessar a ação CreateUser.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

Você pode incluir a ação GetSessionToken em suas políticas, mas não terá efeito sobre a capacidade de um usuário executar a operação GetSessionToken.

Permissões concedias por GetSessionToken

Se a ação GetSessionToken for chamada com as credenciais de um usuário do IAM, as credenciais de segurança temporárias terão as mesmas permissões que o usuário do IAM. Da mesma forma, se a ação GetSessionToken for chamada com credenciais de Usuário raiz da conta da AWS, as credenciais de segurança temporárias terão permissões de usuário raiz.

nota

Recomendamos que você não chame a ação GetSessionToken com as credenciais de usuário raiz. Em vez disso, siga nossas práticas recomendadas e crie usuários do IAM com as permissões de que precisam. Em seguida, use esses usuários do IAM para a interação diária com a AWS.

As credenciais temporárias que você obtém ao chamar GetSessionToken têm os seguintes recursos e limitações:

Você pode usar as credenciais para acessar o AWS Management Console especificando as credenciais para o endpoint de logon único de federação em https://signin.aws.amazon.com/federation. Para ter mais informações, consulte Habilitar o acesso do agente de identidades personalizado ao console da AWS.
Você não pode usar as credenciais para chamar as operações de API do IAM ou do AWS STS. Você pode usá-las para chamar operações de API para outros serviços da AWS.

Compare essa operação de API e suas limitações e recursos com as outras operações de API que criam credenciais de segurança temporárias em Comparação das operações de API do AWS STS

Para obter mais informações sobre o acesso de API protegido por MFA usando GetSessionToken, consulte Configuração de acesso à API protegido por MFA.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões para GetFederationToken

Desabilitar permissões