Permissões para GetSessionToken - AWS Identity and Access Management

Permissões para GetSessionToken

A principal ocasião para chamar a operação de API GetSessionToken ou o comando get-session-token da CLI é quando um usuário deve ser autenticado com Multi-Factor Authentication (MFA). É possível gravar uma política que permite determinadas ações somente quando essas ações são solicitadas por um usuário que foi autenticado com o MFA. Para passar na verificação de autorização MFA, um usuário deve primeiro chamar GetSessionToken e incluir os parâmetros SerialNumber e TokenCode opcionais. Se o usuário for autenticado com êxito com um dispositivo MFA, as credenciais retornadas pela operação de API GetSessionToken incluirão o contexto de MFA. Esse contexto indica que o usuário é autenticado com a MFA e é autorizado para operações de API que exigem autenticação de MFA.

Permissões necessárias para GetSessionToken

Nenhuma permissão é necessária para que um usuário obtenha um token de sessão. O objetivo da operação GetSessionToken é autenticar o usuário que usa a MFA. Não é possível usar políticas para controlar as operações de autenticação.

Para conceder permissões para a execução da maioria das operações da AWS, adicione a ação com o mesmo nome a uma política. Por exemplo, para criar um usuário, você deve usar a operação de API CreateUser, o comando create-user da CLI ou o AWS Management Console. Para executar essas operações, você deve ter uma política que permite acessar a ação CreateUser.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

Você pode incluir a ação GetSessionToken em suas políticas, mas não terá efeito sobre a capacidade de um usuário executar a operação GetSessionToken.

Permissões concedias por GetSessionToken

Se a ação GetSessionToken for chamada com as credenciais de um usuário do IAM, as credenciais de segurança temporárias terão as mesmas permissões que o usuário do IAM. Da mesma forma, se a ação GetSessionToken for chamada com credenciais de usuário raiz da Conta da AWS, as credenciais de segurança temporárias terão permissões de usuário raiz.

nota

Recomendamos que você não chame a ação GetSessionToken com as credenciais de usuário raiz. Em vez disso, siga nossas práticas recomendadas e crie usuários do IAM com as permissões de que precisam. Em seguida, use esses usuários do IAM para a interação diária com a AWS.

As credenciais temporárias que você obtém ao chamar GetSessionToken têm os seguintes recursos e limitações:

  • Você pode usar as credenciais para acessar o AWS Management Console especificando as credenciais para o endpoint de logon único de federação em https://signin.aws.amazon.com/federation. Para mais informações, consulte Habilitar o acesso do agente de identidades personalizado ao console da AWS.

  • Você não pode usar as credenciais para chamar as operações de API do IAM ou do AWS STS. Você pode usá-las para chamar operações de API para outros serviços da AWS.

Compare essa operação de API e suas limitações e recursos com as outras operações de API que criam credenciais de segurança temporárias em Comparação das operações de API do AWS STS

Para obter mais informações sobre o acesso de API protegido por MFA usando GetSessionToken, consulte Configuração de acesso à API protegido por MFA.