GetSessionToken 的許可

呼叫 GetSessionToken API 操作或 get-session-token CLI 命令的主要時間是，當使用者必須透過多重要素驗證 (MFA) 進行身分驗證時。可以編寫只允許特定操作的一項政策，且只有在這些操作是由經過 MFA 身分驗證的使用者提出的請求時，才允許執行。為成功通過 MFA 身分驗證檢查，使用者必須先呼叫 GetSessionToken，並且包含可選的SerialNumber 和 TokenCode 參數。如果使用者成功通過 MFA 裝置身分驗證，GetSessionToken API 操作傳回的憑證包含 MFA 內容。此內容表示使用者通過 MFA 身分驗證，並且獲得 API 操作授權，其需要 MFA 身分驗證。

所需的權限 GetSessionToken

使用者要取得工作階段權杖並不需要許可。GetSessionToken 操作的目的是使用 MFA 驗證使用者的身分。您不能使用政策來控制驗證操作。

若要授與執行大部分 AWS 作業的權限，您可以將具有相同名稱的動作新增至原則。例如，若要建立使用者，您必須使用 CreateUser API 操作、create-user CLI 命令或 AWS Management Console。若要執行這些操作，您必須擁有一個政策，其可讓您存取 CreateUser 動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

您可以在您的政策中包含 GetSessionToken 動作，但不會影響使用者執行 GetSessionToken 操作的能力。

GetSessionToken 授予的許可

如果使用 IAM 使用者的憑證呼叫 GetSessionToken，臨時安全性憑證與 IAM 使用者會有相同的許可。同樣地，如果GetSessionToken使用 AWS 帳戶根使用者 認證呼叫，則臨時安全性認證具有 root 使用者權限。

注意

我們建議您不要使用根使用者憑證呼叫 GetSessionToken。相反的，請遵循我們的最佳實務，並建立具有所需許可的 IAM 使用者。然後使用這些 IAM 使用者進行日常互動 AWS。

當您呼叫 GetSessionToken 時您獲得的臨時憑證有下列功能和限制：

• 您可以使用認證來存取，方 AWS Management Console 法是將認證傳遞至同盟單一登入端點，位於https://signin.aws.amazon.com/federation。如需詳細資訊，請參閱 啟用自訂身分識別代理存取主 AWS 控台。

• 您無法使用憑證來呼叫 IAM 或 AWS STS API 操作。您可以使用它們來呼叫其他 AWS 服務的 API 作業。

將此 API 操作和其限制及功能與在 比較操 AWS STS API作 建立臨時安全性憑證的 API 操作相較

如需有關使用 GetSessionToken 的受 MFA 保護之 API 存取的詳細資訊，請參閱 設定受 MFA 保護的 API 存取。