GetSessionToken 許可 - AWS Identity and Access Management

GetSessionToken 許可

呼叫 GetSessionToken API 操作或 get-session-token CLI 命令的主要時間是,當使用者必須透過多重要素驗證 (MFA) 進行身分驗證時。可以編寫只允許特定操作的一項政策,且只有在這些操作是由經過 MFA 身分驗證的使用者提出的請求時,才允許執行。為成功通過 MFA 身分驗證檢查,使用者必須先呼叫 GetSessionToken,並且包含可選的SerialNumberTokenCode 參數。如果使用者成功通過 MFA 裝置身分驗證,GetSessionToken API 操作傳回的憑證包含 MFA 內容。此內容表示使用者通過 MFA 身分驗證,並且獲得 API 操作授權,其需要 MFA 身分驗證。

GetSessionToken 需要的許可

使用者要取得工作階段權杖並不需要許可。GetSessionToken 操作的目的是使用 MFA 驗證使用者的身分。您不能使用政策來控制驗證操作。

若要授予許可以執行大多數 AWS 操作,您將具相同名稱的動作加入到政策。例如,若要建立使用者,您必須使用 CreateUser API 操作、create-user CLI 命令或 AWS Management Console。若要執行這些操作,您必須擁有一個政策,其可讓您存取 CreateUser 動作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

您可以在您的政策中包含 GetSessionToken 動作,但不會影響使用者執行 GetSessionToken 操作的能力。

GetSessionToken 授予的許可

如果使用 IAM 使用者的憑證呼叫 GetSessionToken,臨時安全性憑證與 IAM 使用者會有相同的許可。同樣地,如果使用 AWS 帳戶 根使用者憑證呼叫 GetSessionToken,暫時安全憑證會有根使用者許可。

注意

我們建議您不要使用根使用者憑證呼叫 GetSessionToken。相反的,請遵循我們的最佳實務,並建立具有所需許可的 IAM 使用者。然後使用這些 IAM 使用者執行與 AWS 的日常互動。

當您呼叫 GetSessionToken 時您獲得的臨時憑證有下列功能和限制:

  • 傳遞憑證到位於 AWS Management Console 的聯合單一登入端點,便可使用憑證來存取 https://signin.aws.amazon.com/federation。如需詳細資訊,請參閱 使自訂身分經紀人存取 AWS 主控台

  • 無法使用憑證來呼叫 IAM 或 AWS STS API 操作。您「可以」使用它們來為其他 AWS 服務呼叫 API 操作。

將此 API 操作和其限制及功能與在 AWS STS API 操作的比較 建立臨時安全性憑證的 API 操作相較

如需有關使用 GetSessionToken 的受 MFA 保護之 API 存取的詳細資訊,請參閱 設定受 MFA 保護的 API 存取