GetSessionToken 的权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

GetSessionToken 的权限

调用 GetSessionToken API 操作或 get-session-token CLI 命令主要发生在用户必须使用 Multi-Factor Authentication (MFA) 进行身份验证时。可以编写一条策略,只允许特定操作,且仅当这些操作是由经过 MFA 身份验证的用户请求时,才予以放行。为成功通过 MFA 身份验证检查,用户必须先调用 GetSessionToken,并包含可选的 SerialNumberTokenCode 参数。如果用户成功通过 MFA 设备的身份验证,则 GetSessionToken API 调用返回的凭证将包含 MFA 上下文。此上下文指示用户已使用 MFA 进行了身份验证,并已获得了需要 MFA 身份验证的 API 操作的授权。

GetSessionToken 所需的权限

用户无需任何权限即可获取会话令牌。GetSessionToken 操作旨在使用 MFA 验证用户身份。您不能使用策略来控制身份验证操作。

要授予执行大多数 Amazon 操作的权限,您可以将具有相同名称的操作添加到策略。例如,要创建用户,您必须使用 CreateUser API 操作、create-user CLI 命令或 Amazon Web Services Management Console。要执行这些操作,您必须具有一个策略,该策略允许您访问 CreateUser 操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }

虽然您可以在策略中包含 GetSessionToken 操作,但不会影响用户执行 GetSessionToken 操作的能力。

由 GetSessionToken 授予的权限

如果调用 GetSessionToken 时使用的是 IAM 用户的凭证,则临时安全凭证将具有与该 IAM 用户相同的权限。同样,如果使用 Amazon Web Services 账户根用户 凭证调用 GetSessionToken,临时安全凭证将拥有根用户权限。

注意

我们建议您不要使用根用户凭证来调用 GetSessionToken。相反,请遵循我们的最佳实践,并创建具有所需权限的 IAM 用户。然后使用这些 IAM 用户执行与 Amazon 的日常交互工作。

您在调用 GetSessionToken 时获得的临时凭证具有以下功能和限制:

  • 您可以通过将凭证传递到 https://signin.aws.amazon.com/federation 上的联合身份验证单一登录终端节点来访问 Amazon Web Services Management Console。有关更多信息,请参阅使自定义身份代理能够访问 Amazon 控制台

  • 无法使用凭证调用 IAM 或 Amazon STS API 操作。您可以使用它们来调用其他 Amazon 服务的 API 操作。

请参阅 比较 Amazon STS API 操作,将此 API 操作及其限制和功能与创建临时安全凭证的其他 API 操作比较

有关使用 GetSessionToken 进行受 MFA 保护的 API 访问的更多信息,请参阅配置受 MFA 保护的 API 访问