AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

GetSessionToken 的权限

如果调用 GetSessionToken 时使用的是 IAM 用户的凭证,则临时安全凭证将具有与该 IAM 用户相同的权限。同样,如果使用 AWS 账户根用户凭证调用 GetSessionToken,临时安全凭证将拥有根用户权限。

注意

我们建议您不要使用根用户凭证来调用 GetSessionToken。相反,请遵循我们的最佳实践,并创建一个或多个具有所需权限的 IAM 用户。然后使用这些 IAM 用户执行与 AWS 的日常交互工作。

调用 GetSessionToken 的主要原因是:用户需要执行仅当该用户经过多重验证 (MFA) 身份验证后才被允许的操作。可以编写一条策略,只允许特定操作,且仅当这些操作是由经过 MFA 身份验证的用户请求时,才予以放行。为成功通过 MFA 身份验证检查,用户必须先调用 GetSessionToken,并在 GetSessionToken API 调用中包含可选的 SerialNumberTokenCode 参数。如果用户传递的 SerialNumberTokenCode 参数的值有效 (即用户成功通过 MFA 设备的身份验证),则 GetSessionToken API 调用返回的凭证将包含 MFA 上下文。使用由 GetSessionToken 返回的凭证的后续 AWS 调用将允许该用户成功调用需要 MFA 身份验证的 AWS API。

您在调用 GetSessionToken 时获得的临时凭证具有以下功能和限制:

比较 AWS STS API 操作 上将此 API 及其限制和功能与创建临时安全凭证的其他 API 比较

有关使用 GetSessionToken 进行受 MFA 保护的 API 访问的更多信息,请参阅配置受 MFA 保护的 API 访问