Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Berechtigungen für GetSessionToken
Primärer Anlass zum Aufruf der API-Operation GetSessionToken
oder des CLI-Befehls get-session-token
ist, wenn ein Benutzer mit Multi-Factor Authentication (MFA) authentifiziert werden muss. Es ist möglich, eine Richtlinie zu verfassen, die bestimmte Aktionen nur dann erlaubt, wenn diese Aktionen von einem Benutzer angefordert werden, der mit MFA authentifiziert wurde. Um die MFA-Autorisierungsprüfung erfolgreich zu bestehen, muss ein Benutzer zunächst GetSessionToken
aufrufen und die optionalen Parameter SerialNumber
und TokenCode
einschließen. Wenn sich der Benutzer erfolgreich bei einem MFA-Gerät authentifiziert, enthalten die von der API-Operation GetSessionToken
zurückgegebenen Anmeldeinformationen den MFA-Kontext. Dieser Kontext gibt an, dass der Benutzer mit MFA authentifiziert und für API-Operationen autorisiert ist, für die eine MFA-Authentifizierung erforderlich ist.
Berechtigungen erforderlich für GetSessionToken
Ein Benutzer benötigt keine Berechtigungen, um ein Sitzungstoken zu erhalten. Der Zweck der Operation GetSessionToken
besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Richtlinien können nicht dazu verwendet werden, Authentifizierungsoperationen zu steuern.
Um Berechtigungen für die Ausführung der meisten AWS Operationen zu erteilen, fügen Sie die Aktion mit dem gleichen Namen zu einer Richtlinie hinzu. Um einen Benutzer zu erstellen, müssen Sie z. B. die API-Operation CreateUser
, den CLI-Befehl create-user
oder die AWS Management Console verwenden. Um diese Operationen durchführen zu können, müssen Sie über eine Richtlinie verfügen, die Ihnen Zugriff auf die Aktion CreateUser
gewährt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }
Sie können die Aktion GetSessionToken
in Ihre Richtlinien einfügen, dies hat aber keine Auswirkungen auf die Fähigkeit des Benutzers, die Operation GetSessionToken
auszuführen.
Berechtigungen von GetSessionToken
Wenn GetSessionToken
mit den Anmeldeinformationen eines IAM-Benutzers aufgerufen wird, haben die temporären Sicherheitsanmeldeinformationen dieselben Berechtigungen wie der IAM-Benutzer. In ähnlicher Weise verfügen die temporären Root-Benutzer des AWS-Kontos Sicherheitsanmeldedaten über Root-Benutzerberechtigungen, wenn GetSessionToken
sie mit Anmeldeinformationen aufgerufen wird.
Anmerkung
Es wird empfohlen, GetSessionToken
nicht mit Stammbenutzer-Anmeldeinformationen aufzurufen. Befolgen Sie stattdessen unsere bewährten Methoden und erstellen Sie IAM-Benutzer mit den Berechtigungen, die sie benötigen. Verwenden Sie diese IAM-Benutzer dann für die tägliche Interaktion mit AWS.
Die temporären Anmeldeinformationen, die Sie erhalten, wenn Sie GetSessionToken
aufrufen, haben die folgenden Funktionen und Einschränkungen:
-
Sie können die Anmeldeinformationen für den Zugriff auf verwenden, AWS Management Console indem Sie die Anmeldeinformationen an den Single Sign-On-Endpunkt des Verbunds unter übergeben.
https://signin.aws.amazon.com/federation
Weitere Informationen finden Sie unter Aktivieren des benutzerdefinierten Identity Broker-Zugriffs auf die AWS Konsole. -
Sie können die Anmeldeinformationen nicht verwenden, um IAM- oder AWS STS -API-Operationen aufzurufen. Sie können sie verwenden, um API-Operationen für andere AWS Dienste aufzurufen.
Unter Vergleich der AWS STS API-Operationen können Sie diese API-Operation und ihre Grenzen und Funktionen mit den anderen API-Operationen, die temporäre Sicherheitsanmeldeinformationen erstellen, vergleichen.
Weitere Informationen über MFA-geschützten API-Zugriff mithilfe von GetSessionToken
finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs.