Berechtigungen für GetSessionToken - AWS Identitäts- und Zugriffsverwaltung
Berechtigungen erforderlich für GetSessionTokenBerechtigungen von GetSessionToken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für GetSessionToken

Primärer Anlass zum Aufruf der API-Operation GetSessionToken oder des CLI-Befehls get-session-token ist, wenn ein Benutzer mit Multi-Factor Authentication (MFA) authentifiziert werden muss. Es ist möglich, eine Richtlinie zu verfassen, die bestimmte Aktionen nur dann erlaubt, wenn diese Aktionen von einem Benutzer angefordert werden, der mit MFA authentifiziert wurde. Um die MFA-Autorisierungsprüfung erfolgreich zu bestehen, muss ein Benutzer zunächst GetSessionToken aufrufen und die optionalen Parameter SerialNumber und TokenCode einschließen. Wenn sich der Benutzer erfolgreich bei einem MFA-Gerät authentifiziert, enthalten die von der API-Operation GetSessionToken zurückgegebenen Anmeldeinformationen den MFA-Kontext. Dieser Kontext gibt an, dass der Benutzer mit MFA authentifiziert und für API-Operationen autorisiert ist, für die eine MFA-Authentifizierung erforderlich ist.

Berechtigungen erforderlich für GetSessionToken

Ein Benutzer benötigt keine Berechtigungen, um ein Sitzungstoken zu erhalten. Der Zweck der Operation GetSessionToken besteht darin, den Benutzer mithilfe von MFA zu authentifizieren. Richtlinien können nicht dazu verwendet werden, Authentifizierungsoperationen zu steuern.

Um Berechtigungen für die Ausführung der meisten AWS Operationen zu erteilen, fügen Sie die Aktion mit dem gleichen Namen zu einer Richtlinie hinzu. Um einen Benutzer zu erstellen, müssen Sie z. B. die API-Operation CreateUser, den CLI-Befehl create-user oder die AWS Management Console verwenden. Um diese Operationen durchführen zu können, müssen Sie über eine Richtlinie verfügen, die Ihnen Zugriff auf die Aktion CreateUser gewährt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

Sie können die Aktion GetSessionToken in Ihre Richtlinien einfügen, dies hat aber keine Auswirkungen auf die Fähigkeit des Benutzers, die Operation GetSessionToken auszuführen.

Berechtigungen von GetSessionToken

Wenn GetSessionToken mit den Anmeldeinformationen eines IAM-Benutzers aufgerufen wird, haben die temporären Sicherheitsanmeldeinformationen dieselben Berechtigungen wie der IAM-Benutzer. In ähnlicher Weise verfügen die temporären Root-Benutzer des AWS-Kontos Sicherheitsanmeldedaten über Root-Benutzerberechtigungen, wenn GetSessionToken sie mit Anmeldeinformationen aufgerufen wird.

Anmerkung

Es wird empfohlen, GetSessionToken nicht mit Stammbenutzer-Anmeldeinformationen aufzurufen. Befolgen Sie stattdessen unsere bewährten Methoden und erstellen Sie IAM-Benutzer mit den Berechtigungen, die sie benötigen. Verwenden Sie diese IAM-Benutzer dann für die tägliche Interaktion mit AWS.

Die temporären Anmeldeinformationen, die Sie erhalten, wenn Sie GetSessionToken aufrufen, haben die folgenden Funktionen und Einschränkungen:

  • Sie können die Anmeldeinformationen für den Zugriff auf verwenden, AWS Management Console indem Sie die Anmeldeinformationen an den Single Sign-On-Endpunkt des Verbunds unter übergeben. https://signin.aws.amazon.com/federation Weitere Informationen finden Sie unter Aktivieren des benutzerdefinierten Identity Broker-Zugriffs auf die AWS Konsole.

  • Sie können die Anmeldeinformationen nicht verwenden, um IAM- oder AWS STS -API-Operationen aufzurufen. Sie können sie verwenden, um API-Operationen für andere AWS Dienste aufzurufen.

Unter Vergleich der AWS STS API-Operationen können Sie diese API-Operation und ihre Grenzen und Funktionen mit den anderen API-Operationen, die temporäre Sicherheitsanmeldeinformationen erstellen, vergleichen.

Weitere Informationen über MFA-geschützten API-Zugriff mithilfe von GetSessionToken finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs.