Autorizzazioni per GetSessionToken - AWS Identity and Access Management
Autorizzazioni richieste per GetSessionTokenAutorizzazioni concesse da GetSessionToken

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazioni per GetSessionToken

La principale occasione per chiamare l'operazione API GetSessionToken o il comando CLI get-session-token è quando un utente deve essere autenticato tramite Multi-Factor Authentication (MFA). È possibile scrivere una policy che permette determinate operazioni solo quando tali operazioni vengono richieste da un utente autenticato con MFA. Per superare i controlli di autorizzazione MFA, un utente deve prima chiamare GetSessionToken e includere i parametri facoltativi SerialNumber e TokenCode. Se l'utente è stato autenticato con un dispositivo MFA, le credenziali restituite dall'operazione API GetSessionToken includono il contesto MFA. Tale contesto indica che l'utente viene autenticato con MFA ed è autorizzato per le operazioni API che richiedono l'autenticazione MFA.

Autorizzazioni richieste per GetSessionToken

Non è richiesta all'utente alcuna autorizzazione per ottenere un token di sessione. Lo scopo dell'operazione GetSessionToken è autenticare l'utente tramite MFA. Non è possibile utilizzare le policy per controllare le operazioni di autenticazione.

Per concedere le autorizzazioni necessarie per eseguire la maggior parte AWS delle operazioni, è necessario aggiungere l'azione con lo stesso nome a una policy. Ad esempio, per creare un utente, occorre utilizzare l'operazione API CreateUser, il comando della CLI create-user o la AWS Management Console. Per eseguire queste operazioni, è necessario disporre di una policy che consenta di accedere all'operazione CreateUser.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}

È possibile includere l'operazione GetSessionToken nella policy, ma questo non incide sulla capacità di un utente di eseguire l'operazione GetSessionToken.

Autorizzazioni concesse da GetSessionToken

Se la chiamata a GetSessionToken viene eseguita con le credenziali di un utente IAM, le credenziali di sicurezza temporanee avranno le stesse autorizzazioni dell'utente IAM. Analogamente, se GetSessionToken viene chiamata con Utente root dell'account AWS credenziali, le credenziali di sicurezza temporanee dispongono dei permessi di utente root.

Nota

È consigliabile non chiamare GetSessionToken con credenziali dell'utente root Segui invece le best practice e crea utenti IAM con le autorizzazioni necessarie. Quindi usa questi utenti IAM per l'interazione quotidiana con. AWS

Le credenziali temporanee ottenute chiamando GetSessionToken hanno le funzionalità e le limitazioni seguenti:

  • Puoi utilizzare le credenziali per accedere a passando le credenziali all' AWS Management Console endpoint Single Sign-On della federazione all'indirizzo. https://signin.aws.amazon.com/federation Per ulteriori informazioni, consulta Abilitazione dell'accesso personalizzato da parte di un broker di identità alla AWS console.

  • Non puoi utilizzare le credenziali per richiamare le operazioni API IAM o AWS STS . È possibile utilizzarle per chiamare le operazioni API per altri servizi. AWS

Per un confronto tra questa operazione API e i relativi limiti e funzionalità con le altre operazioni API che creano credenziali di sicurezza temporanee, consulta Confronto delle operazioni AWS STS API

Per ulteriori informazioni sull'accesso API protetto da MFA con GetSessionToken, consulta Configurazione dell'accesso alle API protetto da MFA.