GetSessionToken のアクセス権限
GetSessionToken API オペレーション、あるいは get-session-token CLI を呼び出す主な場面は、ユーザーを多要素認証 (MFA) で認証する必要がある場合です。MFA で認証されたユーザーが要求した場合にのみ、特定のアクションを許可するポリシーを作成することができます。MFA 認可チェックを正常に渡すには、ユーザーはまず GetSessionToken を呼び出し、オプションの SerialNumber および TokenCode パラメータを含める必要があります。ユーザーが MFA デバイスで正常に認証されている場合、GetSessionToken API オペレーションで返される認証情報には MFA コンテキストが含まれています。このコンテキストは、ユーザーが MFA で認証され、MFA 認証を必要とする API オペレーションへのアクセス権限があることを示します。
GetSessionToken に必要なアクセス権限
ユーザーがセッショントークンを取得するために必要なアクセス権限はありません。GetSessionToken オペレーションの目的は、MFA を使用してユーザーを認証することです。認証オペレーションを制御するためにポリシーを使用することはできません。
ほとんどの AWS オペレーションを実行するためのアクセス権限を付与するには、ポリシーに同じ名前のアクションを追加します。たとえば、ユーザーを作成するには、CreateUser API オペレーション、create-user CLI コマンド、または AWS Management Console を使用する必要があります。これらのオペレーションを実行するには、CreateUser アクションにアクセスできるポリシーを持っている必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }
ポリシーに GetSessionToken アクションを含めることはできますが、これはユーザーが GetSessionToken オペレーションを実行する権限に影響を及ぼしません。
GetSessionToken によるアクセス権限付与
GetSessionToken が IAM ユーザーの認証情報によって呼び出された場合、一時的なセキュリティ認証情報は IAM ユーザーと同じアクセス権限を持ちます。同様に、GetSessionToken が AWS アカウントのルートユーザー 認証情報によって呼び出された場合、一時的なセキュリティ認証情報は ルートユーザーのアクセス許可を持ちます。
注記
GetSessionToken は、ルートユーザー認証情報を使用して呼び出さないようお勧めします。代わりに、ベストプラクティスに従って、必要なアクセス許可を持つ IAM ユーザーを作成します。AWS との日常的なやり取りには、これらの IAM ユーザーを使用します。
GetSessionToken を呼び出すときに取得する一時的な認証情報には、次の機能と制限があります。
-
フェデレーションのシングルサインオンエンドポイント
https://signin.aws.amazon.com/federationに認証情報を渡すことで AWS Management Console にアクセスできます。詳細については、「AWS コンソールへのカスタム ID ブローカーアクセスを有効にする」を参照してください。 -
認証情報を使用して IAM または AWS STS API オペレーションを呼び出すことはできません。認証情報を使用してその他の サービスの API オペレーションを呼び出すことはできますAWS。
AWS STS 認証情報を比較する で、この API オペレーションおよびその制限と機能を、一時的なセキュリティ認証情報を作成する他の API と比較してください。
GetSessionToken を使用した MFA 保護 API アクセスの詳細については、「MFA を使用した安全な API アクセス」を参照してください。
