# GetSessionToken のアクセス権限
<a name="id_credentials_temp_control-access_getsessiontoken"></a>

`GetSessionToken` API オペレーション、あるいは `get-session-token` CLI を呼び出す主な場面は、ユーザーを多要素認証 (MFA) で認証する必要がある場合です。MFA で認証されたユーザーが要求した場合にのみ、特定のアクションを許可するポリシーを作成することができます。MFA 認可チェックを正常に渡すには、ユーザーはまず `GetSessionToken` を呼び出し、オプションの `SerialNumber` および `TokenCode` パラメータを含める必要があります。ユーザーが MFA デバイスで正常に認証されている場合、`GetSessionToken` API オペレーションで返される認証情報には MFA コンテキストが含まれています。このコンテキストは、ユーザーが MFA で認証され、MFA 認証を必要とする API オペレーションへのアクセス権限があることを示します。

## GetSessionToken に必要なアクセス権限
<a name="getsessiontoken-permissions-required"></a>

ユーザーがセッショントークンを取得するために必要なアクセス権限はありません。`GetSessionToken` オペレーションの目的は、MFA を使用してユーザーを認証することです。認証オペレーションを制御するためにポリシーを使用することはできません。

ほとんどの AWS オペレーションを実行するためのアクセス権限を付与するには、ポリシーに同じ名前のアクションを追加します。たとえば、ユーザーを作成するには、`CreateUser` API オペレーション、`create-user` CLI コマンド、または AWS マネジメントコンソール を使用する必要があります。これらのオペレーションを実行するには、`CreateUser` アクションにアクセスできるポリシーを持っている必要があります。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}
```

------

ポリシーに `GetSessionToken` アクションを含めることはできますが、これはユーザーが `GetSessionToken` オペレーションを実行する権限に影響を及ぼしません。

## GetSessionToken によるアクセス権限付与
<a name="getsessiontoken-permissions-granted"></a>

`GetSessionToken` が IAM ユーザーの認証情報によって呼び出された場合、一時的なセキュリティ認証情報は IAM ユーザーと同じアクセス権限を持ちます。同様に、`GetSessionToken` が AWS アカウントのルートユーザー 認証情報によって呼び出された場合、一時的なセキュリティ認証情報は ルートユーザーのアクセス許可を持ちます。

**注記**  
`GetSessionToken` は、ルートユーザー認証情報を使用して呼び出さないようお勧めします。代わりに、[ベストプラクティス](best-practices-use-cases.md)に従って、必要なアクセス許可を持つ IAM ユーザーを作成します。AWS との日常的なやり取りには、これらの IAM ユーザーを使用します。

`GetSessionToken` を呼び出すときに取得する一時的な認証情報には、次の機能と制限があります。
+ フェデレーションのシングルサインオンエンドポイント `https://signin.aws.amazon.com/federation` に認証情報を渡すことで AWS マネジメントコンソール にアクセスできます。詳細については、「[AWS コンソールへのカスタム ID ブローカーアクセスを有効にする](id_roles_providers_enable-console-custom-url.md)」を参照してください。
+ 認証情報を使用して IAM または AWS STS API オペレーションを呼び出すことは**できません**。認証情報を使用してその他の ** サービスの API オペレーションを呼び出すことは**できますAWS。

[AWS STS 認証情報を比較する](id_credentials_sts-comparison.md) で、この API オペレーションおよびその制限と機能を、一時的なセキュリティ認証情報を作成する他の API と比較してください。

`GetSessionToken` を使用した MFA 保護 API アクセスの詳細については、「[MFA を使用した安全な API アクセス](id_credentials_mfa_configure-api-require.md)」を参照してください。