GetSessionToken에 대한 권한
GetSessionToken
API 작업 또는 get-session-token
CLI 명령을 호출해야 하는 기본적인 경우는 사용자가 멀티 팩터 인증(MFA)으로 인증되어야 할 때입니다. MFA로 인증된 사용자가 요청하는 경우에 한해 특정 작업들을 허용하는 정책을 작성하는 것도 가능합니다. MFA 권한 부여 확인을 성공적으로 통과하려면 사용자는 먼저 GetSessionToken
을 호출하여 선택 사항인 SerialNumber
및 TokenCode
파라미터를 포함해야 합니다. 사용자가 MFA 디바이스를 통해 인증을 받으면 GetSessionToken
API 작업에서 반환하는 자격 증명에는 MFA 컨텍스트가 포함됩니다. 이 컨텍스트에서는 사용자가 MFA 디바이스를 통해 인증을 받았고 MFA 인증이 필요한 API 작업에 대한 권한이 있음을 표시합니다.
GetSessionToken에 필요한 권한
사용자는 권한이 없어도 세션 토큰을 얻을 수 있습니다. GetSessionToken
작업의 목적은 MFA를 사용하는 사용자를 인증하는 것입니다. 정책을 사용하여 인증 작업을 제어할 수는 없습니다.
대부분의 AWS 작업을 수행할 수 있는 권한을 부여하려면 이름이 같은 작업을 정책에 추가합니다. 예를 들어 사용자를 생성하려면 CreateUser
API 작업, create-user
CLI 명령 또는 AWS Management Console을 사용해야 합니다. 이러한 작업을 수행하려면 CreateUser
작업에 액세스할 수 있게 허용하는 정책이 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }
정책에 GetSessionToken
작업을 포함할 수 있지만, 사용자가 GetSessionToken
작업을 수행할 수 있는 권한에는 영향을 미치지 않습니다.
GetSessionToken에서 부여하는 권한
GetSessionToken
이 IAM 사용자의 자격 증명으로 호출되면, 임시 보안 자격 증명은 IAM 사용자와 동일한 권한을 갖습니다. 마찬가지로 GetSessionToken
이 AWS 계정 루트 사용자 보안 인증 정보로 호출되면, 임시 보안 자격 증명은 루트 사용자 권한을 갖습니다.
참고
루트 사용자 자격 증명으로 GetSessionToken
을 호출하지 않는 것이 좋습니다. 대신에 모범 사례에 따라 필요한 권한을 지닌 IAM 사용자를 생성하세요. 그런 다음 이러한 IAM 사용자를 AWS와의 일상적인 상호 작용에 사용하세요.
GetSessionToken
을 호출할 때 얻는 임시 자격 증명은 다음과 같은 기능과 한계를 지닙니다.
-
https://signin.aws.amazon.com/federation
에서 페더레이션 Single Sign-On 엔드포인트로 자격 증명을 전달하여 AWS Management Console에 액세스할 수 있습니다. 자세한 내용은 사용자 지정 자격 증명 브로커가 AWS 콘솔에 액세스할 수 있도록 하기 단원을 참조하십시오. -
자격 증명을 사용해 IAM 또는 AWS STS API 작업을 호출할 수 없습니다. 자격 증명을 사용해 다른 서비스에 대한 API 작업을 호출할 수는 있습니다.AWS
AWS STS API 작업 비교에서 이 API 작업과 이 작업의 한계 및 기능을 임시 보안 자격 증명을 생성하는 다른 API와 비교해 보세요.
GetSessionToken
을 사용한 MFA 보호 API 액세스에 대한 자세한 내용은 MFA 보호 API 액세스 구성 섹션을 참조하세요.