# Permissões para GetSessionToken
<a name="id_credentials_temp_control-access_getsessiontoken"></a>

A principal ocasião para chamar a operação de API `GetSessionToken` ou o comando `get-session-token` da CLI é quando um usuário deve ser autenticado com Multi-Factor Authentication (MFA). É possível gravar uma política que permite determinadas ações somente quando essas ações são solicitadas por um usuário que foi autenticado com o MFA. Para passar na verificação de autorização MFA, um usuário deve primeiro chamar `GetSessionToken` e incluir os parâmetros `SerialNumber` e `TokenCode` opcionais. Se o usuário for autenticado com êxito com um dispositivo MFA, as credenciais retornadas pela operação de API `GetSessionToken` incluirão o contexto de MFA. Esse contexto indica que o usuário é autenticado com a MFA e é autorizado para operações de API que exigem autenticação de MFA.

## Permissões necessárias para GetSessionToken
<a name="getsessiontoken-permissions-required"></a>

Nenhuma permissão é necessária para que um usuário obtenha um token de sessão. O objetivo da operação `GetSessionToken` é autenticar o usuário que usa a MFA. Não é possível usar políticas para controlar as operações de autenticação.

Para conceder permissões para a execução da maioria das operações da AWS, adicione a ação com o mesmo nome a uma política. Por exemplo, para criar um usuário, você deve usar a operação de API `CreateUser`, o comando `create-user` da CLI ou o Console de gerenciamento da AWS. Para executar essas operações, você deve ter uma política que permite acessar a ação `CreateUser`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}
```

------

Você pode incluir a ação `GetSessionToken` em suas políticas, mas não terá efeito sobre a capacidade de um usuário executar a operação `GetSessionToken`.

## Permissões concedias por GetSessionToken
<a name="getsessiontoken-permissions-granted"></a>

Se a ação `GetSessionToken` for chamada com as credenciais de um usuário do IAM, as credenciais de segurança temporárias terão as mesmas permissões que o usuário do IAM. Da mesma forma, se a ação `GetSessionToken` for chamada com credenciais de Usuário raiz da conta da AWS, as credenciais de segurança temporárias terão permissões de usuário raiz.

**nota**  
Recomendamos que você não chame a ação `GetSessionToken` com as credenciais de usuário raiz. Em vez disso, siga nossas [práticas recomendadas](best-practices-use-cases.md) e crie usuários do IAM com as permissões de que precisam. Em seguida, use esses usuários do IAM para a interação diária com a AWS.

As credenciais temporárias que você obtém ao chamar `GetSessionToken` têm os seguintes recursos e limitações:
+ Você pode usar as credenciais para acessar o Console de gerenciamento da AWS especificando as credenciais para o endpoint de logon único de federação em `https://signin.aws.amazon.com/federation`. Para obter mais informações, consulte [Habilitar o acesso do intermediador de identidades personalizado ao console da AWS](id_roles_providers_enable-console-custom-url.md).
+ Você **não pode** usar as credenciais para chamar as operações de API do IAM ou do AWS STS. Você **pode** usá-las para chamar operações de API para outros serviços da AWS.

Compare essa operação de API e suas limitações e recursos com as outras operações de API que criam credenciais de segurança temporárias em [Compare credenciais do AWS STS](id_credentials_sts-comparison.md)

Para obter mais informações sobre o acesso de API protegido por MFA usando `GetSessionToken`, consulte [Acesso seguro à API com a MFA](id_credentials_mfa_configure-api-require.md).