GetSessionToken 的权限
调用 GetSessionToken API 操作或 get-session-token CLI 命令主要发生在用户必须使用 Multi-Factor Authentication (MFA) 进行身份验证时。可以编写一条策略,只允许特定操作,且仅当这些操作是由经过 MFA 身份验证的用户请求时,才予以放行。为成功通过 MFA 身份验证检查,用户必须先调用 GetSessionToken,并包含可选的 SerialNumber 和 TokenCode 参数。如果用户成功通过 MFA 设备的身份验证,则 GetSessionToken API 调用返回的凭证将包含 MFA 上下文。此上下文指示用户已使用 MFA 进行了身份验证,并已获得了需要 MFA 身份验证的 API 操作的授权。
GetSessionToken 所需的权限
用户无需任何权限即可获取会话令牌。GetSessionToken 操作旨在使用 MFA 验证用户身份。您不能使用策略来控制身份验证操作。
要授予执行大多数 AWS 操作的权限,您可以将具有相同名称的操作添加到策略。例如,要创建用户,您必须使用 CreateUser API 操作、create-user CLI 命令或 AWS Management Console。要执行这些操作,您必须具有一个策略,该策略允许您访问 CreateUser 操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateUser", "Resource": "*" } ] }
虽然您可以在策略中包含 GetSessionToken 操作,但不会影响用户执行 GetSessionToken 操作的能力。
由 GetSessionToken 授予的权限
如果调用 GetSessionToken 时使用的是 IAM 用户的凭证,则临时安全凭证将具有与该 IAM 用户相同的权限。同样,如果使用 AWS 账户根用户 凭证调用 GetSessionToken,临时安全凭证将拥有根用户权限。
注意
我们建议您不要使用根用户凭证来调用 GetSessionToken。相反,请遵循我们的最佳实践,并创建具有所需权限的 IAM 用户。然后使用这些 IAM 用户执行与 AWS 的日常交互工作。
您在调用 GetSessionToken 时获得的临时凭证具有以下功能和限制:
-
您可以通过将凭证传递到
https://signin.aws.amazon.com/federation上的联合身份验证单一登录终端节点来访问 AWS Management Console。有关更多信息,请参阅 使自定义身份凭证代理程序能够访问 AWS 控制台。 -
您无法使用凭证调用 IAM 或 AWS STS API 操作。您可以使用它们来调用其他 AWS 服务的 API 操作。
请参阅 比较 AWS STS 凭证,将此 API 操作及其限制和功能与创建临时安全凭证的其他 API 操作比较
有关使用 GetSessionToken 进行受 MFA 保护的 API 访问的更多信息,请参阅使用 MFA 保护 API 访问。
