本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GetSessionToken 許可
<a name="id_credentials_temp_control-access_getsessiontoken"></a>

呼叫 `GetSessionToken` API 操作或 `get-session-token` CLI 命令的主要時間是，當使用者必須透過多重要素驗證 (MFA) 進行身分驗證時。可以編寫只允許特定操作的一項政策，且只有在這些操作是由經過 MFA 身分驗證的使用者提出的請求時，才允許執行。為成功通過 MFA 身分驗證檢查，使用者必須先呼叫 `GetSessionToken`，並且包含可選的`SerialNumber` 和 `TokenCode` 參數。如果使用者成功通過 MFA 裝置身分驗證，`GetSessionToken` API 操作傳回的憑證包含 MFA 內容。此內容表示使用者通過 MFA 身分驗證，並且獲得 API 操作授權，其需要 MFA 身分驗證。

## GetSessionToken 需要的許可
<a name="getsessiontoken-permissions-required"></a>

使用者要取得工作階段權杖並不需要許可。`GetSessionToken` 操作的目的是使用 MFA 驗證使用者的身分。您不能使用政策來控制驗證操作。

若要授予執行大部分 AWS 操作的許可，請將具有相同名稱的動作新增至政策。例如，若要建立使用者，您必須使用 `CreateUser` API 操作、`create-user` CLI 命令或 AWS 管理主控台。若要執行這些操作，您必須擁有一個政策，其可讓您存取 `CreateUser` 動作。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateUser",
            "Resource": "*"
        }
    ]
}
```

------

您可以在您的政策中包含 `GetSessionToken` 動作，但不會影響使用者執行 `GetSessionToken` 操作的能力。

## GetSessionToken 授予的許可
<a name="getsessiontoken-permissions-granted"></a>

如果使用 IAM 使用者的憑證呼叫 `GetSessionToken`，臨時安全性憑證與 IAM 使用者會有相同的許可。同樣地，如果 使用 AWS 帳戶根使用者 登入資料`GetSessionToken`呼叫 ，則暫時安全登入資料具有根使用者許可。

**注意**  
我們建議您不要使用根使用者憑證呼叫 `GetSessionToken`。相反的，請遵循我們的[最佳實務](best-practices-use-cases.md)，並建立具有所需許可的 IAM 使用者。然後，使用這些 IAM 使用者與 進行日常互動 AWS。

當您呼叫 `GetSessionToken` 時您獲得的臨時憑證有下列功能和限制：
+ 您可以使用登入資料來存取 ， AWS 管理主控台 方法是將登入資料傳遞至位於 的聯合單一登入端點`https://signin.aws.amazon.com/federation`。如需詳細資訊，請參閱[啟用 AWS 主控台的自訂身分代理程式存取](id_roles_providers_enable-console-custom-url.md)。
+ 您**無法**使用憑證來呼叫 IAM 或 AWS STS API 操作。**您可以使用**它們來呼叫其他服務的 API 操作 AWS 。

將此 API 操作和其限制及功能與在 [比較 AWS STS 登入資料](id_credentials_sts-comparison.md) 建立臨時安全性憑證的 API 操作相較

如需有關使用 `GetSessionToken` 的受 MFA 保護之 API 存取的詳細資訊，請參閱 [透過 MFA 實現安全的 API 存取](id_credentials_mfa_configure-api-require.md)。