Autorisieren von zonalen API Endpunktoperationen mit CreateSession - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisieren von zonalen API Endpunktoperationen mit CreateSession

Um zonale API Endpunktoperationen (Operationen auf Objektebene oder Datenebene) mit Ausnahme von und zu verwenden, verwenden Sie den CreateSession API VorgangHeadBucket, um Sitzungen zu erstellen CopyObject und zu verwalten, die für die Autorisierung von Datenanforderungen mit geringer Latenz optimiert sind. Um ein Sitzungstoken abzurufen und zu verwenden, müssen Sie die s3express:CreateSession-Aktion für Ihren Verzeichnis-Bucket in einer identitätsbasierten Richtlinie oder einer Bucket-Richtlinie zulassen. Weitere Informationen finden Sie unter Autorisieren eines regionalen Endpunkts APIs mit IAM. Wenn Sie in der Amazon S3-Konsole, über AWS Command Line Interface (AWS CLI) oder mithilfe der auf S3 Express One Zone zugreifen AWS SDKs, erstellt S3 Express One Zone eine Sitzung in Ihrem Namen.

Wenn Sie Amazon S3 verwenden RESTAPI, können Sie den CreateSession API Vorgang dann verwenden, um temporäre Sicherheitsanmeldeinformationen zu erhalten, die eine Zugriffsschlüssel-ID, einen geheimen Zugriffsschlüssel, ein Sitzungstoken und eine Ablaufzeit enthalten. Die temporären Anmeldeinformationen bieten dieselben Berechtigungen wie langfristige Sicherheitsanmeldedaten, wie z. B. IAM Benutzeranmeldedaten, aber temporäre Sicherheitsanmeldedaten müssen ein Sitzungstoken enthalten.

Sitzungsmodus

Der Sitzungsmodus definiert den Umfang der Sitzung. In Ihrer Bucket-Richtlinie können Sie den s3express:SessionMode-Bedingungsschlüssel angeben, um zu steuern, wer eine ReadWrite- oder ReadOnly-Sitzung erstellen kann. Weitere Informationen zu ReadWrite ReadOnly Or-Sitzungen finden Sie im x-amz-create-session-mode Parameter für CreateSessionin der Amazon S3 API S3-Referenz. Informationen dazu, wie Sie eine Bucket-Richtlinie erstellen, finden Sie unter Beispiel für Bucket-Richtlinien für Verzeichnis-Buckets.

Sitzungs-Token

Wenn Sie einen Aufruf mit temporären Sicherheitsanmeldeinformationen tätigen, muss dieser ein Sitzungs-Token enthalten. Das Sitzungstoken wird zusammen mit den temporären Anmeldeinformationen zurückgegeben. Ein Sitzungstoken ist auf Ihren Verzeichnis-Bucket beschränkt und wird verwendet, um zu überprüfen, ob die Sicherheitsanmeldedaten gültig und nicht abgelaufen sind. Um Ihre Sitzungen zu schützen, laufen temporäre Sicherheitsanmeldedaten nach 5 Minuten ab.

CopyObject und HeadBucket

Temporäre Sicherheitsanmeldedaten sind auf einen bestimmten Verzeichnis-Bucket beschränkt und werden automatisch für alle zonalen API Operationsaufrufe (auf Objektebene) für einen bestimmten Verzeichnis-Bucket aktiviert. Im Gegensatz zu anderen zonalen API Endpunktoperationen verwenden sie keine AuthentifizierungCopyObject. HeadBucket CreateSession Alle CopyObject HeadBucket Anfragen müssen authentifiziert und mithilfe IAM von Anmeldeinformationen signiert werden. Sie HeadBucket werden jedoch CopyObject wie andere zonale API Endpunktoperationen weiterhin von s3express:CreateSession autorisiert.

Weitere Informationen finden Sie unter CreateSessionin der Amazon Simple Storage Service API Reference.