Claves de política de autenticación de AWS Signature Version 4 (SigV4)

En la siguiente tabla se muestran las claves de condición relacionadas con la autenticación de AWS Signature Version 4 (SigV4) que puede utilizar con Amazon S3 en Outposts. En una política de bucket, puede agregar estas condiciones para imponer un comportamiento específico cuando las solicitudes se autentican mediante Signature Version 4. Para ver ejemplos de políticas, consulte Ejemplos de políticas de bucket que utilizan claves de condición relacionadas con Signature Version 4. Para obtener más información sobre las solicitudes de autenticación con Signature Version 4, consulte Autenticación de solicitudes (AWS Signature Version 4) en la Referencia de la API de Amazon Simple Storage Service

Claves aplicables	Descripción
s3-outposts:authType	S3 en Outposts admite varios métodos de autenticación. Para restringir las solicitudes entrantes para que usen un método de autenticación específico, puede usar esta clave de condición opcional. Por ejemplo, puede utilizar esta clave de condición para permitir solo el encabezado Authorization de HTTP que se utilizará en la autenticación de solicitudes. Valores válidos: REST-HEADER REST-QUERY-STRING
s3-outposts:signatureAge	El periodo, en milisegundos, que una firma es válida en una solicitud autenticada. Esta condición solo funciona para las direcciones URL prefirmadas. En Signature Version 4, la clave de firma es válida por un plazo máximo de siete días. Por lo tanto, las firmas también son válidas por un plazo máximo de siete días. Para obtener más información, consulte Introducción a la firma de solicitudes en la Referencia de la API de Amazon Simple Storage Service. Puede usar esta condición para limitar aún más la antigüedad de la firma. Ejemplo de valor: 600000
s3-outposts:x-amz-content-sha256	Puede utilizar esta clave de condición para no permitir el contenido sin firmar en su bucket. Cuando se utiliza Signature Version 4, para las solicitudes que utilizan el encabezado Authorization, agregue el encabezado x-amz-content-sha256 en el cálculo de la firma y luego establezca su valor en la carga de hash. Puede usar esta clave de condición en su política de bucket para denegar cualquier carga en la que las cargas no estén firmadas. Por ejemplo: Denegar las cargas que usen el encabezado Authorization para autenticar las solicitudes, pero no firmar la carga. Para obtener más información, consulte Transferencia de carga en un solo fragmento en la Referencia de la API de Amazon Simple Storage Service. Denegar las cargas que utilicen URL prefirmadas. Las URL prefirmadas siempre tienen una UNSIGNED_PAYLOAD. Para obtener más información, consulte Autenticación de solicitudes y Métodos de autenticación en la Referencia de la API de Amazon Simple Storage Service. Valor válido: UNSIGNED-PAYLOAD

Ejemplos de políticas de bucket que utilizan claves de condición relacionadas con Signature Version 4

Para utilizar los siguientes ejemplos, reemplace los user input placeholders con su propia información.

ejemplo : s3-outposts:signatureAge

La siguiente política de bucket deniega cualquier solicitud de URL prefirmada de S3 en Outposts en objetos en example-outpost-bucket si la firma tiene más de 10 minutos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}

ejemplo : s3-outposts:authType

La siguiente política de bucket solo permite las solicitudes que utilizan el encabezado Authorization para solicitar autenticación. Se denegará cualquier solicitud de URL prefirmada, ya que las URL prefirmadas utilizan parámetros de consulta para proporcionar información de solicitud y autenticación. Para obtener más información, consulte Métodos de autenticación en la referencia de la API de Amazon Simple Storage Service.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Allow only requests that use the Authorization header for request authentication. Deny presigned URL requests.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringNotEquals": {
                           "s3-outposts:authType": "REST-HEADER"
                     }
               }
         }
   ]
}

ejemplo : s3-outposts:x-amz-content-sha256

La siguiente política de bucket deniega cualquier carga con cargas sin firmar, como las cargas que utilizan URL prefirmadas. Para obtener más información, consulte Autenticación de solicitudes y Métodos de autenticación en la Referencia de la API de Amazon Simple Storage Service.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Deny uploads with unsigned payloads.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringEquals": {
                           "s3-outposts:x-amz-content-sha256": "UNSIGNED-PAYLOAD"
                     }
               }
         }
   ]
}