Autorización de CreateSession
Amazon S3 Express One Zone admite tanto la autorización de AWS Identity and Access Management (IAM de AWS) como la autorización basada en sesiones:
-
Para utilizar las operaciones de la API de puntos de conexión regionales (operaciones de nivel de bucket o plano de control) con S3 Express One Zone, utilice el modelo de autorización de IAM, que no implica la administración de sesiones. Los permisos se conceden para las acciones de forma individual. Para obtener más información, consulte AWS Identity and Access Management (IAM) para S3 Express One Zone.
-
Para utilizar las operaciones de la API de puntos de conexión zonales (operaciones de nivel de objeto o plano de datos), utilice la operación de la API
CreateSessionpara crear y administrar sesiones optimizadas para la autorización de solicitudes de datos con baja latencia. Para recuperar y usar un token de sesión, debe permitir la accións3express:CreateSessionpara su bucket de directorio en una política basada en identidades o en una política de bucket. Para obtener más información, consulte AWS Identity and Access Management (IAM) para S3 Express One Zone. Si accede a S3 Express One Zone en la consola de Amazon S3, a través de AWS Command Line Interface (AWS CLI) o mediante los SDK de AWS, S3 Express One Zone crea una sesión en su nombre.
Si utiliza la API de REST de Amazon S3, podrá utilizar la operación de la API CreateSession para obtener credenciales de seguridad temporales que incluyan un ID de clave de acceso, una clave de acceso secreta, un token de sesión y una fecha de caducidad. Las credenciales temporales proporcionan los mismos permisos que las credenciales de seguridad a largo plazo, como las credenciales de usuario de IAM, pero deben incluir un token de sesión.
Modo Sesión
El modo Sesión define el alcance de la sesión. En su política de bucket, puede especificar la clave de condición s3express:SessionMode para controlar quién puede crear una sesión ReadWrite o ReadOnly. Para obtener más información sobre las sesiones ReadWrite o ReadOnly, consulte el parámetro x-amz-create-session-mode para CreateSession en la Referencia de la API de Amazon S3. Para obtener información acerca de la creación de una política de bucket, consulte Ejemplos de políticas de bucket de directorio para S3 Express One Zone.
Token de sesión
Cuando realice una llamada utilizando las credenciales de seguridad temporales, la llamada debe incluir un token de sesión. El token de sesión se devuelve junto con las credenciales temporales. El token de sesión se asigna a su bucket de directorio y se utiliza para comprobar que las credenciales de seguridad son válidas y no han caducado. Para proteger sus sesiones, las credenciales de seguridad temporales caducan a los 5 minutos.
CopyObject y HeadBucket
Las credenciales de seguridad temporales se asignan a un bucket de directorio específico y se habilitan automáticamente para todas las llamadas a la API de operaciones zonales (de nivel de objeto) en un bucket de directorio determinado. A diferencia de otras operaciones de la API de puntos de conexión zonales, CopyObject y HeadBucket no utilizan la autenticación CreateSession. Todas las solicitudes CopyObject y HeadBucket deben autenticarse y firmarse con credenciales de IAM. Sin embargo, CopyObject y HeadBucket siguen estando autorizadas por s3express:CreateSession, al igual que otras operaciones de la API de puntos de conexión zonales.
Para obtener más información, consulte CreateSession en la Referencia de la API de Amazon Simple Storage Service.
