Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat permintaan
Amazon S3 adalah layanan REST. Anda dapat mengirim permintaan ke Amazon S3 menggunakan REST API atau AWS SDK (lihat Kode Sampel dan Pustaka
Setiap interaksi dengan Amazon S3 diautentikasi atau dilakukan secara anonim. Autentikasi adalah proses verifikasi identitas pemohon yang mencoba mengakses produk Amazon Web Services (AWS). Permintaan yang diautentikasi harus menyertakan nilai tanda tangan yang mengautentikasi pengirim permintaan. Nilai tanda tangan, sebagian, dihasilkan dari kunci akses AWS pemohon (ID kunci akses dan kunci akses rahasia). Untuk informasi lebih lanjut tentang mendapatkan kunci akses, lihat Bagaimana Saya Mendapatkan Kredensi Keamanan? di Referensi Umum AWS.
Jika Anda menggunakan AWS SDK, pustaka menghitung tanda tangan dari kunci yang Anda sediakan. Namun, jika Anda melakukan panggilan langsung API REST di aplikasi Anda, Anda harus menulis kode untuk menghitung tanda tangan dan menambahkannya ke permintaan.
Topik
Tentang kunci akses
Bagian berikut meninjau jenis kunci akses yang dapat Anda gunakan untuk membuat permintaan terautentikasi.
Tombol akses Akun AWS
Kunci akses akun memberikan akses penuh ke sumber daya AWS yang dimiliki oleh akun tersebut. Berikut ini adalah contoh kunci akses:
-
ID kunci akses ( 20 karakter, string alfanumerik). Sebagai contoh: AKIAIOSFODNN7EXAMPLE
-
Kunci akses rahasia (string 40 karakter). Misalnya:bPxRfi wJalrXUtnFEMI/K7MDENG/cyPLEKEY
ID kunci akses secara unik mengidentifikasi Akun AWS. Anda dapat menggunakan kunci akses ini untuk mengirim permintaan terautentikasi ke Amazon S3.
Kunci akses pengguna IAM
Anda dapat membuat satu Akun AWS untuk perusahaan Anda; tetapi, mungkin terdapat beberapa karyawan dalam organisasi yang memerlukan akses ke sumber daya AWS organisasi Anda. Berbagi kunci akses Akun AWS Anda mengurangi keamanan, dan membuat Akun AWS individu untuk setiap karyawan mungkin tidak praktis. Selain itu, Anda tidak dapat membagikan sumber daya seperti bucket dan objek dengan mudah karena itu dimiliki oleh akun yang berbeda. Untuk berbagi sumber daya, Anda harus memberikan izin, yang merupakan pekerjaan tambahan.
Dalam skenario tersebut, Anda dapat menggunakanAWS Identity and Access Management (IAM) untuk membuat pengguna dalam AndaAkun AWS dengan kunci akses mereka sendiri dan melampirkan kebijakan pengguna IAM yang memberikan izin akses sumber daya yang sesuai kepada pengguna tersebut. Untuk mengelola pengguna ini dengan lebih baik, IAM memungkinkan Anda membuat kelompok pengguna dan memberikan izin tingkat kelompok yang berlaku bagi semua pengguna dalam grup tersebut.
Pengguna ini disebut sebagai pengguna IAM yang Anda buat dan kelola di dalam AWS. Akun induk mengontrol kemampuan pengguna untuk mengakses AWS. Setiap sumber daya yang dibuat pengguna IAM dikendalikan dan dibayar oleh akun Akun AWS. Pengguna IAM ini dapat mengirimkan permintaan terautentikasi ke Amazon S3 menggunakan kredensial keamanan mereka sendiri. Untuk informasi lebih lanjut tentang membuat dan mengelola pengguna di bawah Akun AWS Anda, kunjungi halaman detail produk AWS Identity and Access Management
Kredensial keamanan sementara
Selain membuat pengguna IAM dengan kunci akses mereka sendiri, IAM juga memungkinkan Anda memberikan kredensial keamanan sementara (kunci akses sementara dan token keamanan) kepada setiap pengguna IAM agar mereka dapat mengakses layanan dan sumber daya AWS Anda. Anda juga dapat mengelola pengguna dalam sistem Anda di luar AWS. Ini disebut sebagai pengguna gabungan. Selain itu, pengguna dapat menjadi aplikasi yang Anda buat untuk mengakses sumber daya AWS Anda.
IAM menyediakan API AWS Security Token Service agar Anda dapat meminta kredensial keamanan sementara. Anda dapat menggunakan API AWS STS atau AWS SDK untuk meminta kredensial ini. API mengembalikan kredensial keamanan sementara (ID kunci kunci akses dan kunci akses rahasia), dan token keamanan. Kredensial ini hanya valid untuk durasi yang Anda tentukan saat Anda memintanya. Anda menggunakan ID kunci akses dan kunci rahasia dengan cara yang sama ketika mengirim permintaan menggunakan Akun AWS Anda atau kunci akses pengguna IAM Anda. Selain itu, Anda harus menyertakan token dalam setiap permintaan yang Anda kirim ke Amazon S3.
Pengguna IAM dapat meminta kredensial keamanan sementara ini untuk penggunaan mereka sendiri atau memberikannya kepada pengguna atau aplikasi gabungan. Saat meminta kredensial keamanan sementara untuk pengguna gabungan, Anda harus memberikan nama pengguna dan kebijakan IAM yang menentukan izin yang ingin Anda kaitkan dengan kredensial keamanan sementara ini. Pengguna gabungan tidak dapat memperoleh izin lebih dari pengguna IAM induk yang meminta kredensial sementara.
Anda dapat menggunakan kredensial keamanan sementara ini dalam mengajukan permintaan kepada Amazon S3. Pustaka API menghitung nilai tanda tangan yang diperlukan menggunakan kredensial tersebut untuk mengautentikasi permintaan Anda. Jika Anda mengirim permintaan menggunakan kredensial kedaluwarsa, Amazon S3 menolak permintaan tersebut.
Untuk informasi tentang penandatanganan permintaan menggunakan kredensial keamanan sementara di permintaan API REST Anda, lihat Menandatangani dan mengautentikasi permintaan REST. Untuk informasi tentang mengirim permintaan menggunakan AWS SDK, lihat Membuat permintaan menggunakan AWS SDK.
Untuk informasi lebih lanjut tentang dukungan IAM untuk kredensial keamanan sementara, lihat Kredensial Keamanan Sementara dalam Panduan Pengguna IAM.
Untuk keamanan tambahan, Anda dapat mengharuskan autentikasi multifaktor (MFA) ketika mengakses sumber daya Amazon S3 Anda dengan mengonfigurasi kebijakan bucket. Untuk informasi, lihat Membutuhkan MFA. Setelah Anda mengharuskan MFA untuk mengakses sumber daya Amazon S3, satu-satunya cara Anda untuk mengakses sumber daya ini adalah dengan memberikan kredensial sementara yang dibuat dengan kunci MFA. Untuk informasi lebih lanjut, lihat halaman detail Multi-Factor Authentication AWS
Meminta titik akhir
Anda mengirimkan permintaan REST ke titik akhir layanan yang telah ditentukan sebelumnya. Untuk daftar semuaAWS layanan dan titik akhir terkait, kunjungi Wilayah dan Titik Akhir dalam Referensi Umum AWS.
