Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione delle operazioni API dell'endpoint di zona con CreateSession
Per utilizzare le operazioni API endpoint di zona (a livello di oggetto o di piano dati), ad eccezione di CopyObject e HeadBucket, si utilizza l'operazione API CreateSession per creare e gestire sessioni ottimizzate per l'autorizzazione a bassa latenza delle richieste di dati. Per recuperare e utilizzare un token di sessione, è necessario consentire l'azione s3express:CreateSession per il bucket della directory in una policy basata sull'identità o in una policy di bucket. Per ulteriori informazioni, consulta Autorizzazione delle operazioni API dell'endpoint regionale con IAM. Se accedi a S3 Express One Zone nella console Amazon S3, tramite AWS Command Line Interface AWS CLI() o utilizzando AWS SDKs, S3 Express One Zone crea una sessione per tuo conto.
Se si utilizza la REST API Amazon S3, è possibile quindi utilizzare l'operazione API CreateSession per ottenere credenziali di sicurezza temporanee che includono un ID della chiave di accesso, una chiave di accesso segreta, un token di sessione e una data di scadenza. Le credenziali temporanee forniscono le stesse autorizzazioni delle credenziali di sicurezza a lungo termine, come le credenziali degli utenti IAM, ma le credenziali di sicurezza temporanee devono includere un token di sessione.
Modalità sessione
Modalità sessione definisce l'ambito della sessione. Nella policy di bucket, puoi specificare la chiave di condizione s3express:SessionMode per controllare chi può creare una sessione ReadWrite o ReadOnly. Per ulteriori informazioni sulle ReadWrite nostre ReadOnly sessioni, consulta il parametro per x-amz-create-session-mode CreateSessionnel riferimento alle API di Amazon S3. Per ulteriori informazioni sulla policy di bucket da creare, consulta Esempi di policy di bucket per i bucket di directory.
Token di sessione
Quando effettui una chiamata utilizzando le credenziali di sicurezza temporanee, la chiamata deve includere un token di sessione. Il token di sessione viene restituito insieme alle credenziali temporanee. L'ambito di un token di sessione viene definito dal bucket di directory e il token di sessione viene utilizzato per verificare che le credenziali di sicurezza siano valide e non siano scadute. Per proteggere le sessioni, le credenziali di sicurezza temporanee scadono dopo 5 minuti.
CopyObject e HeadBucket
L'ambito delle credenziali di sicurezza temporanee viene definito da un bucket di directory specifico e le credenziali vengono abilitate automaticamente per tutte le chiamate API operative zonali (a livello di oggetto) verso un bucket di directory specifico. A differenza di altre operazioni API degli endpoint zonali, CopyObject e HeadBucket non utilizzano l'autenticazione CreateSession. Tutte le richieste CopyObject e HeadBucket devono essere autenticate e firmate utilizzando credenziali IAM. Tuttavia, CopyObject e HeadBucket sono ancora autorizzate da s3express:CreateSession, come altre operazioni API degli endpoint zonali.
Per ulteriori informazioni, consulta CreateSessionnel riferimento all'API di riferimento di Amazon Simple Storage Service.
