Autorizzazione CreateSession - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione CreateSession

Amazon S3 Express One Zone supporta l'autorizzazione AWS Identity and Access Management (AWS IAM) e l'autorizzazione basata sulla sessione:

  • Per utilizzare le operazioni dell'API degli endpoint regionali (operazioni a livello di bucket o piano di controllo) con S3 Express One Zone, utilizzi il modello di autorizzazione IAM, che non prevede la gestione delle sessioni. Le autorizzazioni sono concesse per le singole azioni. Per ulteriori informazioni, consulta AWS Identity and Access Management (IAM) per S3 Express One Zone.

  • Per utilizzare le operazioni API degli endpoint zonali (operazioni a livello di oggetto o piano dati), si utilizza l'operazione API CreateSession per creare e gestire sessioni ottimizzate per l'autorizzazione a bassa latenza delle richieste di dati. Per recuperare e utilizzare un token di sessione, occorre consentire l'azione s3express:CreateSession per il bucket di directory in una policy basata sull'identità o in una policy di bucket. Per ulteriori informazioni, consulta AWS Identity and Access Management (IAM) per S3 Express One Zone. Se si accede a S3 Express One Zone nella console Amazon S3, tramite AWS Command Line Interface (AWS CLI) o mediante gli SDK AWS, S3 Express One Zone crea una sessione per conto dell'utente.

Se si utilizza la REST API Amazon S3, è possibile quindi utilizzare l'operazione API CreateSession per ottenere credenziali di sicurezza temporanee che includono un ID della chiave di accesso, una chiave di accesso segreta, un token di sessione e una data di scadenza. Le credenziali temporanee forniscono le stesse autorizzazioni delle credenziali di sicurezza a lungo termine, come le credenziali degli utenti IAM, ma le credenziali di sicurezza temporanee devono includere un token di sessione.

Modalità sessione

Modalità sessione definisce l'ambito della sessione. Nella policy di bucket, puoi specificare la chiave di condizione s3express:SessionMode per controllare chi può creare una sessione ReadWrite o ReadOnly. Per ulteriori informazioni sulle sessioni ReadWrite o ReadOnly, consulta il parametro x-amz-create-session-mode per CreateSession nella Documentazione di riferimento delle API Amazon S3. Per ulteriori informazioni sulla policy di bucket da creare, consulta Esempi di policy dei bucket di directory per S3 Express One Zone.

Token di sessione

Quando effettui una chiamata utilizzando le credenziali di sicurezza temporanee, la chiamata deve includere un token di sessione. Il token di sessione viene restituito insieme alle credenziali temporanee. L'ambito di un token di sessione viene definito dal bucket di directory e il token di sessione viene utilizzato per verificare che le credenziali di sicurezza siano valide e non siano scadute. Per proteggere le sessioni, le credenziali di sicurezza temporanee scadono dopo 5 minuti.

CopyObject e HeadBucket

L'ambito delle credenziali di sicurezza temporanee viene definito da un bucket di directory specifico e le credenziali vengono abilitate automaticamente per tutte le chiamate API operative zonali (a livello di oggetto) verso un bucket di directory specifico. A differenza di altre operazioni API degli endpoint zonali, CopyObject e HeadBucket non utilizzano l'autenticazione CreateSession. Tutte le richieste CopyObject e HeadBucket devono essere autenticate e firmate utilizzando credenziali IAM. Tuttavia, CopyObject e HeadBucket sono ancora autorizzate da s3express:CreateSession, come altre operazioni API degli endpoint zonali.

Per ulteriori informazioni, consulta CreateSession in Amazon Simple Storage Service API Reference (Guida di riferimento per l'API di Amazon Simple Storage Service).