

# 認証方法
<a name="reference_sigv-authentication-methods"></a>

**重要**  
AWS SDK または CLI を使用していない限り、リクエストの認証情報を提供する署名を計算するコードを記述する必要があります。AWS Signature Version 4 での署名計算は複雑な作業になる場合があるため、可能な限り AWS SDK または CLI を使用することをお勧めします。

認証情報は、次のいずれかの方法で表現できます。

## HTTP 認可ヘッダー
<a name="aws-signing-authentication-methods-http"></a>

HTTP `Authorization` ヘッダーはリクエストを認証する最も一般的な方法です。すべての REST API 操作 (`POST` リクエストを使用したブラウザベースのアップロードを除く) には、このヘッダーが必要です。

次の例は、SigV4 および SigV4a の `Authorization` ヘッダー値を示しています。この例では、読みやすいように改行が追加されています。コードでは、ヘッダーは連続した文字列である必要があります。アルゴリズムと認証情報の間にカンマはありませんが、他の要素はカンマで区切る必要があります。

**Example SigV4**  

```
Authorization: AWS4-HMAC-SHA256
Credential=AKIAIOSFODNN7EXAMPLE/20130524/us-east-1/s3/aws4_request, 
SignedHeaders=host;range;x-amz-date, 
Signature=fe5f80f77d5fa3beca038a248ff027d0445342fe2855ddc963176630326f1024
```

**Example SigV4a**  

```
Authorization: AWS4-ECDSA-P256-SHA256
Credential=AKIAIOSFODNN7EXAMPLE/20130524/s3/aws4_request, 
SignedHeaders=host;range;x-amz-date;x-amz-region-set,
Signature=fe5f80f77d5fa3beca038a248ff027d0445342fe2855ddc963176630326f1024
```

次の表では、前述の例にある認可ヘッダー値のさまざまなコンポーネントについて説明しています。


| コンポーネント | 説明 | 
| --- | --- | 
|  Authorization  | 署名の計算に使用されたアルゴリズム。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_sigv-authentication-methods.html)  | 
|  [認証情報]  |  アクセスキー ID とスコープ情報。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_sigv-authentication-methods.html) <date> 値は YYYYMMDD 形式で指定されます。Amazon S3 にリクエストを送信するときの <aws-service> 値は s3 です。  | 
|  SignedHeaders  |   Signature の計算に使用したリクエストヘッダーをセミコロンで区切ったリスト。リストにはヘッダー名のみが含まれており、ヘッダー名は小文字である必要があります。例: `host;range;x-amz-date` SigV4a の場合、リクエストが有効なリージョンセットを指定するリージョンセットヘッダーを含める必要があります。ヘッダー X-Amz-Region-Set は、カンマ区切り値のリストとして指定されます。  | 
|  Signature  |  64 個の小文字の 16 進数文字で表現される 256 ビットの署名。以下に例を示します。`fe5f80f77d5fa3beca038a248ff027d0445342fe2855ddc963176630326f1024` 署名計算は、ペイロードの転送に選択したオプションによって異なります。  | 

## クエリ文字列パラメータ
<a name="aws-signing-authentication-methods-query"></a>

クエリ文字列を使用すると、リクエスト全体を URL で表現できます。この場合、クエリパラメータを使用して、認証情報を含むリクエスト情報を提供します。リクエスト署名は URL の一部であるため、この種類の URL は署名付き URL と呼ばれることがよくあります。署名付き URL を使用して、クリック可能なリンクを HTML に埋め込むことができます。このリンクは最大 7 日間有効です。詳細については、「Amazon S3 API リファレンス」の「[リクエストの認証: クエリパラメータの使用 (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)」を参照してください。

次の例は、SigV4 および SigV4a の署名付き URLs を示しています。この例では、読みやすいように改行が追加されています。

**Example SigV4**  

```
https://s3.amazonaws.com/amzn-s3-demo-bucket/test.txt ?
X-Amz-Algorithm=AWS4-HMAC-SHA256 &
X-Amz-Credential=<your-access-key-id>/20130721/<region>/s3/aws4_request &
X-Amz-Date=20130721T201207Z &
X-Amz-Expires=86400 &
X-Amz-SignedHeaders=host &X-Amz-Signature=<signature-value>
```

**Example SigV4a**  

```
http://s3.amazonaws.com/amzn-s3-demo-bucket/test.txt ?
X-Amz-Algorithm=AWS4-ECDSA-P256-SHA256 &
X-Amz-Credential=<your-access-key-id>/20240721/s3/aws4_request &
X-amz-Region-Set=<regionset> &
X-Amz-Date=20240721T201207Z &
X-Amz-Expires=86400 &
X-Amz-SignedHeaders=host;x-amz-region-set &
X-Amz-Signature=<signature-value>
```

**注記**  
URL 内の `X-Amz-Credential` 値には、読みやすさのためにのみ挿入された「/」文字が表示されています。実際には、%2F としてエンコードする必要があります。例えば、次のようになります。  
`&X-Amz-Credential=<your-access-key-id>%2F20130721%2Fus-east-1%2Fs3%2Faws4_request`

次の表では、認証情報を提供する URL 内のクエリパラメータについて説明します。


| クエリ文字列パラメータ名 | 説明 | 
| --- | --- | 
|  X-Amz-Algorithm  |  AWS 署名のバージョンと署名の計算に使用したアルゴリズム。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_sigv-authentication-methods.html)  | 
|  X-Amz-Credential  |  このパラメータは、アクセスキー ID の他に、署名が有効なスコープも指定します。この値は、次のセクションで説明する署名計算で使用するスコープと一致する必要があります。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_sigv-authentication-methods.html) AWS リージョン文字列のリストについては、「AWS 全般のリファレンス」の「[リージョンのエンドポイント](https://docs.aws.amazon.com//general/latest/gr/rande.html#regional-endpoints)」を参照してください。  | 
|  X-Amz-Region-Set  |  リクエストが有効になる一連のリージョン。ヘッダー x-amz-region-set は、カンマ区切り値のリストとして指定されます。  | 
|  X-Amz-Date  |  日付と時刻の形式は ISO 8601 規格に準拠している必要があるため、`yyyyMMddTHHmmssZ` 形式でフォーマットする必要があります。例えば、日付と時刻が「08/01/2016 15:32:41.982-700」の場合、まず UTC (協定世界時) に変換してから「20160801T223241Z」として送信する必要があります。  | 
|  X-Amz-Expires  |  生成された署名付き URL が有効な期間を秒単位で指定します。例えば、86400 (24 時間) と指定します。この値は整数です。設定できる最小値は 1 で、最大値は 604800 (7 日間) です。署名計算に使用する署名キーは最大 7 日間有効であるため、署名付き URL は最大 7 日間有効です。  | 
|  X-Amz-SignedHeaders  |  署名の計算に使用したヘッダーを一覧表示します。署名計算には次のヘッダーが必要です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_sigv-authentication-methods.html) セキュリティの強化のために、リクエストに含める予定のすべてのリクエストヘッダーに署名する必要があります。  | 
|  X-Amz-Signature  |  リクエストを認証するための署名を指定します。この署名は、サービスが計算する署名と一致する必要があります。一致しない場合、サービスはリクエストを拒否します。例: `733255ef022bec3f2a8701cd61d4b371f3f28c9f193a1f02279211d48d5193d7` 署名計算については、次のセクションで説明します。  | 
|  X-Amz-Security-Token  |  STS サービスから取得した認証情報を使用する場合のオプションの認証情報パラメータ。  |