CreateSession 권한 부여 - Amazon Simple Storage Service

CreateSession 권한 부여

Amazon S3 Express One Zone은 AWS Identity and Access Management(AWSIAM) 권한 부여와 세션 기반 권한 부여를 모두 지원합니다.

  • S3 Express One Zone에서 리전 엔드포인트 API 작업(버킷 수준 작업, 즉 컨트롤 플레인 작업)을 사용하려면 세션 관리가 필요하지 않은 IAM 권한 부여 모델을 사용해야 합니다. 작업에 대한 권한은 개별적으로 부여됩니다. 자세한 내용은 AWS Identity and Access Management (IAM) for S3 Express One Zone 단원을 참조하십시오.

  • 영역 엔드포인트 API 작업(객체 수준 작업, 즉 데이터 영역 작업)을 사용하려면 CreateSession API 작업을 사용하여 지연 시간이 짧은 데이터 요청 권한 부여에 최적화된 세션을 생성하고 관리합니다. 세션 토큰을 검색하고 사용하려면 ID 기반 정책 또는 버킷 정책에서 디렉터리 버킷에 대한 s3express:CreateSession 작업을 허용해야 합니다. 자세한 내용은 AWS Identity and Access Management (IAM) for S3 Express One Zone 단원을 참조하십시오. Amazon S3 콘솔에서, AWS Command Line Interface(AWS CLI)를 통해 또는 AWS SDK를 사용하여 S3 Express One Zone에 액세스하는 경우, S3 Express One Zone은 사용자를 대신하여 세션을 생성합니다.

Amazon S3 REST API를 사용하는 경우 CreateSession API 작업을 사용하여 액세스 키 ID, 비밀 액세스 키, 세션 토큰 및 만료 시간이 포함된 임시 보안 인증 정보를 얻을 수 있습니다. 임시 보안 인증 정보는 IAM 사용자 보안 인증 정보와 같은 장기 보안 인증 정보와 동일한 권한을 제공하지만 임시 보안 인증 정보에 세션 토큰을 포함해야 합니다.

세션 모드

세션 모드는 세션의 범위를 정의합니다. 버킷 정책에서 s3express:SessionMode 조건 키를 지정하여 ReadWrite 또는 ReadOnly 세션을 생성할 수 있는 사용자를 제어할 수 있습니다. ReadWrite 또는 ReadOnly 세션에 대한 자세한 내용은 Amazon S3 API 참조의 CreateSession에 대한 x-amz-create-session-mode 파라미터를 참조하세요. 생성할 버킷 정책에 대한 자세한 내용은 S3 Express One Zone의 디렉터리 버킷 정책 예시 섹션을 참조하세요.

세션 토큰

임시 보안 인증 정보를 사용하여 직접 호출할 때 호출에 세션 토큰을 포함해야 합니다. 세션 토큰은 임시 보안 인증 정보와 함께 반환됩니다. 세션 토큰은 디렉터리 버킷으로 범위가 지정되며 보안 인증 정보가 유효하고 만료되지 않았다는 것을 확인하는 데 사용됩니다. 세션을 보호하기 위해 임시 보안 인증 정보는 5분 후에 만료됩니다.

CopyObjectHeadBucket

임시 보안 인증 정보는 특정 디렉터리 버킷으로 범위가 지정되며 지정된 디렉터리 버킷에 대한 모든 영역(객체 수준) 작업 API 직접 호출에 대해 자동으로 활성화됩니다. 다른 영역 엔드포인트 API 작업과 달리 CopyObjectHeadBucketCreateSession 인증을 사용하지 않습니다. 모든 CopyObjectHeadBucket 요청은 IAM 보안 인증 정보를 사용하여 인증 및 서명되어야 합니다. 하지만 다른 영역 엔드포인트 API 작업과 마찬가지로 CopyObjectHeadBucket은 여전히 s3express:CreateSession을 사용하여 권한이 부여됩니다.

자세한 내용은 Amazon Simple Storage Service API 참조에서 CreateSession를 참조하십시오.