권한 부여 및 인증 캐시 - Amazon Simple Storage Service

권한 부여 및 인증 캐시

S3 on Outposts는 인증 및 권한 부여 데이터를 Outposts 랙에 로컬로 안전하게 캐시합니다. 캐시는 요청이 있을 때마다 상위 AWS 리전으로의 왕복 이동을 제거합니다. 이렇게 하면 네트워크 왕복으로 인해 발생하는 변동성이 없어집니다. S3 on Outposts의 인증 및 권한 부여 캐시를 사용하면 Outposts와 AWS 리전 간의 연결 지연 시간에 구애받지 않고 일관된 지연 시간을 확보할 수 있습니다.

S3 on Outposts API 요청을 수행하면 인증 및 권한 부여 데이터가 안전하게 캐시됩니다. 그런 다음, 캐시된 데이터를 사용하여 후속 S3 객체 API 요청을 인증합니다. S3 on Outposts는 요청이 Signature Version 4A(SigV4A)를 사용하여 서명된 경우에만 인증 및 권한 부여 데이터를 캐시합니다. 캐시는 S3 on Outposts 서비스 내의 Outposts에 로컬로 저장됩니다. S3 API 요청을 하면 비동기적으로 새로 고쳐집니다. 캐시는 암호화되며 Outposts에는 일반 텍스트 암호화 키가 저장되지 않습니다.

Outpost가 AWS 리전에 연결된 경우 캐시는 최대 10분 동안 유효합니다. S3 on Outposts API 요청을 수행하면 최신 정책이 사용되도록 비동기적으로 새로 고쳐집니다. Outpost와 AWS 리전의 연결이 끊긴 경우 캐시는 최대 12시간 동안 유효합니다.

권한 부여 및 인증 캐시 구성

S3 on Outposts는 SigV4A 알고리즘으로 서명된 요청에 대한 인증 및 권한 부여 데이터를 자동으로 캐시합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 AWS API 요청에 서명을 참조하세요. SigV4A 알고리즘은 AWS SDK의 최신 버전에서 사용 가능합니다. AWS 공용 런타임(CRT) 라이브러리의 종속성을 통해 얻을 수 있습니다.

최신 버전의 AWS SDK를 사용하고 최신 버전의 CRT를 설치해야 합니다. 예를 들어, pip install awscrt를 실행하여 Boto3로 최신 버전의 CRT를 얻을 수 있습니다.

S3 on Outposts는 SigV4 알고리즘으로 서명된 요청에 대한 인증 및 권한 부여 데이터를 캐시하지 않습니다.

SigV4A 서명 검증

요청을 SigV4A로 서명했는지 검증하는 데 AWS CloudTrail을 사용할 수 있습니다. S3 on Outposts를 위해 CloudTrail을 설정하는 방법에 대한 자세한 내용은 AWS CloudTrail 로그로 S3 on Outposts 모니터링 섹션을 참조하세요.

CloudTrail을 구성한 후에는 CloudTrail 로그의 SignatureVersion 필드에서 요청이 어떻게 서명되었는지 확인할 수 있습니다. SigV4A로 서명된 요청은 SignatureVersionAWS4-ECDSA-P256-SHA256으로 설정됩니다. SigV4로 서명된 요청은 SignatureVersionAWS4-HMAC-SHA256으로 설정됩니다.