CreateSession 授權 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CreateSession 授權

Amazon S3 Express One Zone 同時支援 AWS Identity and Access Management (AWS IAM) 授權和工作階段型授權:

  • 若要將區域端點 API 操作 (儲存貯體層級或控制平面、操作) 與 S3 Express One 區域搭配使用,您可以使用 IAM 授權模型,該模型不涉及工作階段管理。動作的許可會個別授予。如需詳細資訊,請參閱 AWS Identity and Access Management 適用於 S3 快遞單一區域的 (IAM)

  • 若要使用區域端點 API 操作 (物件層級,也就是資料平面操作),您可以使用 CreateSession API 操作來建立和管理工作階段,這些工作階段經過最佳化,可提供低延遲的資料請求授權。若要擷取和使用工作階段權杖,您必須在身分型政策或儲存貯體政策中允許目錄儲存貯體的 s3express:CreateSession 動作。如需詳細資訊,請參閱 AWS Identity and Access Management 適用於 S3 快遞單一區域的 (IAM)。如果您在 Amazon S3 主控台中、透過 AWS Command Line Interface (AWS CLI) 或使用 AWS SDK 存取 S3 Express One Zone,S3 Express One Zone 會代表您建立工作階段。

如果您使用 Amazon S3 REST API,則可以使用 CreateSession API 操作來取得包含存取金鑰 ID、私密存取金鑰、工作階段權杖和到期時間的臨時安全憑證。臨時憑證提供的許可與長期安全憑證相同,例如 IAM 使用者憑證,但臨時安全憑證必須包含工作階段權杖。

工作階段模式

工作階段模式會定義工作階段的範圍。在儲存貯體政策中,您可以指定 s3express:SessionMode 條件索引鍵來控制哪些人能夠建立 ReadWriteReadOnly 工作階段。如需有關 ReadWriteReadOnly 工作階段的詳細資訊,請參閱《Amazon S3 API 參考》CreateSessionx-amz-create-session-mode 參數。如需有關要建立的儲存貯體政策的詳細資訊,請參閱 S3 Express One Zone 的目錄儲存貯體政策範例

工作階段權杖

當您使用臨時安全憑證進行呼叫時,呼叫必須包含工作階段權杖。工作階段權杖會隨臨時憑證一併傳回。工作階段權杖的範圍設定為目錄儲存貯體,並用來驗證安全憑證有效且未過期。為保護您的工作階段,臨時安全憑證會在 5 分鐘後過期。

CopyObjectHeadBucket

臨時安全憑證的範圍設定為特定目錄儲存貯體,並且會自動針對所指目錄儲存貯體的所有區域 (物件層級) 操作業 API 呼叫啟用。與其他區域端點 API 操作不同的是,CopyObjectHeadBucket 不使用 CreateSession 身分驗證。所有 CopyObjectHeadBucket 請求都必須使用 IAM 憑證進行驗證和簽署。但是,CopyObjectHeadBucket 仍像其他區域端點 API 操作一樣,由 s3express:CreateSession 進行授權。

如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的 CreateSession