授權和身份驗證緩存 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權和身份驗證緩存

Outposts 上的 S3 可以在 Outposts 機架上安全地快取本地身份驗證和授權資料。緩存刪除每個請求到父級 AWS 區域 的往返。這消除了網絡往返引入的變化性。使用 Outposts 上 S3 中的身份驗證和授權緩存,您可以獲得一致的延遲,這些延遲與 Outposts 和. AWS 區域

當您在 Outposts 上發出 S3 API 請求時,身份驗證和授權數據將被安全地緩存。然後,快取的資料會用於驗證後續 S3 物件 API 請求。Outposts 上的 S3 只會在使用簽名版本 4A (SigV4a) 簽署請求時快取身份驗證和授權資料。緩存存儲在前哨服務 S3 內的 Outposts 本地。當您提出 S3 API 請求時,它會以非同步方式重新整理。緩存被加密,並沒有明文加密密鑰存儲在 Outposts 上。

當前哨連接到時,緩存有效期最多為 10 分鐘。 AWS 區域當您在 Outposts 上發出 S3 API 請求時,它會以非同步方式重新整理,以確保使用最新的政策。如果前哨與斷開連接 AWS 區域,則緩存將有效期長達 12 小時。

設定授權和驗證快取

Outposts 上的 S3 會針對使用 SigV4a 演算法簽署的請求自動快取身份驗證和授權資料。如需詳細資訊,請參閱AWS Identity and Access Management 使用者指南中的簽署 AWS API 要求。SigV4a 演算法可在最新版本的開發套件中使用。 AWS 您可以通過對通AWS 用運行時(CRT)庫的依賴來獲取它。

您需要使用最新版本的 AWS SDK 並安裝最新版本的 CRT。例如,您可以運行pip install awscrt以獲取 Boto3 的最新版本的 CRT。

Outposts 上的 S3 不會為使用 SIGv4 演算法簽署的請求快取身份驗證和授權資料。

驗證簽署

您可以使用 AWS CloudTrail 來驗證請求是否已使用 SigV4a 簽署。如需在 Outposts 上設 CloudTrail 定 S3 的詳細資訊,請參閱使用 AWS CloudTrail 日誌監控 S3 on Outposts

設定完成後 CloudTrail,您可以在 CloudTrail 記錄檔SignatureVersion欄位中驗證要求的簽署方式。使用 SigV4a 簽署的請求將設定為SignatureVersionAWS 4-ECDSA-P256-SHA256使用 Sigv4 簽署的要求將SignatureVersion設定為AWS 4-HMAC-SHA256