AWS Authentifizierungsspezifische Richtlinienschlüssel für Signature Version 4 (Sigv4) - Amazon S3 on Outposts
Beispiele für Bucket-Richtlinien, die mit der Signature Version 4 verbundene Bedingungsschlüssel verwenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Authentifizierungsspezifische Richtlinienschlüssel für Signature Version 4 (Sigv4)

Die folgende Tabelle zeigt die Bedingungsschlüssel für die Authentifizierung mit AWS Signature Version 4 (Sigv4), die Sie mit Amazon S3 on Outposts verwenden können. In einer Bucket-Richtlinie können Sie diese Bedingungen hinzufügen, um ein bestimmtes Verhalten zu erzwingen, wenn Anforderungen mit der Signature Version 4 authentifiziert werden. Beispiele für Richtlinien finden Sie unter Beispiele für Bucket-Richtlinien, die mit der Signature Version 4 verbundene Bedingungsschlüssel verwenden. Weitere Informationen zur Authentifizierung von Anfragen mit Signature Version 4 finden Sie unter Authentifizieren von Anfragen (AWS Signature Version 4) in der Amazon Simple Storage Service API-Referenz

Anwendbare Schlüssel Beschreibung

s3-outposts:authType

S3 on Outposts unterstützt verschiedene Methoden der Authentifizierung. Um eingehende Anfragen auf die Verwendung einer bestimmten Authentifizierungsmethode zu beschränken, können Sie diesen optionalen Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel zum Beispiel verwenden, um nur den HTTP-Authorization-Header für die Authentifizierung von Anfragen zuzulassen.

Zulässige Werte:

REST-HEADER

REST-QUERY-STRING

s3-outposts:signatureAge

Die Zeitspanne in Millisekunden, die eine Signatur in einer authentifizierten Anfrage gültig ist.

Diese Bedingung funktioniert nur für vorsignierte Benutzer. URLs

In Signature Version 4 ist der Signierschlüssel bis zu sieben Tage lang gültig. Daher sind die Signaturen auch bis zu sieben Tage lang gültig. Weitere Informationen finden Sie unter Einführung in das Signieren von Anfragen in der Amazon Simple Storage Service API-Referenz. Sie können diese Bedingung verwenden, um das Alter der Unterschrift weiter einzuschränken.

Beispielwert: 600000

s3-outposts:x-amz-content-sha256

Sie können diesen Bedingungsschlüssel verwenden, um nicht signierte Inhalte in Ihrem Bucket zu verbieten.

Wenn Sie die Signature Version 4 verwenden, fügen Sie bei Anfragen, die den Authorization Header verwenden, den x-amz-content-sha256 Header in die Signaturberechnung ein und setzen dann seinen Wert auf die Hash-Nutzlast.

Sie können diesen Bedingungsschlüssel in Ihrer Bucket-Richtlinie verwenden, um alle Uploads zu verweigern, deren Nutzdaten nicht signiert sind. Zum Beispiel:

Zulässiger Wert: UNSIGNED-PAYLOAD

Beispiele für Bucket-Richtlinien, die mit der Signature Version 4 verbundene Bedingungsschlüssel verwenden

Um die folgenden Beispiele zu verwenden, ersetzen Sie die user input placeholders durch Ihre eigenen Informationen.

Beispiel : s3-outposts:signatureAge

Die folgende Bucket-Richtlinie verweigert jede S3 on Outposts vorsignierte URL-Anfrage auf Objekte in example-outpost-bucket, wenn die Signatur mehr als 10 Minuten alt ist. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}
Beispiel : s3-outposts:authType

Die folgende Bucket-Richtlinie lässt nur Anfragen zu, die den Authorization-Header für die Anfrageauthentifizierung verwenden. Alle vorsignierten URL-Anfragen werden abgelehnt, da vorsignierte Abfrageparameter zur Bereitstellung von Anfrage- und Authentifizierungsinformationen URLs verwenden. Weitere Informationen finden Sie unter Authentifizierungsmethoden in der Amazon Simple Storage Service API-Referenz.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Allow only requests that use the Authorization header for request authentication. Deny presigned URL requests.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringNotEquals": {
                           "s3-outposts:authType": "REST-HEADER"
                     }
               }
         }
   ]
}
Beispiel : s3-outposts:x-amz-content-sha256

Die folgende Bucket-Richtlinie verweigert alle Uploads mit unsignierten Payloads, z. B. Uploads, die vorsignierte Payloads verwenden. URLs Weitere Informationen finden Sie unter Authentifizierung von Anfragen und Authentifizierungsmethoden in der Amazon Simple Storage Service API-Referenz.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Deny uploads with unsigned payloads.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringEquals": {
                           "s3-outposts:x-amz-content-sha256": "UNSIGNED-PAYLOAD"
                     }
               }
         }
   ]
}