Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizieren und Autorisieren von Anforderungen
Standardmäßig sind Verzeichnis-Buckets privat und sind nur für Benutzer zugänglich, denen explizit Zugriff gewährt wurde. Die Zugriffskontrollgrenze für Verzeichnis-Buckets wird nur auf Bucket-Ebene festgelegt. Im Gegensatz dazu kann die Zugriffskontrollgrenze für Allzweck-Buckets auf Bucket-, Präfix- oder Objekt-Tag-Ebene festgelegt werden. Dieser Unterschied bedeutet, dass Verzeichnis-Buckets die einzige Ressource sind, die Sie in Bucket-Richtlinien oder IAM-Identitätsrichtlinien für den Zugriff auf S3 Express One Zone aufnehmen können.
Amazon S3 Express One Zone unterstützt sowohl die AWS Identity and Access Management (AWS IAM-) Autorisierung als auch die sitzungsbasierte Autorisierung:
-
Um regionale Endpunkt-API-Operationen (Operationen auf Bucket-Ebene oder Steuerebene) mit S3 Express One Zone zu verwenden, verwenden Sie das IAM-Autorisierungsmodell, das kein Sitzungsmanagement beinhaltet. Berechtigungen werden für Aktionen einzeln erteilt. Weitere Informationen finden Sie unter Autorisieren regionaler Endpunkt-API-Operationen mit IAM.
-
Um API-Operationen für zonale Endpunkte (Operationen auf Objektebene oder Datenebene) zu verwenden, außer für
CopyObjectundHeadBucket, verwenden Sie dieCreateSession-API-Operation, um Sitzungen zu erstellen und zu verwalten, die für die Autorisierung von Datenanforderungen mit geringer Latenz optimiert sind. Um ein Sitzungstoken abzurufen und zu verwenden, müssen Sie dies3express:CreateSession-Aktion für Ihren Verzeichnis-Bucket in einer identitätsbasierten Richtlinie oder einer Bucket-Richtlinie zulassen. Weitere Informationen finden Sie unter Autorisieren regionaler Endpunkt-API-Operationen mit IAM. Wenn Sie in der Amazon S3-Konsole, über AWS Command Line Interface (AWS CLI) oder mithilfe der auf S3 Express One Zone zugreifen AWS SDKs, erstellt S3 Express One Zone eine Sitzung in Ihrem Namen.
Mit der CreateSession-API-Operation authentifizieren und autorisieren Sie Anforderungen mithilfe eines neuen sitzungsbasierten Mechanismus. Sie können mit CreateSession temporäre Anmeldeinformationen anfordern, die den Zugriff auf Ihren Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt.
Um damit zu arbeitenCreateSession, empfehlen wir die Verwendung der neuesten Version von AWS SDKs oder die Verwendung von AWS Command Line Interface (AWS CLI). Der Support AWS SDKs AWS CLI kümmert sich in Ihrem Namen um die Einrichtung, Aktualisierung und Beendigung der Sitzung.
Sie verwenden Sitzungstoken nur für zonale Operationen (Objektebene) (außer CopyObject und HeadBucket), um die mit der Autorisierung verbundene Latenz auf eine Reihe von Anforderungen in einer Sitzung zu verteilen. Für API-Operationen auf regionalen Endpunkten (Operationen auf Bucket-Ebene) verwenden Sie die IAM-Autorisierung, bei der keine Sitzung verwaltet wird. Weitere Informationen erhalten Sie unter Autorisieren regionaler Endpunkt-API-Operationen mit IAM und Autorisieren zonaler Endpunkt-API-Operationen mit CreateSession.
So werden API-Vorgänge autorisiert und authentifiziert
Die folgende Tabelle enthält Informationen zur Authentifizierung und Autorisierung für API-Operationen in Verzeichnis-Buckets. Für jeden API-Vorgang enthält die Tabelle den Namen der API-Operation, die IAM-Richtlinienaktion, den Endpunkttyp (regional oder zonal) und den Autorisierungsmechanismus (IAM oder sitzungsbasiert). In dieser Tabelle wird auch angegeben, ob kontoübergreifender Zugriff unterstützt wird. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur über identitätsbasierte IAM-Richtlinien (Benutzer oder Rolle) und nicht über Bucket-Richtlinien gewährt werden.
| API | Endpunkttyp | IAM-Aktion | Kontoübergreifender Zugriff |
|---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
Nein |
DeleteBucket |
Regional | s3express:DeleteBucket |
Nein |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
Nein |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
Nein |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
Nein |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
Nein |
CreateSession |
Zonal | s3express:CreateSession |
Ja |
CopyObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObjects |
Zonal | s3express:CreateSession |
Ja |
HeadObject |
Zonal | s3express:CreateSession |
Ja |
PutObject |
Zonal | s3express:CreateSession |
Ja |
RenameObject |
Zonal | s3express:CreateSession |
Nein |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Ja |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Ja |
HeadBucket |
Zonal | s3express:CreateSession |
Ja |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
UploadPart |
Zonal | s3express:CreateSession |
Ja |
UploadPartCopy |
Zonal | s3express:CreateSession |
Ja |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
ListParts |
Zonal | s3express:CreateSession |
Ja |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Ja |
ListAccessPointsForDirectoryBuckets |
Zonal | s3express:ListAccessPointsForDirectoryBuckets |
Ja |
GetAccessPointScope |
Zonal | s3express:GetAccessPointScope |
Ja |
PutAccessPointScope |
Zonal | s3express:PutAccessPointScope |
Ja |
DeleteAccessPointScope |
Zonal | s3express:DeleteAccessPointScope |
Ja |
Themen
