Autorisieren zonaler Endpunkt-API-Operationen mit CreateSession - Amazon Simple Storage Service

Autorisieren zonaler Endpunkt-API-Operationen mit CreateSession

Um API-Operationen für zonale Endpunkte (Operationen auf Objektebene oder Datenebene) zu verwenden, außer für CopyObject und HeadBucket, verwenden Sie die CreateSession-API-Operation, um Sitzungen zu erstellen und zu verwalten, die für die Autorisierung von Datenanforderungen mit geringer Latenz optimiert sind. Um ein Sitzungstoken abzurufen und zu verwenden, müssen Sie die s3express:CreateSession-Aktion für Ihren Verzeichnis-Bucket in einer identitätsbasierten Richtlinie oder einer Bucket-Richtlinie zulassen. Weitere Informationen finden Sie unter Autorisieren regionaler Endpunkt-API-Operationen mit IAM. Wenn Sie in der Amazon-S3-Konsole, über die AWS Command Line Interface (AWS CLI) oder mithilfe der AWS-SDKs auf S3 Express One Zone zugreifen, erstellt S3 Express One Zone für Sie eine Sitzung. Sie können den SessionMode-Parameter jedoch nicht ändern, wenn Sie die AWS CLI oder AWS SDKs verwenden.

Wenn Sie die Amazon-S3-REST-API verwenden, können Sie dann den CreateSessionAPI-Vorgang verwenden, um temporäre Sicherheitsanmeldeinformationen abzurufen, die eine Zugriffsschlüssel-ID, einen geheimen Zugriffsschlüssel, ein Sitzungstoken und eine Ablaufzeit enthalten. Die temporären Anmeldeinformationen bieten die gleichen Berechtigungen wie langfristige Sicherheitsanmeldeinformationen, z. B. IAM-Benutzer-Anmeldeinformationen müssen jedoch ein Sitzungstoken beinhalten.

Sitzungsmodus

Der Sitzungsmodus definiert den Umfang der Sitzung. In Ihrer Bucket-Richtlinie können Sie den s3express:SessionMode-Bedingungsschlüssel angeben, um zu steuern, wer eine ReadWrite- oder ReadOnly-Sitzung erstellen kann. Weitere Informationen zu ReadWrite- und ReadOnly-Sitzungen finden Sie unter dem x-amz-create-session-mode-Parameter für CreateSession in der Amazon-S3-API-Referenz. Informationen dazu, wie Sie eine Bucket-Richtlinie erstellen, finden Sie unter Beispiele für Bucket-Richtlinien für Verzeichnis-Buckets.

Sitzungs-Token

Wenn Sie einen Aufruf mit temporären Sicherheitsanmeldeinformationen tätigen, muss dieser ein Sitzungs-Token enthalten. Das Sitzungstoken wird zusammen mit den temporären Anmeldeinformationen zurückgegeben. Ein Sitzungstoken ist auf Ihren Verzeichnis-Bucket beschränkt und wird verwendet, um zu überprüfen, ob die Sicherheitsanmeldedaten gültig und nicht abgelaufen sind. Um Ihre Sitzungen zu schützen, laufen temporäre Sicherheitsanmeldedaten nach 5 Minuten ab.

CopyObject and HeadBucket

Temporäre Sicherheitsanmeldedaten sind auf einen bestimmten Verzeichnis-Bucket beschränkt und werden automatisch für alle API-Aufrufe von zonalen Operationen (auf Objektebene) für einen bestimmten Verzeichnis-Bucket aktiviert. Im Gegensatz zu anderen API-Vorgängen für zonale Endpunkte verwenden CopyObject, HeadBucket und CreateSession keine Authentifizierung. Alle CopyObject- und HeadBucket-Anforderungen müssen mithilfe von IAM-Anmeldeinformationen authentifiziert und signiert werden. CopyObject und HeadBucket sind jedoch wie andere API-Vorgänge für zonale Endpunkte weiterhin von s3express:CreateSession autorisiert.

Weitere Informationen finden Sie unter CreateSession in der API-Referenz zu Amazon Simple Storage Service.