Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Autorisieren zonaler Endpunkt-API-Operationen mit CreateSession
Um API-Operationen für zonale Endpunkte (Operationen auf Objektebene oder Datenebene) zu verwenden, außer für CopyObject
und HeadBucket
, verwenden Sie die CreateSession
-API-Operation, um Sitzungen zu erstellen und zu verwalten, die für die Autorisierung von Datenanforderungen mit geringer Latenz optimiert sind. Um ein Sitzungstoken abzurufen und zu verwenden, müssen Sie die s3express:CreateSession
-Aktion für Ihren Verzeichnis-Bucket in einer identitätsbasierten Richtlinie oder einer Bucket-Richtlinie zulassen. Weitere Informationen finden Sie unter Autorisieren regionaler Endpunkt-API-Operationen mit IAM. Wenn Sie in der Amazon S3-Konsole, über AWS Command Line Interface (AWS CLI) oder mithilfe der auf S3 Express One Zone zugreifen AWS SDKs, erstellt S3 Express One Zone eine Sitzung in Ihrem Namen.
Wenn Sie die Amazon-S3-REST-API verwenden, können Sie dann den CreateSession
API-Vorgang verwenden, um temporäre Sicherheitsanmeldeinformationen abzurufen, die eine Zugriffsschlüssel-ID, einen geheimen Zugriffsschlüssel, ein Sitzungstoken und eine Ablaufzeit enthalten. Die temporären Anmeldeinformationen bieten die gleichen Berechtigungen wie langfristige Sicherheitsanmeldeinformationen, z. B. IAM-Benutzer-Anmeldeinformationen müssen jedoch ein Sitzungstoken beinhalten.
Sitzungsmodus
Der Sitzungsmodus definiert den Umfang der Sitzung. In Ihrer Bucket-Richtlinie können Sie den s3express:SessionMode
-Bedingungsschlüssel angeben, um zu steuern, wer eine ReadWrite
- oder ReadOnly
-Sitzung erstellen kann. Weitere Informationen zu ReadWrite
- und ReadOnly
-Sitzungen finden Sie unter dem x-amz-create-session-mode
-Parameter für CreateSession in der Amazon-S3-API-Referenz. Informationen dazu, wie Sie eine Bucket-Richtlinie erstellen, finden Sie unter Beispiele für Bucket-Richtlinien für Verzeichnis-Buckets.
Sitzungs-Token
Wenn Sie einen Aufruf mit temporären Sicherheitsanmeldeinformationen tätigen, muss dieser ein Sitzungs-Token enthalten. Das Sitzungstoken wird zusammen mit den temporären Anmeldeinformationen zurückgegeben. Ein Sitzungstoken ist auf Ihren Verzeichnis-Bucket beschränkt und wird verwendet, um zu überprüfen, ob die Sicherheitsanmeldedaten gültig und nicht abgelaufen sind. Um Ihre Sitzungen zu schützen, laufen temporäre Sicherheitsanmeldedaten nach 5 Minuten ab.
CopyObject
und HeadBucket
Temporäre Sicherheitsanmeldedaten sind auf einen bestimmten Verzeichnis-Bucket beschränkt und werden automatisch für alle API-Aufrufe von zonalen Operationen (auf Objektebene) für einen bestimmten Verzeichnis-Bucket aktiviert. Im Gegensatz zu anderen API-Vorgängen für zonale Endpunkte verwenden CopyObject
, HeadBucket
und CreateSession
keine Authentifizierung. Alle CopyObject
- und HeadBucket
-Anforderungen müssen mithilfe von IAM-Anmeldeinformationen authentifiziert und signiert werden. CopyObject
und HeadBucket
sind jedoch wie andere API-Vorgänge für zonale Endpunkte weiterhin von s3express:CreateSession
autorisiert.
Weitere Informationen finden Sie unter CreateSession in der API-Referenz zu Amazon Simple Storage Service.