Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Autorisieren zonaler Endpunkt-API-Operationen mit `CreateSession` Um API-Operationen für zonale Endpunkte (Operationen auf Objektebene oder Datenebene) zu verwenden, außer für `CopyObject` und `HeadBucket`, verwenden Sie die `CreateSession`-API-Operation, um Sitzungen zu erstellen und zu verwalten, die für die Autorisierung von Datenanforderungen mit geringer Latenz optimiert sind. Um ein Sitzungstoken abzurufen und zu verwenden, müssen Sie die `s3express:CreateSession`-Aktion für Ihren Verzeichnis-Bucket in einer identitätsbasierten Richtlinie oder einer Bucket-Richtlinie zulassen. Weitere Informationen finden Sie unter [Autorisieren regionaler Endpunkt-API-Operationen mit IAM](s3-express-security-iam.md). Wenn Sie in der Amazon S3-Konsole, über AWS Command Line Interface (AWS CLI) oder mithilfe der auf S3 Express One Zone zugreifen AWS SDKs, erstellt S3 Express One Zone eine Sitzung in Ihrem Namen. Sie können den `SessionMode` Parameter jedoch nicht ändern, wenn Sie das AWS CLI oder verwenden AWS SDKs. Wenn Sie die Amazon-S3-REST-API verwenden, können Sie dann den `CreateSession`API-Vorgang verwenden, um temporäre Sicherheitsanmeldeinformationen abzurufen, die eine Zugriffsschlüssel-ID, einen geheimen Zugriffsschlüssel, ein Sitzungstoken und eine Ablaufzeit enthalten. Die temporären Anmeldeinformationen bieten die gleichen Berechtigungen wie langfristige Sicherheitsanmeldeinformationen, z. B. IAM-Benutzer-Anmeldeinformationen müssen jedoch ein Sitzungstoken beinhalten. **Sitzungsmodus** Der Sitzungsmodus definiert den Umfang der Sitzung. Wenn der Sitzungsmodus in der CreateSession API-Anforderung nicht angegeben ist, versucht die CreateSession Aktion, die Sitzung mit der maximal zulässigen Berechtigung zu erstellen. Dabei wird `ReadWrite` zuerst versucht und dann `ReadOnly` nur dann darauf zurückgegriffen, wenn dies nach den Richtlinien nicht zulässig `ReadWrite` ist. In Ihrer Bucket-Richtlinie können Sie den `s3express:SessionMode` Bedingungsschlüssel angeben, um explizit zu steuern, wer eine `ReadWrite` `ReadOnly` OR-Sitzung erstellen kann. Weitere Informationen zu `ReadWrite`- und `ReadOnly`-Sitzungen finden Sie unter dem `x-amz-create-session-mode`-Parameter für [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) in der *Amazon-S3-API-Referenz*. Informationen dazu, wie Sie eine Bucket-Richtlinie erstellen, finden Sie unter [Beispiele für Bucket-Richtlinien für Verzeichnis-Buckets](s3-express-security-iam-example-bucket-policies.md). **Sitzungs-Token** Wenn Sie einen Aufruf mit temporären Sicherheitsanmeldeinformationen tätigen, muss dieser ein Sitzungs-Token enthalten. Das Sitzungstoken wird zusammen mit den temporären Anmeldeinformationen zurückgegeben. Ein Sitzungstoken ist auf Ihren Verzeichnis-Bucket beschränkt und wird verwendet, um zu überprüfen, ob die Sicherheitsanmeldedaten gültig und nicht abgelaufen sind. Um Ihre Sitzungen zu schützen, laufen temporäre Sicherheitsanmeldedaten nach 5 Minuten ab. **`CopyObject` und `HeadBucket`** Temporäre Sicherheitsanmeldedaten sind auf einen bestimmten Verzeichnis-Bucket beschränkt und werden automatisch für alle API-Aufrufe von zonalen Operationen (auf Objektebene) für einen bestimmten Verzeichnis-Bucket aktiviert. Im Gegensatz zu anderen API-Vorgängen für zonale Endpunkte verwenden `CopyObject`, `HeadBucket` und `CreateSession` keine Authentifizierung. Alle `CopyObject`- und `HeadBucket`-Anforderungen müssen mithilfe von IAM-Anmeldeinformationen authentifiziert und signiert werden. `CopyObject` und `HeadBucket` sind jedoch wie andere API-Vorgänge für zonale Endpunkte weiterhin von `s3express:CreateSession` autorisiert. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) in der *API-Referenz zu Amazon Simple Storage Service*.