Configuration du cache d’autorisation et d’authentification Validation de la signature SigV4A

Mise en cache d’autorisation et d’authentification

S3 sur Outposts met en cache de manière sécurisée les données d’authentification et d’autorisation localement sur les racks Outposts. Le cache supprime les allers-retours vers le parent Région AWS pour chaque demande. Cela élimine la variabilité introduite par les allers-retours réseau. Avec le cache d’authentification et d’autorisation dans S3 sur Outposts, vous obtenez des latences constantes indépendantes de la latence de la connexion entre les Outposts et la Région AWS.

Lorsque vous effectuez une demande d’API S3 sur Outposts, les données d’authentification et d’autorisation sont mises en cache de manière sécurisée. Les données mises en cache sont ensuite utilisées pour authentifier les demandes d’API d’objet S3 suivantes. S3 sur Outposts met en cache uniquement les données d’authentification et d’autorisation lorsque la demande est signée à l’aide de Signature Version 4A (SigV4A). Le cache est stocké localement sur les Outposts au sein du service S3 sur Outposts. Il est actualisé de manière asynchrone lorsque vous effectuez une demande d’API S3. Le cache est chiffré et aucune clé cryptographique en texte brut n’est stockée sur Outposts.

Le cache est valide pendant un maximum de 10 minutes lorsque l’Outpost est connecté à la Région AWS. Il est actualisé de manière asynchrone lorsque vous effectuez une demande d’API S3 sur Outposts, afin de garantir l’utilisation des politiques les plus récentes. Si l'Outpost est déconnecté du Région AWS, le cache sera valide pendant 12 heures au maximum.

Configuration du cache d’autorisation et d’authentification

S3 sur Outposts met automatiquement en cache les données d’authentification et d’autorisation pour les demandes signées avec l’algorithme SigV4A. Pour plus d'informations, consultez la section Signature des demandes d' AWS API dans le guide de AWS Identity and Access Management l'utilisateur. L'algorithme SigV4A est disponible dans les dernières versions du. AWS SDKs Vous pouvez l’obtenir via une dépendance aux bibliothèques AWS CRT (Common Runtime).

Vous devez utiliser la dernière version du AWS SDK et installer la dernière version du CRT. Par exemple, vous pouvez exécuter pip install awscrt pour obtenir la version la plus récente du CRT avec Boto3.

S3 sur Outposts ne met pas en cache les données d’authentification et d’autorisation pour les demandes signées avec l’algorithme SigV4.

Validation de la signature SigV4A

Vous pouvez l'utiliser AWS CloudTrail pour valider que les demandes ont été signées avec SIGv4a. Pour plus d'informations sur la configuration CloudTrail de S3 sur Outposts, consultez. Surveillance de S3 sur Outposts avec des journaux AWS CloudTrail

Après avoir configuré CloudTrail, vous pouvez vérifier comment une demande a été signée dans le SignatureVersion champ des CloudTrail journaux. Les demandes signées avec SigV4A ont un paramètre SignatureVersion défini sur AWS 4-ECDSA-P256-SHA256. Les demandes signées avec SigV4 ont un paramètre SignatureVersion défini sur AWS 4-HMAC-SHA256.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon S3 sur Outposts avec Amazon EMR local

Sécurité