Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Autorisation des opérations d’API de point de terminaison zonal avec `CreateSession` Pour utiliser les opérations d’API de point de terminaison zonal (opérations de niveau objet ou plan de données), à l’exception de `CopyObject` et de `HeadBucket`, utilisez l’opération d’API `CreateSession` pour créer et gérer des sessions optimisées afin d’autoriser les demandes de données à faible latence. Pour récupérer et utiliser un jeton de session, vous devez autoriser l’action `s3express:CreateSession` pour votre compartiment de répertoires dans une politique basée sur l’identité ou une politique de compartiment. Pour de plus amples informations, veuillez consulter [Autorisation des opérations d’API de point de terminaison régional avec IAM](s3-express-security-iam.md). Si vous accédez à S3 Express One Zone dans la console Amazon S3, via le AWS Command Line Interface (AWS CLI), ou en utilisant le AWS SDKs, S3 Express One Zone crée une session en votre nom. Toutefois, vous ne pouvez pas modifier le `SessionMode` paramètre lorsque vous utilisez le AWS CLI ou AWS SDKs. Si vous utilisez l’API REST Amazon S3, vous pouvez ensuite utiliser l’opération d’API `CreateSession` pour obtenir des informations d’identification de sécurité temporaires qui incluent un ID de clé d’accès, une clé d’accès secrète, un jeton de session et une date d’expiration. Les informations d’identification temporaires fournissent les mêmes autorisations que les informations d’identification de sécurité à long terme, telles que les informations d’identification d’utilisateur IAM, mais les informations d’identification de sécurité temporaires doivent inclure un jeton de session. **Mode session** Le mode session définit l’étendue de la session. Si le mode de session n'est pas spécifié dans la demande d' CreateSession API, l' CreateSession action tentera de créer la session avec le maximum de privilèges autorisés, en essayant d'`ReadWrite`abord, puis en revenant `ReadOnly` uniquement si cela n'`ReadWrite`est pas autorisé par les politiques. Dans votre politique de compartiment, vous pouvez spécifier la clé de `s3express:SessionMode` condition pour contrôler explicitement qui peut créer une `ReadOnly` session `ReadWrite` or. Pour plus d’informations sur les sessions `ReadWrite` et `ReadOnly`, consultez le paramètre `x-amz-create-session-mode` pour [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) dans la *Référence des API Amazon S3*. Pour plus d’informations sur la stratégie de compartiment à créer, consultez [Exemples de politiques de compartiment pour les compartiments de répertoires](s3-express-security-iam-example-bucket-policies.md). **Jeton de session** Lorsque vous effectuez un appel en utilisant des informations d’identification de sécurité temporaires, l’appel doit inclure un jeton de session. Le jeton de session est renvoyé avec les informations d’identification temporaires. Un jeton de session est limité à votre compartiment de répertoires et est utilisé pour vérifier que les informations d’identification de sécurité sont valides et n’ont pas expiré. Pour protéger vos sessions, les informations d’identification de sécurité temporaires expirent au bout de 5 minutes. **`CopyObject` et `HeadBucket`** Les informations d’identification de sécurité temporaires sont limitées à un compartiment de répertoires spécifique et sont automatiquement activées pour tous les appels d’API d’opérations zonales (niveau objet) vers un compartiment de répertoires donné. Contrairement aux autres opérations d’API de point de terminaison zonal, `CopyObject` et `HeadBucket` n’utilisent pas l’authentification `CreateSession`. Toutes les demandes `CopyObject` et `HeadBucket` doivent être authentifiées et signées au moyen d’informations d’identification IAM. Toutefois, `CopyObject` et `HeadBucket` sont toujours autorisées par `s3express:CreateSession`, comme les autres opérations d’API de point de terminaison zonal. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) dans la *Référence d’API Amazon Simple Storage Service*.