AWS Kunci kebijakan khusus otentikasi Versi Tanda Tangan 4 (SigV4) - Amazon S3 on Outposts
Contoh kebijakan bucket yang menggunakan kunci kondisi terkait Signature Version 4

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Kunci kebijakan khusus otentikasi Versi Tanda Tangan 4 (SigV4)

Tabel berikut menunjukkan kunci kondisi yang terkait dengan otentikasi AWS Signature Version 4 (SigV4) yang dapat Anda gunakan dengan Amazon S3 di Outposts. Dalam kebijakan bucket, Anda dapat menambahkan kondisi ini untuk menerapkan perilaku tertentu saat permintaan diautentikasi menggunakan Signature Versi 4. Untuk kebijakan-kebijakan contoh, lihat Contoh kebijakan bucket yang menggunakan kunci kondisi terkait Signature Version 4. Untuk informasi selengkapnya tentang mengautentikasi permintaan menggunakan Signature Versi 4, lihat Mengautentikasi permintaan (Versi AWS Tanda Tangan 4) di Referensi API Amazon Simple Storage Service

Kunci yang berlaku Deskripsi

s3-outposts:authType

S3 di Outposts mendukung berbagai metode autentikasi. Untuk membatasi permintaan masuk untuk menggunakan metode autentikasi tertentu, Anda dapat menggunakan kunci syarat opsional ini. Misalnya, Anda dapat menggunakan kunci syarat ini untuk mengizinkan hanya header Authorization HTTP yang digunakan dalam autentikasi permintaan.

Nilai valid:

REST-HEADER

REST-QUERY-STRING

s3-outposts:signatureAge

Lamanya waktu, dalam milidetik, tanda tangan valid dalam permintaan autentikasi.

Kondisi ini hanya berfungsi untuk presigned URLs.

Di Signature Versi 4, kunci penandatangan berlaku hingga tujuh hari. Karena itu, tanda tangan juga berlaku hingga tujuh hari. Untuk informasi selengkapnya, lihat Pendahuluan ke permintaan penandatanganan dalam Referensi API Amazon Simple Storage Service. Anda dapat menggunakan syarat ini untuk lebih lanjut membatasi umur tanda tangan.

Nilai contoh: 600000

s3-outposts:x-amz-content-sha256

Anda dapat menggunakan kunci syarat ini untuk melarang konten yang tidak ditandatangani di bucket Anda.

Ketika Anda menggunakan Signature Version 4 untuk permintaan yang menggunakan Authorization header Authorization, Anda menambahka x-amz-content-sha256 header x-amz-content-sha256 dalam perhitungan tanda tangan, lalu kemudian menetapkan nilainya ke muatan hash.

Anda dapat menggunakan kunci kondisi ini dalam kebijakan bucket untuk menolak setiap unggahan yang tidak ditandatangani payload. Sebagai contoh:

  • Menolak unggahan yang menggunakan header Authorization untuk mengautentikasi permintaan tetapi tidak menandatangani muatan. Untuk informasi selengkapnya, lihat Memindahkan muatan dalam satu bagian tunggal di Referensi API Amazon Simple Storage Service.

  • Tolak unggahan yang menggunakan URLs presigned. Presigned URLs selalu memilikiUNSIGNED_PAYLOAD. Untuk informasi selengkapnya, lihat Mengautentikasi permintaan dan Metode autentikasi dalam Referensi API Amazon Simple Storage Service.

Nilai yang valid: UNSIGNED-PAYLOAD

Contoh kebijakan bucket yang menggunakan kunci kondisi terkait Signature Version 4

Untuk menggunakan contoh berikut, ganti user input placeholdersdengan informasi Anda sendiri.

contoh : s3-outposts:signatureAge

Kebijakan bucket berikut menolak permintaan URL yang telah ditetapkan sebelumnya pada S3 pada Outposts pada objek example-outpost-bucket jika tanda tangan berusia lebih dari 10 menit. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}
contoh : s3-outposts:authType

Kebijakan bucket berikut hanya mengizinkan permintaan yang menggunakan Authorization header untuk otentikasi permintaan. Permintaan URL yang telah ditetapkan sebelumnya akan ditolak karena parameter kueri URLs penggunaan yang telah ditetapkan sebelumnya untuk memberikan informasi permintaan dan otentikasi. Untuk informasi selengkapnya, lihat Metode autentikasi di Referensi API Amazon Simple Storage Service.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Allow only requests that use the Authorization header for request authentication. Deny presigned URL requests.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringNotEquals": {
                           "s3-outposts:authType": "REST-HEADER"
                     }
               }
         }
   ]
}
contoh : s3-outposts:x-amz-content-sha256

Kebijakan bucket berikut menolak setiap unggahan dengan muatan yang tidak ditandatangani, seperti unggahan yang menggunakan presigned. URLs Untuk informasi selengkapnya, lihat Mengautentikasi permintaan dan Metode autentikasi dalam Referensi API Amazon Simple Storage Service.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Deny uploads with unsigned payloads.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringEquals": {
                           "s3-outposts:x-amz-content-sha256": "UNSIGNED-PAYLOAD"
                     }
               }
         }
   ]
}