Mengotorisasi operasi API titik akhir Zonal dengan CreateSession - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengotorisasi operasi API titik akhir Zonal dengan CreateSession

Untuk menggunakan operasi API titik akhir Zonal (operasi tingkat objek, atau bidang data), kecuali untuk CopyObject danHeadBucket, Anda menggunakan operasi CreateSession API untuk membuat dan mengelola sesi yang dioptimalkan untuk otorisasi permintaan data latensi rendah. Untuk mengambil dan menggunakan token sesi, Anda harus mengizinkan tindakan s3express:CreateSession untuk bucket direktori Anda dalam kebijakan berbasis identitas atau kebijakan bucket. Untuk informasi selengkapnya, lihat Mengotorisasi operasi API endpoint Regional dengan IAM. Jika Anda mengakses S3 Express One Zone di konsol Amazon S3, melalui AWS Command Line Interface AWS CLI(), atau dengan menggunakan, S3 Express One Zone membuat sesi AWS SDKs atas nama Anda.

Jika Anda menggunakan API REST Amazon S3, Anda dapat menggunakan operasi API CreateSession untuk mendapatkan kredensial keamanan sementara yang menyertakan ID kunci akses, kunci akses rahasia, token sesi, dan waktu kedaluwarsa. Kredensial sementara memberikan izin yang sama seperti kredensial keamanan jangka panjang, seperti kredensial pengguna IAM, tetapi kredensial keamanan sementara harus menyertakan token sesi.

Mode Sesi

Mode sesi mendefinisikan ruang lingkup sesi. Dalam kebijakan bucket, Anda dapat menentukan kunci kondisi s3express:SessionMode untuk mengontrol siapa yang dapat membuat sesi ReadWrite atau ReadOnly. Untuk informasi selengkapnya tentang ReadWrite atau ReadOnly sesi, lihat x-amz-create-session-mode parameter untuk CreateSessiondi Referensi API Amazon S3. Untuk informasi selengkapnya tentang kebijakan bucket yang akan dibuat, lihatContoh kebijakan bucket untuk bucket direktori.

Token Sesi

Saat Anda melakukan panggilan dengan menggunakan kredensial keamanan sementara, panggilan harus menyertakan token sesi. Token sesi dikembalikan bersama dengan kredensial sementara. Token sesi dibatasi pada bucket direktori Anda dan digunakan untuk memverifikasi bahwa kredensial keamanan valid dan belum kedaluwarsa. Untuk melindungi sesi Anda, kredensial keamanan sementara akan kedaluwarsa setelah 5 menit.

CopyObject dan HeadBucket

Kredensial keamanan sementara dibatasi pada bucket direktori tertentu dan secara otomatis diaktifkan untuk semua panggilan API operasi Zonal (tingkat objek) ke bucket direktori yang diberikan. Tidak seperti operasi API titik akhir Zonal lainnya, CopyObject dan HeadBucket tidak menggunakan otentikasi CreateSession. Semua permintaan CopyObject dan HeadBucket harus diautentikasi dan ditandatangani dengan menggunakan kredensial IAM. Namun, CopyObject dan masih HeadBucket diotorisasi oleh s3express:CreateSession, seperti operasi API titik akhir Zonal lainnya.

Untuk informasi selengkapnya, lihat CreateSession dalam Referensi API Layanan Penyimpanan Sederhana Amazon.