# リクエストの認証と承認
<a name="s3-express-authenticating-authorizing"></a>

デフォルトでは、ディレクトリバケットはプライベートであり、アクセスを明示的に許可されているユーザーのみがアクセスできます。ディレクトリバケットのアクセスコントロール境界は、バケットレベルでのみ設定されます。対照的に、汎用バケットのアクセス制御境界は、バケット、プレフィックス、またはオブジェクトタグレベルで設定できます。この違いは、S3 Express One Zone アクセスのバケットポリシーまたは IAM アイデンティティポリシーに含めることができるリソースがディレクトリバケットのみであるためです。

Amazon S3 Express One Zone は、AWS Identity and Access Management (AWS IAM) 承認とセッションベースの承認の両方をサポートしています。
+ S3 Express One Zone でリージョンエンドポイント API オペレーション (バケットレベル、またはコントロールプレーンのオペレーション) を使用するには、セッション管理を必要としない IAM 認可モデルを使用します。アクセス許可はアクションごとに個別に付与されます。詳細については、「[IAM を使用したリージョンエンドポイント API オペレーションの承認](s3-express-security-iam.md)」を参照してください。
+ ゾーンエンドポイント API オペレーション (オブジェクトレベルまたはデータプレーンオペレーション) を使用するには、`CopyObject` と `HeadBucket` を除き、`CreateSession` API オペレーションを使用して、データリクエストの低レイテンシー承認に最適化されたセッションを作成および管理します。ッショントークンを取得して使用するには、アイデンティティベースのポリシーまたはバケットポリシーでディレクトリバケットの `s3express:CreateSession` アクションを許可する必要があります。詳細については、「[IAM を使用したリージョンエンドポイント API オペレーションの承認](s3-express-security-iam.md)」を参照してください。Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、または AWS SDK を使用して S3 Express One ゾーンにアクセスしている場合、S3 Express One Zone はユーザーに代わってセッションを作成します。

`CreateSession` API オペレーションでは、新しいセッションベースのメカニズムを使用してリクエストを認証および承認します。`CreateSession` を使用して、バケットへの低レイテンシーアクセスを実現する一時的な認証情報をリクエストできます。このような一時的な認証情報は、特定のディレクトリバケットに限定されます。

`CreateSession` を使用するには、最新バージョンの AWS SDK を使用するか AWS Command Line Interface (AWS CLI) を使用することをお勧めします。サポートされている AWS SDK と AWS CLI が、ユーザーに代わってセッションの確立、更新、終了の処理を行います。

セッショントークンはゾーン (オブジェクトレベル) オペレーション (`CopyObject` と `HeadBucket` を除く) でのみ使用し、承認関連のレイテンシーをセッション内の多数のリクエストに分散させます。リージョンのエンドポイント API オペレーション (バケットレベルのオペレーション) には IAM 認可を使用しますが、セッションの管理は不要です。詳細については、「[IAM を使用したリージョンエンドポイント API オペレーションの承認](s3-express-security-iam.md)」および「[`CreateSession` を使用したゾーンエンドポイント API オペレーションの承認](s3-express-create-session.md)」を参照してください。

## API オペレーションの認証および承認方法
<a name="s3-express-security-iam-authorization"></a>

次の表は、ディレクトリバケット API オペレーションの認証および承認情報の一覧です。この表には、API オペレーションごとに、API オペレーション名、IAM ポリシーアクション、エンドポイントタイプ (リージョンまたはゾーン)、承認メカニズム (IAM またはセッションベース) が表示されています。この表には、クロスアカウントアクセスがサポートされているかどうかも示されています。バケットレベルのアクションへのアクセスは、バケットポリシーではなく、IAM アイデンティティベースのポリシー (ユーザーまたはロール) でのみ付与でます。


| API | エンドポイントタイプ | IAM アクション | クロスアカウントアクセス | 
| --- | --- | --- | --- | 
| CreateBucket | リージョン | s3express:CreateBucket | いいえ | 
| DeleteBucket | リージョン | s3express:DeleteBucket | いいえ | 
| DeleteBucketInventoryConfiguration | リージョン | s3express:PutInventoryConfiguration | いいえ | 
| DeleteBucketPolicy | リージョン | s3express:DeleteBucketPolicy | いいえ | 
| GetBucketInventoryConfiguration | リージョン | s3express:GetInventoryConfiguration | いいえ | 
| GetBucketPolicy | リージョン | s3express:GetBucketPolicy | いいえ | 
| ListBucketInventoryConfigurations | リージョン | s3express:GetInventoryConfiguration | いいえ | 
| ListDirectoryBuckets | リージョン | s3express:ListAllMyDirectoryBuckets | いいえ | 
| PutBucketInventoryConfiguration | リージョン | s3express:PutInventoryConfiguration | いいえ | 
| PutBucketPolicy | リージョン | s3express:PutBucketPolicy | いいえ | 
| CreateSession | ゾーン別 | s3express:CreateSession | はい | 
| CopyObject | ゾーン別 | s3express:CreateSession | はい  | 
| DeleteObject | ゾーン別 | s3express:CreateSession | はい  | 
| DeleteObjects | ゾーン別 | s3express:CreateSession | はい  | 
| HeadObject | ゾーン別 | s3express:CreateSession | はい  | 
| PutObject | ゾーン別 | s3express:CreateSession | はい | 
| RenameObject | ゾーン別 | s3express:CreateSession | いいえ | 
| GetObjectAttributes | ゾーン別 | s3express:CreateSession | はい | 
| ListObjectsV2 | ゾーン別 | s3express:CreateSession | はい  | 
| HeadBucket | ゾーン別 | s3express:CreateSession | はい  | 
| CreateMultipartUpload | ゾーン別 | s3express:CreateSession | はい | 
| UploadPart | ゾーン別 | s3express:CreateSession | はい  | 
| UploadPartCopy | ゾーン別 | s3express:CreateSession | はい  | 
| CompleteMultipartUpload | ゾーン別 | s3express:CreateSession | はい  | 
| AbortMultipartUpload | ゾーン別 | s3express:CreateSession | はい  | 
| ListParts | ゾーン別 | s3express:CreateSession | はい  | 
| ListMultipartUploads | ゾーン別 | s3express:CreateSession | はい  | 
| ListAccessPointsForDirectoryBuckets | ゾーン別 | s3express:ListAccessPointsForDirectoryBuckets | はい | 
| GetAccessPointScope | ゾーン別 | s3express:GetAccessPointScope | はい | 
| PutAccessPointScope | ゾーン別 | s3express:PutAccessPointScope | はい | 
| DeleteAccessPointScope | ゾーン別 | s3express:DeleteAccessPointScope | はい | 

**Topics**
+ [API オペレーションの認証および承認方法](#s3-express-security-iam-authorization)
+ [IAM を使用したリージョンエンドポイント API オペレーションの承認](s3-express-security-iam.md)
+ [`CreateSession` を使用したゾーンエンドポイント API オペレーションの承認](s3-express-create-session.md)