# `CreateSession` を使用したゾーンエンドポイント API オペレーションの承認 ゾーンエンドポイント API オペレーション (オブジェクトレベルまたはデータプレーンオペレーション) を使用するには (`CopyObject` と `HeadBucket` を除く) `CreateSession` API オペレーションを使用して、データリクエストの低レイテンシー承認に最適化されたセッションを作成および管理します。ッショントークンを取得して使用するには、アイデンティティベースのポリシーまたはバケットポリシーでディレクトリバケットの `s3express:CreateSession` アクションを許可する必要があります。詳細については、「[IAM を使用したリージョンエンドポイント API オペレーションの承認](s3-express-security-iam.md)」を参照してください。Amazon S3 コンソール、AWS Command Line Interface (AWS CLI)、または AWS SDK を使用して S3 Express One ゾーンにアクセスしている場合、S3 Express One Zone はユーザーに代わってセッションを作成します。ただし、AWS CLI または AWS SDK を使用する場合、`SessionMode` パラメータを変更することはできません。 Amazon S3 REST API を使用する場合、`CreateSession` API オペレーションを使用して、アクセスキー ID、シークレットアクセスキー、セッショントークン、有効期限を含む一時的なセキュリティ認証情報を取得できます。一時的な認証情報は、IAM ユーザーの認証情報など、長期的なセキュリティ認証情報を使用するのと同じアクセス許可を提供します。ただし、一時的なセキュリティ認証情報にはセッショントークンが含まれている必要があります。 **セッションモード** セッションモードはセッションの範囲を定義します。CreateSession API リクエストでセッションモードが指定されていない場合、CreateSession アクションは、最初に `ReadWrite` を試行し、ポリシーによって `ReadWrite` が許可されていない場合にのみ `ReadOnly` にフォールバックして、最大許容特権でセッションの作成を試みます。バケットポリシーでは、`s3express:SessionMode` 条件キーを指定して、`ReadWrite` セッションや `ReadOnly` セッションを作成できるユーザーを明示的に制御できます。`ReadWrite` と `ReadOnly` の詳細については、「**Amazon S3 API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) の `x-amz-create-session-mode` パラメータ」を参照してください。バケットポリシー作成の詳細については、「[ディレクトリバケットのバケットポリシーの例](s3-express-security-iam-example-bucket-policies.md)」を参照してください。 **セッショントークン** 一時的なセキュリティ認証情報を使用して呼び出しを行う場合、呼び出しにはセッショントークンを含める必要があります。セッショントークンは一時的な認証情報とともに返されます。セッショントークンの範囲はディレクトリバケットに限定され、セキュリティ認証情報が有効で有効期限が切れていないことを確認するために使用されます。セッションを保護するため、一時的なセキュリティ認証情報は 5 分後に期限切れになります。 **`CopyObject` および `HeadBucket`** 一時的なセキュリティ認証情報の範囲は特定のディレクトリバケットに限定され、特定のディレクトリバケットに対するすべてのゾーン (オブジェクトレベル) オペレーション API 呼び出しで自動的に有効になります。その他のゾーンエンドポイント API 操作とは異なり、`CopyObject` と `HeadBucket` は `CreateSession` 認証を使用しません。すべての `CopyObject` リクエストと `HeadBucket` リクエストは IAM 認証情報を使用して認証され、署名される必要があります。ただし、その他のゾーンエンドポイント API オペレーションと同様に `CopyObject` と `HeadBucket` の `s3express:CreateSession` による承認が引き続き行われます。 詳細については、「**Amazon Simple Storage Service API リファレンス」の「[https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)」を参照してください。