本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 附录 B：预签名的 URLs 控件如何影响 AWS 服务
<a name="appendix-b"></a>

本附录描述了使用预签名的 URLs控件（如[附录 A](appendix-a.md) 中所述）与本指南前面描述的控件之间的交互。 AWS 服务 

## s3: SignatureAge 的护栏
<a name="app-b-s3-signature-age"></a>

Amazon S3 控制台不会因为`s3:signatureAge`条件密钥设置的最长 5 分钟到期时间而中断。 当您选择 “**下载**” 按钮 URLs 时，Amazon S3 控制台会生成预签名，并应用自己的 5 分钟到期时间。短于 2 分钟的最大持续时间可能会导致基于时钟同步和延迟的随机故障。

Amazon S3 Object Lambda 使用的过期时间为 61 秒，因此将条件设置`s3:signatureAge`为 61 秒或更长时间不会造成任何中断。较短的持续时间可能不太可靠，并可能导致间歇性故障。

Amazon S3 跨区域**CopyObject**不会因为最长 5 分钟的过期时间而中断。但是，较短的持续时间可能会导致基于时钟同步和延迟的随机故障。

在中 AWS Lambda，**GetFunction**提供指向客户账户之外对象的 URL，因此客户政策不会影响生成的对象 URLs。

亚马逊 Redshift Spectrum 已经过测试`s3:signatureAge`，条件为 16 分钟。但是，较短的持续时间可能会导致中断。

## 不使用网络限制时 s3: authType 的护栏
<a name="app-b-s3-auth-type"></a>

Amazon S3 控制台通常会受到`s3:authType`护栏的影响。 控制台根据本地网络配置路由到 Amazon S3。 如果本地网络以网络限制允许的方式路由到 Amazon S3，则 Amazon S3 控制台仍然可以运行。 但是，如果以不允许的方式通过代理或公共互联网进行路由，则使用将被阻止。 但是，阻止使用可能是该政策的目的。

如果 Lambda 函数未连接到相应的 VPC，则 Amazon S3 对象 Lambda 会受到影响。 在此配置中，VPC 必须具有 NAT 网关，不是为了访问 S3 存储桶，而是为了调用**WriteGetObjectResponse**。

**如果将此保护措施应用于存储桶策略，而没有建议的例外情况（何时`aws:viaAWSService`为真），则会中断 Amazon S3 跨区域**CopyObject**。**

除非使用增强型 VPC 路由`s3:authType`，否则 Amazon Redshift Spectrum 会受到护栏的影响。目前，[Redshift Spectrum 仅支持无服务器集群的增强型 VPC 路由，不支持已配置集群](https://docs.aws.amazon.com/redshift/latest/mgmt/spectrum-enhanced-vpc.html)的增强型 VPC 路由。