使用 CreateSession 授權區域端點 API 操作 - Amazon Simple Storage Service

使用 CreateSession 授權區域端點 API 操作

若要使用 CopyObjectHeadBucket 以外的區域端點 API 操作 (物件層級或資料平面操作),您可以使用 CreateSession API 操作來建立和管理工作階段,這些工作階段經過最佳化,可提供低延遲的資料請求授權。若要擷取和使用工作階段權杖,您必須在身分型政策或儲存貯體政策中允許目錄儲存貯體的 s3express:CreateSession 動作。如需更多詳細資訊,請參閱 使用 IAM 授權地區端點 API 操作。如果您在 Amazon S3 主控台中、透過 AWS Command Line Interface (AWS CLI) 或使用 AWS SDK 存取 S3 Express One Zone,S3 Express One Zone 會代表您建立工作階段。不過,當使用 AWS CLI 或 AWS SDK 時,您無法修改 SessionMode 參數。

如果您使用 Amazon S3 REST API,則可以使用 CreateSession API 操作來取得包含存取金鑰 ID、私密存取金鑰、工作階段權杖和到期時間的臨時安全憑證。臨時憑證提供的許可與長期安全憑證相同,例如 IAM 使用者憑證,但臨時安全憑證必須包含工作階段權杖。

工作階段模式

工作階段模式會定義工作階段的範圍。在儲存貯體政策中,您可以指定 s3express:SessionMode 條件索引鍵來控制哪些人能夠建立 ReadWriteReadOnly 工作階段。如需有關 ReadWriteReadOnly 工作階段的詳細資訊,請參閱《Amazon S3 API 參考》CreateSessionx-amz-create-session-mode 參數。如需有關要建立的儲存貯體政策的詳細資訊,請參閱 目錄儲存貯體的範例儲存貯體政策

工作階段權杖

當您使用臨時安全憑證進行呼叫時,呼叫必須包含工作階段權杖。工作階段權杖會隨臨時憑證一併傳回。工作階段權杖的範圍設定為目錄儲存貯體,並用來驗證安全憑證有效且未過期。為保護您的工作階段,臨時安全憑證會在 5 分鐘後過期。

CopyObjectand(HeadBucket )

臨時安全憑證的範圍設定為特定目錄儲存貯體,並且會自動針對所指目錄儲存貯體的所有區域 (物件層級) 操作業 API 呼叫啟用。與其他區域端點 API 操作不同的是,CopyObjectHeadBucket 不使用 CreateSession 身分驗證。所有 CopyObjectHeadBucket 請求都必須使用 IAM 憑證進行驗證和簽署。但是,CopyObjectHeadBucket 仍像其他區域端點 API 操作一樣,由 s3express:CreateSession 進行授權。

如需詳細資訊,請參閱 Amazon Simple Storage Service API 參考中的 CreateSession