本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 `CreateSession` 授權區域端點 API 操作 若要使用 `CopyObject` 和 `HeadBucket` 以外的區域端點 API 操作 (物件層級或資料平面操作),您可以使用 `CreateSession` API 操作來建立和管理工作階段,這些工作階段經過最佳化,可提供低延遲的資料請求授權。若要擷取和使用工作階段權杖,您必須在身分型政策或儲存貯體政策中允許目錄儲存貯體的 `s3express:CreateSession` 動作。如需詳細資訊,請參閱[使用 IAM 授權地區端點 API 操作](s3-express-security-iam.md)。如果您在 Amazon S3 主控台、透過 AWS Command Line Interface (AWS CLI) 或使用 AWS SDKs 存取 S3 Express One Zone,S3 Express One Zone 會代表您建立工作階段。 Amazon S3 不過,使用 AWS CLI AWS SDKs時,您無法修改 `SessionMode` 參數。 如果您使用 Amazon S3 REST API,則可以使用 `CreateSession` API 操作來取得包含存取金鑰 ID、私密存取金鑰、工作階段權杖和到期時間的臨時安全憑證。臨時憑證提供的許可與長期安全憑證相同,例如 IAM 使用者憑證,但臨時安全憑證必須包含工作階段權杖。 **工作階段模式** 工作階段模式會定義工作階段的範圍。如果未在 CreateSession API 請求中指定工作階段模式,CreateSession 動作將嘗試建立具有最大允許權限的工作階段,`ReadWrite`先嘗試,然後`ReadOnly`僅在 政策`ReadWrite`不允許時返回 。在儲存貯體政策中,您可以指定 `s3express:SessionMode` 條件金鑰,以明確控制誰可以建立 `ReadWrite`或 `ReadOnly`工作階段。如需有關 `ReadWrite` 或 `ReadOnly` 工作階段的詳細資訊,請參閱《Amazon S3 API 參考》**中 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) 的 `x-amz-create-session-mode` 參數。如需有關要建立的儲存貯體政策的詳細資訊,請參閱 [目錄儲存貯體的範例儲存貯體政策](s3-express-security-iam-example-bucket-policies.md)。 **工作階段權杖** 當您使用臨時安全憑證進行呼叫時,呼叫必須包含工作階段權杖。工作階段權杖會隨臨時憑證一併傳回。工作階段權杖的範圍設定為目錄儲存貯體,並用來驗證安全憑證有效且未過期。為保護您的工作階段,臨時安全憑證會在 5 分鐘後過期。 **`CopyObject` 和 `HeadBucket`** 臨時安全憑證的範圍設定為特定目錄儲存貯體,並且會自動針對所指目錄儲存貯體的所有區域 (物件層級) 操作業 API 呼叫啟用。與其他區域端點 API 操作不同的是,`CopyObject` 和 `HeadBucket` 不使用 `CreateSession` 身分驗證。所有 `CopyObject` 和 `HeadBucket` 請求都必須使用 IAM 憑證進行驗證和簽署。但是,`CopyObject` 和 `HeadBucket` 仍像其他區域端點 API 操作一樣,由 `s3express:CreateSession` 進行授權。 如需詳細資訊,請參閱 Amazon Simple Storage Service API 參考**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)。