AWS Authentifizierungsspezifische Richtlinienschlüssel für Signature Version 4 (Sigv4) - Amazon S3 in Outposts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Authentifizierungsspezifische Richtlinienschlüssel für Signature Version 4 (Sigv4)

Die folgende Tabelle zeigt die Bedingungsschlüssel für die Authentifizierung mit AWS Signature Version 4 (Sigv4), die Sie mit Amazon S3 on Outposts verwenden können. In einer Bucket-Richtlinie können Sie diese Bedingungen hinzufügen, um ein bestimmtes Verhalten zu erzwingen, wenn Anforderungen mit der Signature Version 4 authentifiziert werden. Beispiele für Richtlinien finden Sie unter Beispiele für Bucket-Richtlinien, die mit der Signature Version 4 verbundene Bedingungsschlüssel verwenden. Weitere Informationen zur Authentifizierung von Anfragen mit Signature Version 4 finden Sie unter Authentifizieren von Anfragen (AWS Signature Version 4) in der Amazon Simple Storage Service Reference API

Anwendbare Schlüssel Beschreibung

s3-outposts:authType

S3 on Outposts unterstützt verschiedene Methoden der Authentifizierung. Um eingehende Anfragen auf die Verwendung einer bestimmten Authentifizierungsmethode zu beschränken, können Sie diesen optionalen Bedingungsschlüssel verwenden. Sie können diesen Bedingungsschlüssel beispielsweise verwenden, um zuzulassen, dass nur der HTTP Authorization Header bei der Anforderungsauthentifizierung verwendet wird.

Zulässige Werte:

REST-HEADER

REST-QUERY-STRING

s3-outposts:signatureAge

Die Zeitspanne in Millisekunden, die eine Signatur in einer authentifizierten Anfrage gültig ist.

Diese Bedingung funktioniert nur für vorsignierte BenutzerURLs.

In Signature Version 4 ist der Signierschlüssel bis zu sieben Tage lang gültig. Daher sind die Signaturen auch bis zu sieben Tage lang gültig. Weitere Informationen finden Sie unter Einführung in das Signieren von Anfragen in der Amazon Simple Storage API Service-Referenz. Sie können diese Bedingung verwenden, um das Alter der Unterschrift weiter einzuschränken.

Beispielwert: 600000

s3-outposts:x-amz-content-sha256

Sie können diesen Bedingungsschlüssel verwenden, um nicht signierte Inhalte in Ihrem Bucket zu verbieten.

Wenn Sie die Signature Version 4 verwenden, fügen Sie bei Anfragen, die den Authorization Header verwenden, den x-amz-content-sha256 Header in die Signaturberechnung ein und setzen dann seinen Wert auf die Hash-Nutzlast.

Sie können diesen Bedingungsschlüssel in Ihrer Bucket-Richtlinie verwenden, um alle Uploads zu verweigern, deren Nutzdaten nicht signiert sind. Beispielsweise:

  • Verweigern Sie Uploads, die den Authorization-Header zur Authentifizierung von Anfragen verwenden, aber die Nutzdaten nicht signieren. Weitere Informationen finden Sie unter Payload in einem einzigen Chunk übertragen in der Amazon Simple Storage Service API Reference.

  • Verweigern Sie Uploads, die vorsigniert verwenden. URLs Vorsignierte haben URLs immer eine. UNSIGNED_PAYLOAD Weitere Informationen finden Sie unter Authentifizieren von Anfragen und Authentifizierungsmethoden in der Amazon Simple Storage API Service-Referenz.

Zulässiger Wert: UNSIGNED-PAYLOAD

Beispiele für Bucket-Richtlinien, die mit der Signature Version 4 verbundene Bedingungsschlüssel verwenden

Um die folgenden Beispiele zu verwenden, ersetzen Sie das Platzhalter für Benutzereingaben mit Ihren eigenen Informationen.

Beispiel : s3-outposts:signatureAge

Die folgende Bucket-Richtlinie lehnt alle vorsignierten URL Anfragen von S3 on Outposts für Objekte ab, example-outpost-bucket wenn die Signatur älter als 10 Minuten ist.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old", "Effect": "Deny", "Principal": {"AWS":"444455556666"}, "Action": "s3-outposts:*", "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*", "Condition": { "NumericGreaterThan": {"s3-outposts:signatureAge": 600000}, "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"} } } ] }
Beispiel : s3-outposts:authType

Die folgende Bucket-Richtlinie lässt nur Anfragen zu, die den Authorization-Header für die Anfrageauthentifizierung verwenden. Alle vorsignierten URL Anfragen werden abgelehnt, da vorsignierte Abfrageparameter zur Bereitstellung von Anfrage- und Authentifizierungsinformationen URLs verwenden. Weitere Informationen finden Sie unter Authentifizierungsmethoden in der Amazon Simple Storage Service API Reference.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow only requests that use the Authorization header for request authentication. Deny presigned URL requests.", "Effect": "Deny", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:*", "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*", "Condition": { "StringNotEquals": { "s3-outposts:authType": "REST-HEADER" } } } ] }
Beispiel : s3-outposts:x-amz-content-sha256

Die folgende Bucket-Richtlinie verweigert alle Uploads mit unsignierten Payloads, wie z. B. Uploads, die vorsignierte Payloads verwenden. URLs Weitere Informationen finden Sie unter Authentifizieren von Anfragen und Authentifizierungsmethoden in der Amazon Simple Storage API Service-Referenz.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Deny uploads with unsigned payloads.", "Effect": "Deny", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:*", "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*", "Condition": { "StringEquals": { "s3-outposts:x-amz-content-sha256": "UNSIGNED-PAYLOAD" } } } ] }