Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anfragen authentifizieren und autorisieren
Standardmäßig sind Verzeichnis-Buckets privat und sind nur für Benutzer zugänglich, denen explizit Zugriff gewährt wurde. Die Zugriffskontrollgrenze für Verzeichnis-Buckets wird nur auf Bucket-Ebene festgelegt. Im Gegensatz dazu kann die Zugriffskontrollgrenze für Allzweck-Buckets auf Bucket-, Präfix- oder Objekt-Tag-Ebene festgelegt werden. Dieser Unterschied bedeutet, dass Verzeichnis-Buckets die einzige Ressource sind, die Sie in Bucket-Richtlinien oder IAM Identitätsrichtlinien für den Zugriff auf S3 Express One Zone aufnehmen können.
Amazon S3 Express One Zone unterstützt sowohl die AWS Identity and Access Management (AWS IAM) -Autorisierung als auch die sitzungsbasierte Autorisierung:
-
Um regionale API Endpunktoperationen (Operationen auf Bucket-Ebene oder Kontrollebene) mit S3 Express One Zone zu nutzen, verwenden Sie das IAM Autorisierungsmodell, das kein Sitzungsmanagement beinhaltet. Berechtigungen werden für Aktionen einzeln erteilt. Weitere Informationen finden Sie unter Autorisieren eines regionalen Endpunkts APIs mit IAM.
-
Um zonale API Endpunktoperationen (Operationen auf Objektebene oder Datenebene) mit Ausnahme von und zu verwenden, verwenden Sie den
CreateSessionAPI Vorgang, um Sitzungen zu erstellenCopyObjectund zu verwaltenHeadBucket, die für die Autorisierung von Datenanforderungen mit niedriger Latenz optimiert sind. Um ein Sitzungstoken abzurufen und zu verwenden, müssen Sie dies3express:CreateSession-Aktion für Ihren Verzeichnis-Bucket in einer identitätsbasierten Richtlinie oder einer Bucket-Richtlinie zulassen. Weitere Informationen finden Sie unter Autorisieren eines regionalen Endpunkts APIs mit IAM. Wenn Sie in der Amazon S3-Konsole, über AWS Command Line Interface (AWS CLI) oder mithilfe der auf S3 Express One Zone zugreifen AWS SDKs, erstellt S3 Express One Zone eine Sitzung in Ihrem Namen.
Bei diesem CreateSession API Vorgang authentifizieren und autorisieren Sie Anfragen über einen neuen sitzungsbasierten Mechanismus. Sie können mit CreateSession temporäre Anmeldeinformationen anfordern, die den Zugriff auf Ihren Bucket mit geringer Latenz ermöglichen. Diese temporären Anmeldeinformationen sind auf einen bestimmten Verzeichnis-Bucket beschränkt.
Um damit zu arbeitenCreateSession, empfehlen wir die Verwendung der neuesten Version von AWS SDKs oder die Verwendung von (). AWS Command Line Interface AWS CLI Der Support AWS SDKs AWS CLI kümmert sich in Ihrem Namen um die Einrichtung, Aktualisierung und Beendigung der Sitzung.
Sie verwenden Sitzungstoken nur für zonale Operationen (Objektebene) (außer CopyObject und HeadBucket), um die mit der Autorisierung verbundene Latenz auf eine Reihe von Anforderungen in einer Sitzung zu verteilen. Für regionale API Endpunktoperationen (Operationen auf Bucket-Ebene) verwenden Sie die IAM Autorisierung, bei der keine Sitzung verwaltet wird. Weitere Informationen erhalten Sie unter Autorisieren eines regionalen Endpunkts APIs mit IAM und Autorisieren von zonalen API Endpunktoperationen mit CreateSession.
Wie werden API Operationen authentifiziert und autorisiert
In der folgenden Tabelle sind Authentifizierungs- und Autorisierungsinformationen für API Directory-Bucket-Operationen aufgeführt. Für jeden API Vorgang enthält die Tabelle den Namen des API Vorgangs, die IAM Richtlinienaktion, den Endpunkttyp (regional oder zonal) und den Autorisierungsmechanismus (IAModer sitzungsbasiert). In dieser Tabelle wird auch angegeben, ob der kontoübergreifende Zugriff unterstützt wird. Der Zugriff auf Aktionen auf Bucket-Ebene kann nur in IAM identitätsbasierten Richtlinien (Benutzer oder Rollen) gewährt werden, nicht in Bucket-Richtlinien.
| API | Endpunkttyp | IAMAktion | Kontoübergreifender Zugriff |
|---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
Nein |
DeleteBucket |
Regional | s3express:DeleteBucket |
Nein |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
Nein |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
Nein |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
Nein |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
Nein |
CreateSession |
Zonal | s3express:CreateSession |
Ja |
CopyObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObject |
Zonal | s3express:CreateSession |
Ja |
DeleteObjects |
Zonal | s3express:CreateSession |
Ja |
HeadObject |
Zonal | s3express:CreateSession |
Ja |
PutObject |
Zonal | s3express:CreateSession |
Ja |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Ja |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Ja |
HeadBucket |
Zonal | s3express:CreateSession |
Ja |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
UploadPart |
Zonal | s3express:CreateSession |
Ja |
UploadPartCopy |
Zonal | s3express:CreateSession |
Ja |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Ja |
ListParts |
Zonal | s3express:CreateSession |
Ja |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Ja |
Themen
