Autenticación y autorización de solicitudes
De forma predeterminada, los buckets de directorio son privados y solo pueden acceder a ellos los usuarios a los que se concede explícitamente el acceso. El límite de control de acceso para buckets de directorio se establece únicamente en el nivel de bucket. Por el contrario, el límite de control de acceso para los buckets de uso general se puede establecer en el nivel de bucket, prefijo o etiqueta de objeto. Esta diferencia significa que los buckets de directorio son el único recurso que puede incluir en las políticas de bucket o en las políticas de identidad de IAM para el acceso a S3 Express One Zone.
Amazon S3 Express One Zone admite tanto la autorización de AWS Identity and Access Management (IAM de AWS) como la autorización basada en sesiones:
-
Para utilizar las operaciones de la API de puntos de conexión regionales (operaciones de nivel de bucket o plano de control) con S3 Express One Zone, utilice el modelo de autorización de IAM, que no implica la administración de sesiones. Los permisos se conceden para las acciones de forma individual. Para obtener más información, consulte Autorización de API de puntos de conexión regionales con IAM.
-
Para utilizar operaciones de la API de puntos de conexión zonales (operaciones de objeto o plano de datos), excepto para
CopyObjectyHeadBucket, puede utilizar la operación de la APICreateSessionpara crear y administrar sesiones optimizadas para la autorización de solicitudes de datos con baja latencia. Para recuperar y usar un token de sesión, debe permitir la accións3express:CreateSessionpara su bucket de directorio en una política basada en identidades o en una política de bucket. Para obtener más información, consulte Autorización de API de puntos de conexión regionales con IAM. Si accede a S3 Express One Zone en la consola de Amazon S3, a través de AWS Command Line Interface (AWS CLI) o mediante los SDK de AWS, S3 Express One Zone crea una sesión en su nombre.
Con la operación de la API CreateSession, autentica y autoriza las solicitudes mediante un nuevo mecanismo basado en sesiones. Puede utilizar CreateSession para solicitar credenciales temporales que otorgan acceso de baja latencia a su bucket. Estas credenciales temporales se asignan a un bucket de directorio específico.
Para trabajar con CreateSession, le recomendamos que utilice la última versión de los SDK de AWS o que utilice la AWS Command Line Interface (AWS CLI). Los SDK de AWS compatibles con AWS CLI controlan el establecimiento, la actualización y la finalización de la sesión en su nombre.
Utiliza tokens de sesión únicamente con operaciones zonales (de nivel de objeto) (excepto para CopyObject yHeadBucket) para distribuir la latencia asociada a la autorización entre varias solicitudes de una sesión. Para las operaciones de la API de puntos de conexión regionales (operaciones de nivel de bucket), se utiliza la autorización de IAM, que no implica la administración de una sesión. Para obtener más información, consulte Autorización de API de puntos de conexión regionales con IAM y Autorización de operaciones de la API de puntos de conexión zonales con CreateSession.
Autenticación y autorización de las operaciones de la API
En la siguiente tabla se muestra la información de autenticación y autorización para las operaciones de la API de bucket de directorio. Para cada operación de la API, la tabla muestra el nombre de la operación de la API, la acción de política de IAM, el tipo de punto de conexión (regional o zonal) y el mecanismo de autorización (de IAM o basado en sesiones). En esta tabla también se indica si se admite el acceso entre cuentas. El acceso a las acciones en el nivel de bucket solo se puede conceder en las políticas basadas en identidad de IAM (usuario o rol), no en las políticas de bucket.
| API | Tipo de punto de conexión | Acción de IAM | Acceso entre cuentas |
|---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
No |
DeleteBucket |
Regional | s3express:DeleteBucket |
No |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
No |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
No |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
No |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
No |
CreateSession |
Zonal | s3express:CreateSession |
Sí |
CopyObject |
Zonal | s3express:CreateSession |
Sí |
DeleteObject |
Zonal | s3express:CreateSession |
Sí |
DeleteObjects |
Zonal | s3express:CreateSession |
Sí |
HeadObject |
Zonal | s3express:CreateSession |
Sí |
PutObject |
Zonal | s3express:CreateSession |
Sí |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Sí |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Sí |
HeadBucket |
Zonal | s3express:CreateSession |
Sí |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Sí |
UploadPart |
Zonal | s3express:CreateSession |
Sí |
UploadPartCopy |
Zonal | s3express:CreateSession |
Sí |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Sí |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Sí |
ListParts |
Zonal | s3express:CreateSession |
Sí |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Sí |
Temas
