Autorización de operaciones de la API de puntos de conexión zonales con CreateSession - Amazon Simple Storage Service

Autorización de operaciones de la API de puntos de conexión zonales con CreateSession

Para utilizar operaciones de la API de puntos de conexión zonales (operaciones de objeto o plano de datos), excepto para CopyObject y HeadBucket, puede utilizar la operación de la API CreateSession para crear y administrar sesiones optimizadas para la autorización de solicitudes de datos con baja latencia. Para recuperar y usar un token de sesión, debe permitir la acción s3express:CreateSession para su bucket de directorio en una política basada en identidades o en una política de bucket. Para obtener más información, consulte Autorización de API de puntos de conexión regionales con IAM. Si accede a S3 Express One Zone en la consola de Amazon S3, a través de AWS Command Line Interface (AWS CLI) o mediante los SDK de AWS, S3 Express One Zone crea una sesión en su nombre.

Si utiliza la API de REST de Amazon S3, podrá utilizar la operación de la API CreateSession para obtener credenciales de seguridad temporales que incluyan un ID de clave de acceso, una clave de acceso secreta, un token de sesión y una fecha de caducidad. Las credenciales temporales proporcionan los mismos permisos que las credenciales de seguridad a largo plazo, como las credenciales de usuario de IAM, pero deben incluir un token de sesión.

Modo Sesión

El modo Sesión define el alcance de la sesión. En su política de bucket, puede especificar la clave de condición s3express:SessionMode para controlar quién puede crear una sesión ReadWrite o ReadOnly. Para obtener más información sobre las sesiones ReadWrite o ReadOnly, consulte el parámetro x-amz-create-session-mode para CreateSession en la Referencia de la API de Amazon S3. Para obtener información acerca de la creación de una política de bucket, consulte Ejemplos de políticas de bucket de directorio para S3 Express One Zone.

Token de sesión

Cuando realice una llamada utilizando las credenciales de seguridad temporales, la llamada debe incluir un token de sesión. El token de sesión se devuelve junto con las credenciales temporales. El token de sesión se asigna a su bucket de directorio y se utiliza para comprobar que las credenciales de seguridad son válidas y no han caducado. Para proteger sus sesiones, las credenciales de seguridad temporales caducan a los 5 minutos.

CopyObject y HeadBucket

Las credenciales de seguridad temporales se asignan a un bucket de directorio específico y se habilitan automáticamente para todas las llamadas a la API de operaciones zonales (de nivel de objeto) en un bucket de directorio determinado. A diferencia de otras operaciones de la API de puntos de conexión zonales, CopyObject y HeadBucket no utilizan la autenticación CreateSession. Todas las solicitudes CopyObject y HeadBucket deben autenticarse y firmarse con credenciales de IAM. Sin embargo, CopyObject y HeadBucket siguen estando autorizadas por s3express:CreateSession, al igual que otras operaciones de la API de puntos de conexión zonales.

Para obtener más información, consulte CreateSession en la Referencia de la API de Amazon Simple Storage Service.