Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification et autorisation des demandes
Par défaut, les compartiments de répertoires sont privés et sont accessibles uniquement par les utilisateurs auxquels l’accès a été explicitement accordé. La limite de contrôle d’accès pour les compartiments de répertoires est définie uniquement au niveau compartiment. En revanche, la limite de contrôle d’accès pour les compartiments à usage général peut être définie au niveau des compartiments, du préfixe ou de la balise d’objet. Cette différence signifie que les compartiments d'annuaire sont la seule ressource que vous pouvez inclure dans les politiques de compartiment ou les politiques IAM d'identité pour l'accès à S3 Express One Zone.
Amazon S3 Express One Zone prend en charge à la fois l'autorisation AWS Identity and Access Management (AWS IAM) et l'autorisation basée sur la session :
-
Pour utiliser les API opérations de point de terminaison régionales (opérations au niveau du compartiment ou du plan de contrôle) avec S3 Express One Zone, vous utilisez le modèle IAM d'autorisation, qui n'implique pas de gestion de session. Les autorisations sont accordées pour les actions, de façon individuelle. Pour de plus amples informations, veuillez consulter Autoriser un point de terminaison APIs régional avec IAM.
-
Pour utiliser les opérations des points de terminaison zonaux (APIopérations au niveau de l'objet ou du plan de données), à l'exception de
CopyObjectetHeadBucket, vous utilisez l'CreateSessionAPIopération pour créer et gérer des sessions optimisées pour l'autorisation à faible latence des demandes de données. Pour récupérer et utiliser un jeton de session, vous devez autoriser l’actions3express:CreateSessionpour votre compartiment de répertoires dans une politique basée sur l’identité ou une politique de compartiment. Pour de plus amples informations, veuillez consulter Autoriser un point de terminaison APIs régional avec IAM. Si vous accédez à S3 Express One Zone dans la console Amazon S3, via le AWS Command Line Interface (AWS CLI), ou en utilisant le AWS SDKs, S3 Express One Zone crée une session en votre nom.
Avec cette CreateSession API opération, vous authentifiez et autorisez les demandes par le biais d'un nouveau mécanisme basé sur les sessions. Vous pouvez utiliser CreateSession pour demander des informations d’identification temporaires afin de bénéficier d’un accès à faible latence à votre compartiment. Ces informations d’identification temporaires sont limitées à un compartiment de répertoires spécifique.
Pour travailler avecCreateSession, nous vous recommandons d'utiliser la dernière version du AWS SDKs ou d'utiliser le AWS Command Line Interface (AWS CLI). L'établissement, le rafraîchissement AWS SDKs et la AWS CLI résiliation des sessions pris en charge et gérés en votre nom.
Vous utilisez des jetons de session avec uniquement des opérations zonales (niveau objet) (à l’exception de CopyObject et HeadBucket) pour répartir la latence associée à l’autorisation sur un certain nombre de demandes dans une session. Pour les API opérations de point de terminaison régional (opérations au niveau du compartiment), vous utilisez l'IAMautorisation, qui n'implique pas la gestion d'une session. Pour plus d’informations, consultez Autoriser un point de terminaison APIs régional avec IAM et Autoriser les opérations des terminaux API zonaux avec CreateSession.
Comment API les opérations sont authentifiées et autorisées
Le tableau suivant répertorie les informations d'authentification et d'autorisation pour les API opérations de bucket d'annuaire. Pour chaque API opération, le tableau indique le nom de l'APIopération, l'action IAM politique, le type de point de terminaison (régional ou zonal) et le mécanisme d'autorisation (IAMou basé sur les sessions). Ce tableau indique également si l'accès entre comptes est pris en charge. L'accès aux actions au niveau du compartiment ne peut être accordé que dans le cadre de politiques IAM basées sur l'identité (utilisateur ou rôle), et non dans le cadre de politiques de compartiment.
| API | Type de point de terminaison | IAMaction | Accès intercomptes |
|---|---|---|---|
CreateBucket |
Régional | s3express:CreateBucket |
Non |
DeleteBucket |
Régional | s3express:DeleteBucket |
Non |
ListDirectoryBuckets |
Régional | s3express:ListAllMyDirectoryBuckets |
Non |
PutBucketPolicy |
Régional | s3express:PutBucketPolicy |
Non |
GetBucketPolicy |
Régional | s3express:GetBucketPolicy |
Non |
DeleteBucketPolicy |
Régional | s3express:DeleteBucketPolicy |
Non |
CreateSession |
Zonal | s3express:CreateSession |
Oui |
CopyObject |
Zonal | s3express:CreateSession |
Oui |
DeleteObject |
Zonal | s3express:CreateSession |
Oui |
DeleteObjects |
Zonal | s3express:CreateSession |
Oui |
HeadObject |
Zonal | s3express:CreateSession |
Oui |
PutObject |
Zonal | s3express:CreateSession |
Oui |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Oui |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Oui |
HeadBucket |
Zonal | s3express:CreateSession |
Oui |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Oui |
UploadPart |
Zonal | s3express:CreateSession |
Oui |
UploadPartCopy |
Zonal | s3express:CreateSession |
Oui |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Oui |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Oui |
ListParts |
Zonal | s3express:CreateSession |
Oui |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Oui |
Rubriques
