Autorisation des opérations d’API de point de terminaison zonal avec CreateSession - Amazon Simple Storage Service

Autorisation des opérations d’API de point de terminaison zonal avec CreateSession

Pour utiliser les opérations d’API de point de terminaison zonal (opérations de niveau objet ou plan de données), à l’exception de CopyObject et de HeadBucket, utilisez l’opération d’API CreateSession pour créer et gérer des sessions optimisées afin d’autoriser les demandes de données à faible latence. Pour récupérer et utiliser un jeton de session, vous devez autoriser l’action s3express:CreateSession pour votre compartiment de répertoires dans une politique basée sur l’identité ou une politique de compartiment. Pour plus d’informations, consultez Autorisation des opérations d’API de point de terminaison régional avec IAM. Si vous accédez à S3 Express One Zone dans la console Amazon S3, via l’AWS Command Line Interface (AWS CLI) ou à l’aide des kits AWS SDK, S3 Express One Zone crée une session en votre nom.

Si vous utilisez l’API REST Amazon S3, vous pouvez ensuite utiliser l’opération d’API CreateSession pour obtenir des informations d’identification de sécurité temporaires qui incluent un ID de clé d’accès, une clé d’accès secrète, un jeton de session et une date d’expiration. Les informations d’identification temporaires fournissent les mêmes autorisations que les informations d’identification de sécurité à long terme, telles que les informations d’identification d’utilisateur IAM, mais les informations d’identification de sécurité temporaires doivent inclure un jeton de session.

Mode session

Le mode session définit l’étendue de la session. Dans votre politique de compartiment, vous pouvez spécifier la clé de condition s3express:SessionMode pour contrôler qui peut créer une session ReadWrite ou ReadOnly. Pour plus d’informations sur les sessions ReadWrite et ReadOnly, consultez le paramètre x-amz-create-session-mode pour CreateSession dans la Référence d’API Amazon S3. Pour plus d’informations sur la politique de compartiment à créer, consultez Exemples de politiques de compartiment pour les compartiments de répertoires.

Jeton de session

Lorsque vous effectuez un appel en utilisant des informations d’identification de sécurité temporaires, l’appel doit inclure un jeton de session. Le jeton de session est renvoyé avec les informations d’identification temporaires. Un jeton de session est limité à votre compartiment de répertoires et est utilisé pour vérifier que les informations d’identification de sécurité sont valides et n’ont pas expiré. Pour protéger vos sessions, les informations d’identification de sécurité temporaires expirent au bout de 5 minutes.

CopyObject et HeadBucket

Les informations d’identification de sécurité temporaires sont limitées à un compartiment de répertoires spécifique et sont automatiquement activées pour tous les appels d’API d’opérations zonales (niveau objet) vers un compartiment de répertoires donné. Contrairement aux autres opérations d’API de point de terminaison zonal, CopyObject et HeadBucket n’utilisent pas l’authentification CreateSession. Toutes les demandes CopyObject et HeadBucket doivent être authentifiées et signées au moyen d’informations d’identification IAM. Toutefois, CopyObject et HeadBucket sont toujours autorisées par s3express:CreateSession, comme les autres opérations d’API de point de terminaison zonal.

Pour plus d’informations, consultez CreateSession dans la Référence d’API Amazon Simple Storage Service.