Autoriser les opérations des terminaux API zonaux avec CreateSession - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autoriser les opérations des terminaux API zonaux avec CreateSession

Pour utiliser les opérations des points de terminaison zonaux (APIopérations au niveau de l'objet ou du plan de données), à l'exception de CopyObject etHeadBucket, vous utilisez l'CreateSessionAPIopération pour créer et gérer des sessions optimisées pour l'autorisation à faible latence des demandes de données. Pour récupérer et utiliser un jeton de session, vous devez autoriser l’action s3express:CreateSession pour votre compartiment de répertoires dans une politique basée sur l’identité ou une politique de compartiment. Pour de plus amples informations, veuillez consulter Autoriser un point de terminaison APIs régional avec IAM. Si vous accédez à S3 Express One Zone dans la console Amazon S3, via le AWS Command Line Interface (AWS CLI), ou en utilisant le AWS SDKs, S3 Express One Zone crée une session en votre nom.

Si vous utilisez Amazon S3 RESTAPI, vous pouvez ensuite utiliser l'CreateSessionAPIopération pour obtenir des informations d'identification de sécurité temporaires, notamment un identifiant de clé d'accès, une clé d'accès secrète, un jeton de session et une date d'expiration. Les informations d'identification temporaires fournissent les mêmes autorisations que les informations de sécurité à long terme, telles que les informations IAM d'identification utilisateur, mais les informations d'identification de sécurité temporaires doivent inclure un jeton de session.

Mode session

Le mode session définit l’étendue de la session. Dans votre politique de compartiment, vous pouvez spécifier la clé de condition s3express:SessionMode pour contrôler qui peut créer une session ReadWrite ou ReadOnly. Pour plus d'informations sur ReadWrite ReadOnly nos sessions, consultez le x-amz-create-session-mode paramètre pour CreateSessiondans la APIréférence Amazon S3. Pour plus d’informations sur la politique de compartiment à créer, consultez Exemples de politiques de compartiment pour les compartiments de répertoire.

Jeton de session

Lorsque vous effectuez un appel en utilisant des informations d’identification de sécurité temporaires, l’appel doit inclure un jeton de session. Le jeton de session est renvoyé avec les informations d’identification temporaires. Un jeton de session est limité à votre compartiment de répertoires et est utilisé pour vérifier que les informations d’identification de sécurité sont valides et n’ont pas expiré. Pour protéger vos sessions, les informations d’identification de sécurité temporaires expirent au bout de 5 minutes.

CopyObject et HeadBucket

Les informations d'identification de sécurité temporaires sont limitées à un compartiment de répertoire spécifique et sont automatiquement activées pour tous les API appels d'opérations zonaux (au niveau de l'objet) vers un compartiment de répertoire donné. Contrairement aux autres API opérations de point de terminaison zonal, CopyObject HeadBucket n'utilisez pas CreateSession d'authentification. Toutes CopyObject les HeadBucket demandes de terres doivent être authentifiées et signées à l'aide d'IAMinformations d'identification. Cependant, CopyObject et HeadBucket sont toujours autorisées pars3express:CreateSession, comme les autres API opérations de point de terminaison zonal.

Pour plus d’informations, consultez .CreateSessiondans le Amazon Simple Storage Service API Reference.