Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengautentikasi dan mengotorisasi permintaan
Secara default, bucket direktori bersifat pribadi dan hanya dapat diakses oleh pengguna yang secara eksplisit diberikan akses. Batas kontrol akses untuk bucket direktori hanya diatur pada tingkat bucket. Sebaliknya, batas kontrol akses untuk bucket tujuan umum dapat diatur pada tingkat bucket, prefiks, atau tag objek. Perbedaan ini berarti bahwa bucket direktori adalah satu-satunya sumber daya yang dapat Anda sertakan dalam kebijakan bucket atau kebijakan IAM identitas untuk akses S3 Express One Zone.
Amazon S3 Express One Zone mendukung otorisasi AWS Identity and Access Management (AWS IAM) dan otorisasi berbasis sesi:
-
Untuk menggunakan API operasi titik akhir Regional (tingkat ember, atau bidang kontrol, operasi) dengan S3 Express One Zone, Anda menggunakan model IAM otorisasi, yang tidak melibatkan manajemen sesi. Izin diberikan untuk tindakan yang dilakukan secara individual. Untuk informasi selengkapnya, lihat Mengotorisasi titik akhir APIs Regional dengan IAM.
-
Untuk menggunakan API operasi titik akhir Zonal (operasi tingkat objek, atau bidang data), kecuali untuk
CopyObjectdanHeadBucket, Anda menggunakan operasi untuk membuat dan mengelola sesi yang dioptimalkan untuk otorisasi permintaan data latensi rendah.CreateSessionAPI Untuk mengambil dan menggunakan token sesi, Anda harus mengizinkan tindakans3express:CreateSessionuntuk bucket direktori Anda dalam kebijakan berbasis identitas atau kebijakan bucket. Untuk informasi selengkapnya, lihat Mengotorisasi titik akhir APIs Regional dengan IAM. Jika Anda mengakses S3 Express One Zone di konsol Amazon S3, melalui AWS Command Line Interface AWS CLI(), atau dengan menggunakan, S3 Express One Zone membuat sesi AWS SDKs atas nama Anda.
Dengan CreateSession API operasi ini, Anda mengautentikasi dan mengotorisasi permintaan melalui mekanisme berbasis sesi baru. Anda dapat menggunakan CreateSession untuk meminta kredensial sementara yang menyediakan akses latensi rendah ke bucket Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu.
Untuk bekerja denganCreateSession, kami sarankan menggunakan versi terbaru dari AWS SDKs atau menggunakan AWS Command Line Interface (AWS CLI). Pembentukan sesi yang didukung AWS SDKs dan AWS CLI menangani, penyegaran, dan penghentian atas nama Anda.
Anda menggunakan token sesi dengan operasi Zona (tingkat objek) saja (kecuali untuk CopyObject danHeadBucket) untuk mendistribusikan latensi yang terkait dengan otorisasi atas sejumlah permintaan dalam sesi. Untuk API operasi titik akhir Regional (operasi tingkat ember), Anda menggunakan IAM otorisasi, yang tidak melibatkan pengelolaan sesi. Untuk informasi selengkapnya, silakan lihat Mengotorisasi titik akhir APIs Regional dengan IAM dan Mengotorisasi operasi titik akhir API Zonal dengan CreateSession.
Bagaimana API operasi diautentikasi dan diotorisasi
Tabel berikut mencantumkan informasi otentikasi dan otorisasi untuk operasi bucket API direktori. Untuk setiap API operasi, tabel menunjukkan nama API operasi, tindakan IAM kebijakan, tipe titik akhir (Regional atau Zonal), dan mekanisme otorisasi (IAMatau berbasis sesi). Tabel ini juga menunjukkan apakah akses lintas akun didukung. Akses ke tindakan tingkat ember hanya dapat diberikan dalam kebijakan IAM berbasis identitas (pengguna atau peran), bukan kebijakan bucket.
| API | Jenis titik akhir | IAMaksi | Akses lintas akun |
|---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
Tidak |
DeleteBucket |
Regional | s3express:DeleteBucket |
Tidak |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
Tidak |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
Tidak |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
Tidak |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
Tidak |
CreateSession |
Zona | s3express:CreateSession |
Ya |
CopyObject |
Zona | s3express:CreateSession |
Ya |
DeleteObject |
Zona | s3express:CreateSession |
Ya |
DeleteObjects |
Zona | s3express:CreateSession |
Ya |
HeadObject |
Zona | s3express:CreateSession |
Ya |
PutObject |
Zona | s3express:CreateSession |
Ya |
GetObjectAttributes |
Zona | s3express:CreateSession |
Ya |
ListObjectsV2 |
Zona | s3express:CreateSession |
Ya |
HeadBucket |
Zona | s3express:CreateSession |
Ya |
CreateMultipartUpload |
Zona | s3express:CreateSession |
Ya |
UploadPart |
Zona | s3express:CreateSession |
Ya |
UploadPartCopy |
Zona | s3express:CreateSession |
Ya |
CompleteMultipartUpload |
Zona | s3express:CreateSession |
Ya |
AbortMultipartUpload |
Zona | s3express:CreateSession |
Ya |
ListParts |
Zona | s3express:CreateSession |
Ya |
ListMultipartUploads |
Zona | s3express:CreateSession |
Ya |
Topik
