AWS Chiavi di policy specifiche per l'autenticazione Signature Version 4 (SigV4) - Amazon S3 su Outposts
Esempi di policy del bucket che utilizzano chiavi di condizione relative a Signature Version 4

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Chiavi di policy specifiche per l'autenticazione Signature Version 4 (SigV4)

La tabella seguente mostra le chiavi di condizione relative all'autenticazione AWS Signature Version 4 (SigV4) che puoi utilizzare con Amazon S3 on Outposts. In una policy del bucket, puoi aggiungere queste condizioni per applicare un comportamento specifico quando le richieste vengono autenticate tramite Signature Version 4. Per esempi di policy, consulta Esempi di policy del bucket che utilizzano chiavi di condizione relative a Signature Version 4. Per ulteriori informazioni sull'autenticazione delle richieste tramite Signature versione 4, consulta Autenticazione delle richieste (AWS Signature Version 4) nel Amazon Simple Storage Service Reference API

Chiavi applicabili Descrizione

s3-outposts:authType

S3 su Outposts supporta diversi metodi di autenticazione. Per limitare le richieste in arrivo all'utilizzo di un metodo di autenticazione specifico, puoi utilizzare questa chiave di condizione opzionale. Ad esempio, puoi utilizzare questa chiave di condizione per consentire l'utilizzo solo dell'HTTPAuthorizationintestazione nell'autenticazione della richiesta.

Valori validi:

REST-HEADER

REST-QUERY-STRING

s3-outposts:signatureAge

Il periodo di tempo, espresso in millisecondi, di validità di una firma in una richiesta autenticata.

Questa condizione funziona solo per i predefinitiURLs.

In Signature Version 4, la chiave di firma è valida per un massimo di sette giorni. Pertanto, anche le firme sono valide per un massimo di sette giorni. Per ulteriori informazioni, consulta Introduzione alle richieste di firma in Amazon Simple Storage Service API Reference. Puoi utilizzare questa condizione per limitare ulteriormente la durata della firma.

Valore di esempio: 600000

s3-outposts:x-amz-content-sha256

Questa chiave di condizione può essere utilizzata per non consentire contenuti non firmati nel bucket.

Quando utilizzi Signature Version 4, per le richieste che utilizzano l'intestazione Authorization, aggiungi l'intestazione x-amz-content-sha256 nel calcolo della firma e quindi imposti il suo valore sul payload hash.

Questa chiave di condizione può essere utilizzata nella policy del bucket per negare qualsiasi caricamento in cui i payload non sono firmati. Per esempio:

  • Nega i caricamenti che utilizzano l'intestazione Authorization per autenticare le richieste ma non firmare il payload. Per ulteriori informazioni, consulta Trasferimento del payload in a single chunk in Amazon Simple Storage Service Reference. API

  • Nega i caricamenti che utilizzano presigned. URLs I predefiniti hanno sempre un. URLs UNSIGNED_PAYLOAD Per ulteriori informazioni, consulta la sezione Autenticazione delle richieste e dei metodi di autenticazione nell'Amazon Simple Storage Service API Reference.

Valore valido: UNSIGNED-PAYLOAD

Esempi di policy del bucket che utilizzano chiavi di condizione relative a Signature Version 4

Per utilizzare i seguenti esempi, sostituisci il segnaposti di input dall'utente con le tue informazioni.

Esempio : s3-outposts:signatureAge

La seguente policy bucket nega qualsiasi URL richiesta prefirmata S3 on Outposts sugli oggetti example-outpost-bucket se la firma risale a più di 10 minuti. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}
Esempio : s3-outposts:authType

La seguente policy del bucket consente solo le richieste che utilizzano l'intestazione Authorization per l'autenticazione della richiesta. Qualsiasi URL richiesta prefirmata verrà rifiutata poiché prefirmata URLs utilizza i parametri di interrogazione per fornire informazioni sulla richiesta e sull'autenticazione. Per ulteriori informazioni, consulta Metodi di autenticazione in Amazon Simple Storage Service API Reference.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Allow only requests that use the Authorization header for request authentication. Deny presigned URL requests.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringNotEquals": {
                           "s3-outposts:authType": "REST-HEADER"
                     }
               }
         }
   ]
}
Esempio : s3-outposts:x-amz-content-sha256

La seguente policy sui bucket vieta qualsiasi caricamento con payload non firmati, ad esempio caricamenti che utilizzano presigned. URLs Per ulteriori informazioni, consulta la sezione Autenticazione delle richieste e dei metodi di autenticazione nell'Amazon Simple Storage Service API Reference.

{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Deny uploads with unsigned payloads.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringEquals": {
                           "s3-outposts:x-amz-content-sha256": "UNSIGNED-PAYLOAD"
                     }
               }
         }
   ]
}