Autorizzazione delle operazioni degli endpoint API zonali con CreateSession - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione delle operazioni degli endpoint API zonali con CreateSession

Per utilizzare le operazioni sugli endpoint zonali (APIoperazioni a livello di oggetto o sul piano dati), ad eccezione di CopyObject eHeadBucket, si utilizza l'CreateSessionAPIoperazione per creare e gestire sessioni ottimizzate per l'autorizzazione a bassa latenza delle richieste di dati. Per recuperare e utilizzare un token di sessione, occorre consentire l'azione s3express:CreateSession per il bucket di directory in una policy basata sull'identità o in una policy di bucket. Per ulteriori informazioni, consulta Autorizzazione dell'endpoint APIs regionale con IAM. Se accedi a S3 Express One Zone nella console Amazon S3, tramite AWS Command Line Interface AWS CLI() o utilizzando AWS SDKs, S3 Express One Zone crea una sessione per tuo conto.

Se utilizzi Amazon S3 RESTAPI, puoi quindi utilizzare l'CreateSessionAPIoperazione per ottenere credenziali di sicurezza temporanee che includono un ID chiave di accesso, una chiave di accesso segreta, un token di sessione e un'ora di scadenza. Le credenziali temporanee forniscono le stesse autorizzazioni delle credenziali di sicurezza a lungo termine, come le credenziali IAM utente, ma le credenziali di sicurezza temporanee devono includere un token di sessione.

Modalità sessione

Modalità sessione definisce l'ambito della sessione. Nella policy di bucket, puoi specificare la chiave di condizione s3express:SessionMode per controllare chi può creare una sessione ReadWrite o ReadOnly. Per ulteriori informazioni sulle nostre ReadOnly sessioni, vedete il ReadWrite parametro per x-amz-create-session-mode CreateSessionnel riferimento Amazon S3 API. Per ulteriori informazioni sulla policy di bucket da creare, consulta Esempi di politiche relative ai bucket per i bucket di directory.

Token di sessione

Quando effettui una chiamata utilizzando le credenziali di sicurezza temporanee, la chiamata deve includere un token di sessione. Il token di sessione viene restituito insieme alle credenziali temporanee. L'ambito di un token di sessione viene definito dal bucket di directory e il token di sessione viene utilizzato per verificare che le credenziali di sicurezza siano valide e non siano scadute. Per proteggere le sessioni, le credenziali di sicurezza temporanee scadono dopo 5 minuti.

CopyObject e HeadBucket

Le credenziali di sicurezza temporanee sono limitate a un bucket di directory specifico e vengono abilitate automaticamente per tutte le chiamate operative API Zonal (a livello di oggetto) a un determinato bucket di directory. A differenza di altre operazioni sugli endpoint API Zonal, non utilizzano l'autenticazione. CopyObject HeadBucket CreateSession Tutte le HeadBucket richieste devono essere autenticate CopyObject e firmate utilizzando le credenziali. IAM Tuttavia, CopyObject HeadBucket sono ancora autorizzate das3express:CreateSession, come altre operazioni sugli endpoint Zonal. API

Per ulteriori informazioni, consulta CreateSessionnell'Amazon Simple Storage Service API Reference.