Exemplos de política de bucket que usam chaves de condição relacionadas ao Signature Version 4

Chaves de política específicas de autenticação do AWS Signature Version 4 (SigV4)

A tabela a seguir mostra as chaves de condição relacionadas à autenticação com o AWS Signature Version 4 (SigV4) que você pode usar com o Amazon S3 no Outposts. Em uma política de bucket, você pode adicionar essas condições para aplicar um comportamento específico quando as solicitações forem autenticadas usando o Signature Version 4. Para obter exemplos de políticas, consulte Exemplos de política de bucket que usam chaves de condição relacionadas ao Signature Version 4. Consulte mais informações sobre como autenticar solicitações usando o Signature versão 4 em Authenticating requests (AWS Signature Version 4) na Referência de API do Amazon Simple Storage Service

Chaves aplicáveis Descrição

Chaves aplicáveis	Descrição
`s3-outposts:authType`	O S3 no Outposts é compatível com vários métodos de autenticação. Você pode usar essa chave de condição opcional para restringir as solicitações recebidas a usar um método específico de autenticação. Por exemplo, é possível usar essa chave de condição para permitir que somente o cabeçalho HTTP `Authorization` seja usado na autenticação de solicitação. Valores válidos: `REST-HEADER` `REST-QUERY-STRING`
`s3-outposts:signatureAge`	A duração em milissegundos da validade de uma assinatura em uma solicitação autenticada. Essa condição funciona somente para URLs pré-assinados. No Signature Version 4, a chave de assinatura é válida por até 7 dias. Portanto, as assinaturas também são válidas por até 7 dias. Para obter mais informações, consulte Introduction to signing requests (Introdução à assinatura de solicitações) na Referência de API do Amazon Simple Storage Service. Você pode usar essa condição para limitar ainda mais a idade da assinatura. Valor de exemplo: `600000`
`s3-outposts:x-amz-content-sha256`	É possível usar essa chave de condição para proibir conteúdo não assinado em seu bucket. Ao usar o Signature Version 4, para solicitações que usem o cabeçalho `Authorization`, você adiciona o cabeçalho `x-amz-content-sha256` no cálculo da assinatura e, em seguida, defina seu valor para a carga útil do hash. Você pode usar essa chave de condição em sua política de bucket para negar qualquer upload cujas cargas úteis não estejam assinadas. Por exemplo: Negar uploads que usem o cabeçalho `Authorization` para autenticar solicitações mas não assinem a carga útil. Para obter mais informações, consulte Transferring payload in a single chunk (Transferência de carga útil em um único bloco) na Referência de API do Amazon Simple Storage Service. Negar uploads que usam URLs pré-assinados. Os URLs pré-assinados sempre têm um `UNSIGNED_PAYLOAD`. Para obter mais informações, consulte Authenticating requests (Autenticação de solicitações) e Authentication methods (Métodos de autenticação) na Referência de API do Amazon Simple Storage Service. Valor válido: `UNSIGNED-PAYLOAD`

s3-outposts:authType

O S3 no Outposts é compatível com vários métodos de autenticação. Você pode usar essa chave de condição opcional para restringir as solicitações recebidas a usar um método específico de autenticação. Por exemplo, é possível usar essa chave de condição para permitir que somente o cabeçalho HTTP Authorization seja usado na autenticação de solicitação.

Valores válidos:

REST-HEADER

REST-QUERY-STRING

s3-outposts:signatureAge

A duração em milissegundos da validade de uma assinatura em uma solicitação autenticada.

Essa condição funciona somente para URLs pré-assinados.

No Signature Version 4, a chave de assinatura é válida por até 7 dias. Portanto, as assinaturas também são válidas por até 7 dias. Para obter mais informações, consulte Introduction to signing requests (Introdução à assinatura de solicitações) na Referência de API do Amazon Simple Storage Service. Você pode usar essa condição para limitar ainda mais a idade da assinatura.

Valor de exemplo: 600000

s3-outposts:x-amz-content-sha256

É possível usar essa chave de condição para proibir conteúdo não assinado em seu bucket.

Ao usar o Signature Version 4, para solicitações que usem o cabeçalho Authorization, você adiciona o cabeçalho x-amz-content-sha256 no cálculo da assinatura e, em seguida, defina seu valor para a carga útil do hash.

Você pode usar essa chave de condição em sua política de bucket para negar qualquer upload cujas cargas úteis não estejam assinadas. Por exemplo:

Negar uploads que usem o cabeçalho Authorization para autenticar solicitações mas não assinem a carga útil. Para obter mais informações, consulte Transferring payload in a single chunk (Transferência de carga útil em um único bloco) na Referência de API do Amazon Simple Storage Service.
Negar uploads que usam URLs pré-assinados. Os URLs pré-assinados sempre têm um UNSIGNED_PAYLOAD. Para obter mais informações, consulte Authenticating requests (Autenticação de solicitações) e Authentication methods (Métodos de autenticação) na Referência de API do Amazon Simple Storage Service.

Valor válido: UNSIGNED-PAYLOAD

Exemplos de política de bucket que usam chaves de condição relacionadas ao Signature Version 4

Para usar os exemplos a seguir, substitua user input placeholders por suas próprias informações.

exemplo : `s3-outposts:signatureAge`

A política de bucket a seguir nega qualquer solicitação de URL pré-assinado do S3 no Outposts em objetos em example-outpost-bucket se a assinatura tiver mais de 10 minutos de idade.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Deny a presigned URL request if the signature is more than 10 minutes old",
            "Effect": "Deny",
            "Principal": {"AWS":"444455556666"},
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
            "Condition": {
                "NumericGreaterThan": {"s3-outposts:signatureAge": 600000},
                "StringEquals": {"s3-outposts:authType": "REST-QUERY-STRING"}
            }
        }
    ]
}

exemplo : `s3-outposts:authType`

A política de bucket a seguir permite somente solicitações que usem o cabeçalho Authorization para autenticação de solicitação. Todas as solicitações de URL pré-assinado serão negadas, pois os URLs pré-assinados usam parâmetros de consulta para fornecer informações de solicitação e autenticação. Para obter mais informações, consulte Authentication methods (Métodos de autenticação) na Referência de API do Amazon Simple Storage Service.


{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Allow only requests that use the Authorization header for request authentication. Deny presigned URL requests.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringNotEquals": {
                           "s3-outposts:authType": "REST-HEADER"
                     }
               }
         }
   ]
}

exemplo : `s3-outposts:x-amz-content-sha256`

A política de bucket a seguir nega qualquer upload com cargas úteis não assinadas, como uploads que estejam usando URLs pré-assinados. Para obter mais informações, consulte Authenticating requests (Autenticação de solicitações) e Authentication methods (Métodos de autenticação) na Referência de API do Amazon Simple Storage Service.


{
   "Version": "2012-10-17",
   "Statement": [
         {
               "Sid": "Deny uploads with unsigned payloads.",
               "Effect": "Deny",
               "Principal": {"AWS":"111122223333"},
               "Action": "s3-outposts:*",
               "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket/object/*",
               "Condition": {
                     "StringEquals": {
                           "s3-outposts:x-amz-content-sha256": "UNSIGNED-PAYLOAD"
                     }
               }
         }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS PrivateLink para S3 on Outposts

Políticas gerenciadas pela AWS

Chaves de política específicas de autenticação do AWS Signature Version 4 (SigV4)

Exemplos de política de bucket que usam chaves de condição relacionadas ao Signature Version 4

exemplo : s3-outposts:signatureAge

exemplo : s3-outposts:authType

exemplo : s3-outposts:x-amz-content-sha256

exemplo : `s3-outposts:signatureAge`

exemplo : `s3-outposts:authType`

exemplo : `s3-outposts:x-amz-content-sha256`