使用 CreateSession 授權區域端點 API 操作 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CreateSession 授權區域端點 API 操作

若要使用 CopyObjectHeadBucket 以外的區域端點 API 操作 (物件層級或資料平面操作),您可以使用 CreateSession API 操作來建立和管理工作階段,這些工作階段經過最佳化,可提供低延遲的資料請求授權。若要擷取和使用工作階段權杖,您必須在身分型政策或儲存貯體政策中允許目錄儲存貯體的 s3express:CreateSession 動作。如需詳細資訊,請參閱使用 IAM 授權地區端點 API 操作。如果您在 Amazon S3 主控台中存取 S3 Express One Zone、透過 AWS Command Line Interface (AWS CLI) 或使用 AWS SDKs,S3 Express One Zone 會代表您建立工作階段。 Amazon S3

如果您使用 Amazon S3 REST API,則可以使用 CreateSession API 操作來取得包含存取金鑰 ID、私密存取金鑰、工作階段權杖和到期時間的臨時安全憑證。臨時憑證提供的許可與長期安全憑證相同,例如 IAM 使用者憑證,但臨時安全憑證必須包含工作階段權杖。

工作階段模式

工作階段模式會定義工作階段的範圍。在儲存貯體政策中,您可以指定 s3express:SessionMode 條件索引鍵來控制哪些人能夠建立 ReadWriteReadOnly 工作階段。如需有關 ReadWriteReadOnly 工作階段的詳細資訊,請參閱《Amazon S3 API 參考》CreateSessionx-amz-create-session-mode 參數。如需有關要建立的儲存貯體政策的詳細資訊,請參閱 目錄儲存貯體的範例儲存貯體政策

工作階段權杖

當您使用臨時安全憑證進行呼叫時,呼叫必須包含工作階段權杖。工作階段權杖會隨臨時憑證一併傳回。工作階段權杖的範圍設定為目錄儲存貯體,並用來驗證安全憑證有效且未過期。為保護您的工作階段,臨時安全憑證會在 5 分鐘後過期。

CopyObjectHeadBucket

臨時安全憑證的範圍設定為特定目錄儲存貯體,並且會自動針對所指目錄儲存貯體的所有區域 (物件層級) 操作業 API 呼叫啟用。與其他區域端點 API 操作不同的是,CopyObjectHeadBucket 不使用 CreateSession 身分驗證。所有 CopyObjectHeadBucket 請求都必須使用 IAM 憑證進行驗證和簽署。但是,CopyObjectHeadBucket 仍像其他區域端點 API 操作一樣,由 s3express:CreateSession 進行授權。

如需詳細資訊,請參閱 Amazon Simple Storage Service API 參考中的 CreateSession