使用 授權區域端點API操作 CreateSession - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 授權區域端點API操作 CreateSession

若要使用區域端點API操作 (物件層級或資料平面操作),除了 CopyObject和 之外HeadBucket,您可以使用 CreateSessionAPI操作來建立和管理針對資料請求的低延遲授權最佳化的工作階段。若要擷取和使用工作階段權杖,您必須在身分型政策或儲存貯體政策中允許目錄儲存貯體的 s3express:CreateSession 動作。如需詳細資訊,請參閱APIs 使用 授權區域端點 IAM。如果您在 Amazon S3 主控台中存取 S3 Express One Zone,請透過 AWS Command Line Interface (AWS CLI) 或使用 AWS SDKs,S3 Express One Zone 會代表您建立工作階段。 Amazon S3

如果您使用 Amazon S3RESTAPI,則可以使用 CreateSessionAPI操作來取得暫時性安全憑證,其中包含存取金鑰 ID、秘密存取金鑰、工作階段權杖和過期時間。臨時憑證提供與長期安全憑證相同的許可,例如IAM使用者憑證,但臨時安全憑證必須包含工作階段權杖。

工作階段模式

工作階段模式會定義工作階段的範圍。在儲存貯體政策中,您可以指定 s3express:SessionMode 條件索引鍵來控制哪些人能夠建立 ReadWriteReadOnly 工作階段。如需 ReadWriteReadOnly工作階段的詳細資訊,請參閱 的 x-amz-create-session-mode 參數 CreateSessionAmazon S3 API參考 中。如需有關要建立的儲存貯體政策的詳細資訊,請參閱 S3 Express One Zone 的目錄儲存貯體政策範例

工作階段權杖

當您使用臨時安全憑證進行呼叫時,呼叫必須包含工作階段權杖。工作階段權杖會隨臨時憑證一併傳回。工作階段權杖的範圍設定為目錄儲存貯體,並用來驗證安全憑證有效且未過期。為保護您的工作階段,臨時安全憑證會在 5 分鐘後過期。

CopyObjectHeadBucket

暫時安全憑證範圍為特定目錄儲存貯體,並自動針對對指定目錄儲存貯體的所有區域 (物件層級) 操作API呼叫啟用。與其他區域端點API操作不同,CopyObjectHeadBucket請勿使用CreateSession身分驗證。所有 CopyObjectHeadBucket請求都必須使用 IAM憑證進行身分驗證和簽署。不過, CopyObjectHeadBucket 仍由 授權s3express:CreateSession,就像其他區域端點API操作一樣。

如需詳細資訊,請參閱 CreateSessionAmazon Simple Storage Service API參考 中。