CreateSession authorization - Amazon Simple Storage Service

CreateSession authorization

A classe Amazon S3 Express One Zone oferece suporte à autorização do AWS Identity and Access Management (AWS IAM) e à autorização baseada em sessão:

  • Para usar as operações de API do endpoint regional (operações em nível de bucket ou ambiente de gerenciamento) com a classe S3 Express One Zone, use o modelo de autorização do IAM, que não envolve gerenciamento de sessões. As permissões são concedidas individualmente para as ações. Para ter mais informações, consulte AWS Identity and Access Management (IAM) para a classe S3 Express One Zone.

  • Para usar as operações de API do endpoint zonal (operações em nível de objeto ou plano de dados), use a operação de API CreateSession para criar e gerenciar sessões otimizadas para autorização de solicitações de dados com baixa latência. Para recuperar e usar um token de sessão, você deve permitir a ação s3express:CreateSession para o bucket de diretório em uma política baseada em identidade ou em uma política de bucket. Para ter mais informações, consulte AWS Identity and Access Management (IAM) para a classe S3 Express One Zone. Se você acessar a classe S3 Express One Zone pelo console do Amazon S3, pela AWS Command Line Interface (AWS CLI) ou usando os AWS SDKs, a classe S3 Express One Zone criará uma sessão em seu nome.

Se você usar a API REST do Amazon S3, poderá usar a operação de API CreateSession para obter credenciais de segurança temporárias que incluem um ID de chave de acesso, uma chave de acesso secreta, um token de sessão e um prazo de expiração. As credenciais temporárias fornecem as mesmas permissões que as credenciais de segurança de longo prazo, como as credenciais de usuário do IAM, mas as credenciais de segurança temporárias precisam incluir um token de sessão.

Modo de sessão

O modo de sessão define o escopo da sessão. Na política de bucket, você pode especificar a chave de condição s3express:SessionMode para controlar quem pode criar uma sessão de ReadWrite ou ReadOnly. Para obter mais informações sobre sessões de ReadWrite ou ReadOnly, consulte o parâmetro x-amz-create-session-mode para CreateSession na Referência da API do Amazon S3. Para obter mais informações sobre a política de bucket que deve ser criada, consulte Exemplos de políticas de bucket de diretório para a classe S3 Express One Zone.

Token de sessão

Ao fazer uma chamada usando credenciais de segurança temporárias, ela deve incluir um token de sessão. O token de sessão é retornado junto com as credenciais temporárias. Um token de sessão tem como escopo o bucket de diretório e é usado para verificar se as credenciais de segurança são válidas e não expiraram. Para proteger as sessões, as credenciais de segurança temporárias expiram após 5 minutos.

CopyObject e HeadBucket

As credenciais de segurança temporárias têm como escopo um bucket de diretório específico e são habilitadas automaticamente para todas as chamadas de API de operação zonal (nível de objeto) para determinado bucket de diretório. Ao contrário de outras operações de API de endpoint zonal, CopyObject e HeadBucket não usam a autenticação de CreateSession. Todas as solicitações CopyObject e HeadBucket devem ser autenticadas e assinadas usando credenciais do IAM. No entanto, CopyObject e HeadBucket ainda são autorizados por s3express:CreateSession, como outras operações de API de endpoint zonal.

Para obter mais informações, consulte CreateSession na Referência da API do Amazon Simple Storage Service.