Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification et autorisation des demandes
Par défaut, les compartiments de répertoires sont privés et sont accessibles uniquement par les utilisateurs auxquels l’accès a été explicitement accordé. La limite de contrôle d’accès pour les compartiments de répertoires est définie uniquement au niveau compartiment. En revanche, la limite de contrôle d’accès pour les compartiments à usage général peut être définie au niveau des compartiments, du préfixe ou de la balise d’objet. Cette différence signifie que les compartiments de répertoires sont la seule ressource que vous pouvez inclure dans les politiques de compartiment ou les politiques d’identité IAM pour accéder à S3 Express One Zone.
Amazon S3 Express One Zone prend en charge à la fois l'autorisation AWS Identity and Access Management (AWS IAM) et l'autorisation basée sur les sessions :
-
Pour utiliser les opérations d’API de point de terminaison régional (opérations au niveau des compartiments ou du plan de contrôle) avec S3 Express One Zone, vous utilisez le modèle d’autorisation IAM, qui n’implique aucune gestion des sessions. Les autorisations sont accordées pour les actions, de façon individuelle. Pour de plus amples informations, veuillez consulter Autorisation des opérations d’API de point de terminaison régional avec IAM.
-
Pour utiliser les opérations d’API de point de terminaison zonal (opérations de niveau objet ou plan de données), à l’exception de
CopyObjectet deHeadBucket, utilisez l’opération d’APICreateSessionpour créer et gérer des sessions optimisées afin d’autoriser les demandes de données à faible latence. Pour récupérer et utiliser un jeton de session, vous devez autoriser l’actions3express:CreateSessionpour votre compartiment de répertoires dans une politique basée sur l’identité ou une politique de compartiment. Pour de plus amples informations, veuillez consulter Autorisation des opérations d’API de point de terminaison régional avec IAM. Si vous accédez à S3 Express One Zone dans la console Amazon S3, via le AWS Command Line Interface (AWS CLI), ou en utilisant le AWS SDKs, S3 Express One Zone crée une session en votre nom.
L’opération d’API CreateSessionvous permet d’authentifier et d’autoriser les demandes par le biais d’un nouveau mécanisme basé sur les sessions. Vous pouvez utiliser CreateSession pour demander des informations d’identification temporaires afin de bénéficier d’un accès à faible latence à votre compartiment. Ces informations d’identification temporaires sont limitées à un compartiment de répertoires spécifique.
Pour travailler avecCreateSession, nous vous recommandons d'utiliser la dernière version du AWS SDKs ou d'utiliser le AWS Command Line Interface (AWS CLI). L'établissement, le rafraîchissement AWS SDKs et la AWS CLI résiliation des sessions pris en charge et gérés en votre nom.
Vous utilisez des jetons de session avec uniquement des opérations zonales (niveau objet) (à l’exception de CopyObject et HeadBucket) pour répartir la latence associée à l’autorisation sur un certain nombre de demandes dans une session. Pour les opérations d’API de point de terminaison régional (opérations de niveau compartiment), vous utilisez l’autorisation IAM, qui n’implique pas la gestion d’une session. Pour plus d’informations, consultez Autorisation des opérations d’API de point de terminaison régional avec IAM et Autorisation des opérations d’API de point de terminaison zonal avec CreateSession.
Comment les opérations d’API sont autorisées et authentifiées
Le tableau suivant répertorie les informations d’autorisation et d’authentification pour les opérations d’API des compartiments de répertoires. Pour chaque opération d’API, le tableau indique le nom de l’opération d’API, l’action de politique IAM, le type de point de terminaison (régional ou zonal) et le mécanisme d’autorisation (IAM ou basé sur une session). Ce tableau indique également les endroits où l’accès intercompte est pris en charge. L’accès aux actions de niveau compartiment peut être accordé uniquement dans des politiques basées sur l’identité IAM (utilisateur ou rôle), et non pas dans des politiques de compartiment.
| « Hello, World! » | Type de point de terminaison | Action IAM | Accès intercomptes |
|---|---|---|---|
CreateBucket |
Régional | s3express:CreateBucket |
Non |
DeleteBucket |
Régional | s3express:DeleteBucket |
Non |
ListDirectoryBuckets |
Régional | s3express:ListAllMyDirectoryBuckets |
Non |
PutBucketPolicy |
Régional | s3express:PutBucketPolicy |
Non |
GetBucketPolicy |
Régional | s3express:GetBucketPolicy |
Non |
DeleteBucketPolicy |
Régional | s3express:DeleteBucketPolicy |
Non |
CreateSession |
Zonal | s3express:CreateSession |
Oui |
CopyObject |
Zonal | s3express:CreateSession |
Oui |
DeleteObject |
Zonal | s3express:CreateSession |
Oui |
DeleteObjects |
Zonal | s3express:CreateSession |
Oui |
HeadObject |
Zonal | s3express:CreateSession |
Oui |
PutObject |
Zonal | s3express:CreateSession |
Oui |
GetObjectAttributes |
Zonal | s3express:CreateSession |
Oui |
ListObjectsV2 |
Zonal | s3express:CreateSession |
Oui |
HeadBucket |
Zonal | s3express:CreateSession |
Oui |
CreateMultipartUpload |
Zonal | s3express:CreateSession |
Oui |
UploadPart |
Zonal | s3express:CreateSession |
Oui |
UploadPartCopy |
Zonal | s3express:CreateSession |
Oui |
CompleteMultipartUpload |
Zonal | s3express:CreateSession |
Oui |
AbortMultipartUpload |
Zonal | s3express:CreateSession |
Oui |
ListParts |
Zonal | s3express:CreateSession |
Oui |
ListMultipartUploads |
Zonal | s3express:CreateSession |
Oui |
ListAccessPointsForDirectoryBuckets |
Zonal | s3express:ListAccessPointsForDirectoryBuckets |
Oui |
GetAccessPointScope |
Zonal | s3express:GetAccessPointScope |
Oui |
PutAccessPointScope |
Zonal | s3express:PutAccessPointScope |
Oui |
DeleteAccessPointScope |
Zonal | s3express:DeleteAccessPointScope |
Oui |
Rubriques
