Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengautentikasi dan mengotorisasi permintaan
Secara default, bucket direktori bersifat pribadi dan hanya dapat diakses oleh pengguna yang secara eksplisit diberikan akses. Batas kontrol akses untuk bucket direktori hanya diatur pada tingkat bucket. Sebaliknya, batas kontrol akses untuk bucket tujuan umum dapat diatur pada tingkat bucket, prefiks, atau tag objek. Perbedaan ini berarti bucket direktori adalah satu-satunya sumber daya yang dapat Anda sertakan dalam kebijakan bucket atau kebijakan identitas IAM untuk akses S3 Express One Zone.
Amazon S3 Express One Zone mendukung otorisasi AWS Identity and Access Management (AWS IAM) dan otorisasi berbasis sesi:
-
Untuk menggunakan operasi API titik akhir Regional (operasi tingkat ember, atau bidang kontrol) dengan S3 Express One Zone, Anda menggunakan model otorisasi IAM, yang tidak melibatkan manajemen sesi. Izin diberikan untuk tindakan yang dilakukan secara individual. Untuk informasi selengkapnya, lihat Mengotorisasi operasi API endpoint Regional dengan IAM.
-
Untuk menggunakan operasi API titik akhir Zonal (operasi tingkat objek, atau bidang data), kecuali untuk
CopyObjectdanHeadBucket, Anda menggunakan operasiCreateSessionAPI untuk membuat dan mengelola sesi yang dioptimalkan untuk otorisasi permintaan data latensi rendah. Untuk mengambil dan menggunakan token sesi, Anda harus mengizinkan tindakans3express:CreateSessionuntuk bucket direktori Anda dalam kebijakan berbasis identitas atau kebijakan bucket. Untuk informasi selengkapnya, lihat Mengotorisasi operasi API endpoint Regional dengan IAM. Jika Anda mengakses S3 Express One Zone di konsol Amazon S3, melalui AWS Command Line Interface AWS CLI(), atau dengan menggunakan, S3 Express One Zone membuat sesi AWS SDKs atas nama Anda.
Dengan operasi CreateSession API, Anda mengautentikasi dan mengotorisasi permintaan melalui mekanisme berbasis sesi baru. Anda dapat menggunakan CreateSession untuk meminta kredensial sementara yang menyediakan akses latensi rendah ke bucket Anda. Kredensial sementara ini dicakup ke bucket direktori tertentu.
Untuk bekerja denganCreateSession, kami sarankan menggunakan versi terbaru dari AWS SDKs atau menggunakan AWS Command Line Interface (AWS CLI). Pembentukan sesi yang didukung AWS SDKs dan AWS CLI menangani, penyegaran, dan penghentian atas nama Anda.
Anda menggunakan token sesi dengan operasi Zona (tingkat objek) saja (kecuali untuk CopyObject danHeadBucket) untuk mendistribusikan latensi yang terkait dengan otorisasi atas sejumlah permintaan dalam sesi. Untuk operasi API titik akhir Regional (operasi tingkat bucket), Anda menggunakan otorisasi IAM, yang tidak melibatkan pengelolaan sesi. Untuk informasi selengkapnya, lihat Mengotorisasi operasi API endpoint Regional dengan IAM dan Mengotorisasi operasi API titik akhir Zonal dengan CreateSession.
Bagaimana operasi API diautentikasi dan diotorisasi
Tabel berikut mencantumkan informasi autentikasi dan otorisasi untuk operasi API bucket direktori. Untuk setiap operasi API, tabel menunjukkan nama operasi API, tindakan kebijakan IAM, tipe titik akhir (Regional atau Zonal), dan mekanisme otorisasi (IAM atau berbasis sesi). Tabel ini juga menunjukkan apakah akses lintas akun didukung. Akses ke tindakan tingkat bucket dapat diberikan hanya dalam kebijakan berbasis identitas IAM (pengguna atau peran), bukan kebijakan bucket.
| API | Jenis titik akhir | Tindakan IAM | Akses lintas akun |
|---|---|---|---|
CreateBucket |
Regional | s3express:CreateBucket |
Tidak |
DeleteBucket |
Regional | s3express:DeleteBucket |
Tidak |
ListDirectoryBuckets |
Regional | s3express:ListAllMyDirectoryBuckets |
Tidak |
PutBucketPolicy |
Regional | s3express:PutBucketPolicy |
Tidak |
GetBucketPolicy |
Regional | s3express:GetBucketPolicy |
Tidak |
DeleteBucketPolicy |
Regional | s3express:DeleteBucketPolicy |
Tidak |
CreateSession |
Zona | s3express:CreateSession |
Ya |
CopyObject |
Zona | s3express:CreateSession |
Ya |
DeleteObject |
Zona | s3express:CreateSession |
Ya |
DeleteObjects |
Zona | s3express:CreateSession |
Ya |
HeadObject |
Zona | s3express:CreateSession |
Ya |
PutObject |
Zona | s3express:CreateSession |
Ya |
GetObjectAttributes |
Zona | s3express:CreateSession |
Ya |
ListObjectsV2 |
Zona | s3express:CreateSession |
Ya |
HeadBucket |
Zona | s3express:CreateSession |
Ya |
CreateMultipartUpload |
Zona | s3express:CreateSession |
Ya |
UploadPart |
Zona | s3express:CreateSession |
Ya |
UploadPartCopy |
Zona | s3express:CreateSession |
Ya |
CompleteMultipartUpload |
Zona | s3express:CreateSession |
Ya |
AbortMultipartUpload |
Zona | s3express:CreateSession |
Ya |
ListParts |
Zona | s3express:CreateSession |
Ya |
ListMultipartUploads |
Zona | s3express:CreateSession |
Ya |
ListAccessPointsForDirectoryBuckets |
Zona | s3express:ListAccessPointsForDirectoryBuckets |
Ya |
GetAccessPointScope |
Zona | s3express:GetAccessPointScope |
Ya |
PutAccessPointScope |
Zona | s3express:PutAccessPointScope |
Ya |
DeleteAccessPointScope |
Zona | s3express:DeleteAccessPointScope |
Ya |
Topik
