Konfigurieren des Caches für Autorisierungs- und Authentifizierungsdaten Validieren der SigV4a-Signatur

Caching von Autorisierungs- und Authentifizierungsdaten

S3 on Outposts speichert Authentifizierungs- und Autorisierungsdaten sicher lokal in Outposts-Racks. Der Cache macht Roundtrips zur übergeordneten AWS-Region für jede einzelne Anforderung unnötig. Dies beseitigt die Variabilität, die durch Netzwerk-Roundtrips entsteht. Der Cache für Authentifizierungs- und Autorisierungsdaten in S3 on Outposts sorgt für konsistente Latenzen, die nicht von der Latenz der Verbindung zwischen den Outposts und der AWS-Region abhängen.

Wenn Sie in S3 on Outposts eine API-Anforderung stellen, werden die Authentifizierungs- und Autorisierungsdaten sicher zwischengespeichert. Die zwischengespeicherten Daten werden dann verwendet, um nachfolgende API-Anforderungen für S3-Objekte zu authentifizieren. S3 on Outposts speichert nur Authentifizierungs- und Autorisierungsdaten im Cache, wenn die Anforderung mit Signature Version 4A (SigV4A) signiert ist. Der Cache wird lokal in den Outposts innerhalb von S3 on Outposts gespeichert. Er wird asynchron aktualisiert, wenn Sie eine S3-API-Anforderung stellen. Der Cache ist verschlüsselt und es werden keine kryptografischen Klartextschlüssel in Outposts gespeichert.

Der Cache ist bis zu 10 Minuten lang gültig, wenn der Outpost mit der AWS-Region verbunden ist. Er wird asynchron aktualisiert, wenn Sie eine API-Anforderung in S3 on Outposts stellen, damit auch sicher die neuesten Richtlinien verwendet werden. Wird der Outpost von der AWS-Region getrennt, bleibt der Cache bis zu 12 Stunden lang gültig.

Konfigurieren des Caches für Autorisierungs- und Authentifizierungsdaten

S3 on Outposts speichert Authentifizierungs- und Autorisierungsdaten für Anforderungen, die mit dem SigV4A-Algorithmus signiert wurden, automatisch im Cache. Weitere Informationen finden Sie im AWS Identity and Access Management-Benutzerhandbuch unter Signieren von AWS-API-Anforderungen. Der SigV4A-Algorithmus ist in den neuesten Versionen der AWS-SDKs verfügbar. Sie können ihn über eine Abhängigkeit aus den Bibliotheken von AWS Common Runtime (CRT) abrufen.

Es ist wichtig, dass Sie die neueste Version des AWS-SDKs verwenden und die neueste Version von CRT installieren. Sie können beispielsweise pip install awscrt ausführen, um die neueste Version von CRT mit Boto3 zu erhalten.

S3 on Outposts speichert Authentifizierungs- und Autorisierungsdaten für Anforderungen, die mit dem SigV4-Algorithmus signiert wurden, nicht im Cache.

Validieren der SigV4a-Signatur

Sie können AWS CloudTrail verwenden, um zu überprüfen, ob Anforderungen mit SigV4a signiert wurden. Weitere Informationen zur Einrichtung von CloudTrail für S3 on Outposts finden Sie unter Überwachen von S3 on Outposts mit Protokollen in AWS CloudTrail.

Sobald Sie CloudTrail konfiguriert haben, können Sie im Feld SignatureVersion der CloudTrail-Protokolle überprüfen, wie eine Anforderung signiert wurde. Für Anforderungen, die mit SigV4a signiert wurden, lautet der Wert für SignatureVersion AWS4-ECDSA-P256-SHA256. Für Anforderungen, die mit SigV4 signiert wurden, lautet der Wert für SignatureVersion AWS4-HMAC-SHA256.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon S3 on Outposts mit lokalem Amazon EMR

Sicherheit