# Autorización de operaciones de la API de puntos de conexión zonales con `CreateSession` Para utilizar operaciones de la API de puntos de conexión zonales (operaciones de objeto o plano de datos), excepto para `CopyObject` y `HeadBucket`, puede utilizar la operación de la API `CreateSession` para crear y administrar sesiones optimizadas para la autorización de solicitudes de datos con baja latencia. Para recuperar y usar un token de sesión, debe permitir la acción `s3express:CreateSession` para su bucket de directorio en una política basada en identidades o en una política de bucket. Para obtener más información, consulte [Autorización de API de puntos de conexión regionales con IAM](s3-express-security-iam.md). Si accede a S3 Express One Zone en la consola de Amazon S3, a través de AWS Command Line Interface (AWS CLI) o mediante los SDK de AWS, S3 Express One Zone crea una sesión en su nombre. No obstante, no puede modificar el parámetro `SessionMode` cuando utiliza la AWS CLI o los SDK de AWS. Si utiliza la API de REST de Amazon S3, podrá utilizar la operación de la API `CreateSession` para obtener credenciales de seguridad temporales que incluyan un ID de clave de acceso, una clave de acceso secreta, un token de sesión y una fecha de caducidad. Las credenciales temporales proporcionan los mismos permisos que las credenciales de seguridad a largo plazo, como las credenciales de usuario de IAM, pero deben incluir un token de sesión. **Modo Sesión** El modo Sesión define el alcance de la sesión. Si el modo de sesión no se especifica en la solicitud de la API CreateSession, la acción CreateSession intentará crear la sesión con el privilegio máximo permitido, intentando primero `ReadWrite` y, después, recurriendo a `ReadOnly` solo si las políticas no permiten `ReadWrite`. En la política de bucket, puede especificar la clave de condición `s3express:SessionMode` para controlar de forma explícita quién puede crear una sesión `ReadWrite` o `ReadOnly`. Para obtener más información sobre las sesiones `ReadWrite` o `ReadOnly`, consulte el parámetro `x-amz-create-session-mode` para [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) en la *Referencia de la API de Amazon S3*. Para obtener información acerca de la creación de una política de bucket, consulte [Ejemplo de políticas de bucket para buckets de directorio](s3-express-security-iam-example-bucket-policies.md). **Token de sesión** Cuando realice una llamada utilizando las credenciales de seguridad temporales, la llamada debe incluir un token de sesión. El token de sesión se devuelve junto con las credenciales temporales. El token de sesión se asigna a su bucket de directorio y se utiliza para comprobar que las credenciales de seguridad son válidas y no han caducado. Para proteger sus sesiones, las credenciales de seguridad temporales caducan a los 5 minutos. **`CopyObject` y `HeadBucket`** Las credenciales de seguridad temporales se asignan a un bucket de directorio específico y se habilitan automáticamente para todas las llamadas a la API de operaciones zonales (de nivel de objeto) en un bucket de directorio determinado. A diferencia de otras operaciones de la API de puntos de conexión zonales, `CopyObject` y `HeadBucket` no utilizan la autenticación `CreateSession`. Todas las solicitudes `CopyObject` y `HeadBucket` deben autenticarse y firmarse con credenciales de IAM. Sin embargo, `CopyObject` y `HeadBucket` siguen estando autorizadas por `s3express:CreateSession`, al igual que otras operaciones de la API de puntos de conexión zonales. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html) en la *Referencia de la API de Amazon Simple Storage Service*.