Configuration du cache d’autorisation et d’authentification Validation de la signature SigV4A

Mise en cache d’autorisation et d’authentification

S3 sur Outposts met en cache de manière sécurisée les données d’authentification et d’autorisation localement sur les racks Outposts. Le cache supprime les allers-retours vers la Région AWS parente pour chaque demande. Cela élimine la variabilité introduite par les allers-retours réseau. Avec le cache d’authentification et d’autorisation dans S3 sur Outposts, vous obtenez des latences constantes indépendantes de la latence de la connexion entre les Outposts et la Région AWS.

Lorsque vous effectuez une demande d’API S3 sur Outposts, les données d’authentification et d’autorisation sont mises en cache de manière sécurisée. Les données mises en cache sont ensuite utilisées pour authentifier les demandes d’API d’objet S3 suivantes. S3 sur Outposts met en cache uniquement les données d’authentification et d’autorisation lorsque la demande est signée à l’aide de Signature Version 4A (SigV4A). Le cache est stocké localement sur les Outposts au sein du service S3 sur Outposts. Il est actualisé de manière asynchrone lorsque vous effectuez une demande d’API S3. Le cache est chiffré et aucune clé cryptographique en texte brut n’est stockée sur Outposts.

Le cache est valide pendant un maximum de 10 minutes lorsque l’Outpost est connecté à la Région AWS. Il est actualisé de manière asynchrone lorsque vous effectuez une demande d’API S3 sur Outposts, afin de garantir l’utilisation des politiques les plus récentes. Si l’Outpost est déconnecté de la Région AWS, le cache reste valide pendant 12 heures au maximum.

Configuration du cache d’autorisation et d’authentification

S3 sur Outposts met automatiquement en cache les données d’authentification et d’autorisation pour les demandes signées avec l’algorithme SigV4A. Pour plus d’informations, consultez Signature des demandes d’API AWS dans le Guide de l’utilisateur Gestion des identités et des accès AWS. L’algorithme SigV4A est disponible dans les dernières versions des kits AWS SDK. Vous pouvez l’obtenir via une dépendance aux bibliothèques AWS CRT (Common Runtime).

Vous devez utiliser la version la plus récente du kit AWS SDK et installer la version la plus récente du CRT. Par exemple, vous pouvez exécuter pip install awscrt pour obtenir la version la plus récente du CRT avec Boto3.

S3 sur Outposts ne met pas en cache les données d’authentification et d’autorisation pour les demandes signées avec l’algorithme SigV4.

Validation de la signature SigV4A

Vous pouvez utiliser AWS CloudTrail pour valider le fait que les demandes ont été signées avec SigV4A. Pour plus d’informations sur la configuration de CloudTrail pour S3 sur Outposts, consultez Surveillance de S3 sur Outposts avec des journaux AWS CloudTrail.

Après avoir configuré CloudTrail, vous pouvez vérifier comment une demande a été signée dans le champ SignatureVersion des journaux CloudTrail. Les demandes signées avec SigV4A ont un paramètre SignatureVersion défini sur AWS4-ECDSA-P256-SHA256. Les demandes signées avec SigV4 ont un paramètre SignatureVersion défini sur AWS4-HMAC-SHA256.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon S3 sur Outposts avec Amazon EMR local

Sécurité