用 Amazon Web Services 进行云计算，第 2 部分: 用 Amazon Simple Storage Service (S3) 在云中存储数据

核心提示： 身份验证确保请求是由拥有 bucket 或对象的用户发出的，每个 S3 请求必须包含惟一地标识用户的 Amazon Web Services 访问键，用 Amazon Web Services 进行云计算，第 2 部分: 用 Amazon Simple Storage Service (S3)

身份验证确保请求是由拥有 bucket 或对象的用户发出的。每个 S3 请求必须包含惟一地标识用户的 Amazon Web Services 访问键。授权确保试图访问资源的用户具有所需的权限。每个 S3 对象有一个相关联的访问控制列表 (ACL)，ACL 显式地指定此资源的授权。可以把访问权授予所有 Amazon Web Services 用户，或根据电子邮件地址授予某个用户，还可以把匿名访问权授予任何用户。完整性每个 S3 请求必须由发出请求的用户用 Amazon Web Services 密钥进行数字签名。在收到请求时，S3 会检查签名以确保请求没有在传输过程中被篡改。加密可以通过 HTTPS 协议访问 S3，从而确保通过加密的连接传输数据。不可否认每个 S3 请求都包含时间戳，以此作为事务的证据。

对 S3 的每个 REST 请求必须经历下面的标准步骤以确保安全性：

必须把请求和所需的所有参数组合为一个字符串。

必须使用 Amazon Web Services 密钥创建请求字符串的 Hash Message Authentication Code (HMAC) 签名散列值。

把这个计算出的签名本身作为参数添加到请求中。

然后把请求发给 Amazon S3。

Amazon S3 检查提供的签名是否是请求的有效 HMAC 散列值。

只有在签名有效时，Amazon S3 才会处理这个请求。

Amazon Web Services 和 S3 入门

要想开始使用 S3，需要注册一个 Amazon Web Services 账户。您会得到一个 Amazon Web Services 账号、安全访问密钥以及 x.509 安全证书，在开始使用各种库和工具与 S3 通信时需要这些密钥和安全证书。

与任何 Amazon Web Services 的所有通信都要通过 SOAP 接口或查询/REST 接口。通过这两个接口发送的请求消息必须由发送请求的用户进行数字签名，从而确保消息没有在传输过程中被篡改，并确保它们确实来自发送请求的用户。这是 Amazon Web Services API 使用过程的最基本部分。每个请求必须 进行数字签名并把签名附加到请求上。