**此页面仅适用于使用文件库和 2012 年原始 REST API 的 Amazon Glacier 服务的现有客户。**

如果您正在寻找归档存储解决方案，建议使用 Amazon S3 中的 Amazon Glacier 存储类别 S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval 和 S3 Glacier Deep Archive。要了解有关这些存储选项的更多信息，请参阅 [Amazon Glacier 存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)。

Amazon Glacier（最初基于保管库的独立服务）不再接受新客户。Amazon Glacier 是一项独立的服务 APIs ，拥有自己的服务，可将数据存储在文件库中，不同于亚马逊 S3 和 Amazon S3 Glacier 存储类别。在 Amazon Glacier 中，您现有的数据将确保安全，并且可以无限期地访问。无需进行迁移。对于低成本、长期的存档存储， AWS 建议[使用 Amazon S3 Glacier 存储类别，这些存储类别](https://aws.amazon.com/s3/storage-classes/glacier/)基于S3存储桶 APIs、完全 AWS 区域 可用性、更低的成本和 AWS 服务集成，可提供卓越的客户体验。如果您希望加强功能，可以考虑使用我们的 [AWS 将数据从 Amazon Glacier 文件库传输到 Amazon S3 Glacier 存储类别的解决方案指南](https://aws.amazon.com/solutions/guidance/data-transfer-from-amazon-s3-glacier-vaults-to-amazon-s3/)，迁移到 Amazon S3 Glacier 存储类别。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 对请求进行签名
<a name="amazon-glacier-signing-requests"></a>

Amazon Glacier 要求通过对请求进行签名，验证所发送的每个请求的身份。您使用加密哈希函数计算数字签名，从而对请求签名。加密哈希是根据输入内容返回唯一哈希值的函数。对哈希函数的输入内容包括您的请求文本和秘密访问密钥。哈希函数返回哈希值，您将该值包含在请求中，作为签名。该签名是您的请求的 `Authorization` 标头的一部分。

收到您的请求后，Amazon Glacier 使用与您用于对该请求进行签名的相同哈希函数和输入重新计算签名。如果所得签名与该请求中的签名相匹配，则 Amazon Glacier 处理该请求。否则，请求将被拒绝。

Amazon Glacier 支持使用 [AWS 签名版本 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) 进行身份验证。计算签名的过程可分为三个任务：

 
+   [任务 1：创建规范请求](https://docs.aws.amazon.com/general/latest/gr/sigv4-create-canonical-request.html)

  将您的 HTTP 请求重新排列为规范格式。必须使用规范格式，因为 Amazon Glacier 在重新计算签名以与您发送的签名进行比较时使用同一规范格式。
+   [任务 2：创建待签字符串](https://docs.aws.amazon.com/general/latest/gr/sigv4-create-string-to-sign.html)

  创建一个字符串，将该字符串用作您的加密哈希函数输入值中的一项。该字符串称为*待签字符串*，是哈希算法名称、请求日期、*凭证范围*字符串以及来自上一任务的规范化请求的结合。*凭证范围*字符串本身就是日期、 AWS 区域和服务信息的串联。
+   [任务 3：创建签名](https://docs.aws.amazon.com/general/latest/gr/sigv4-calculate-signature.html)

  使用加密哈希函数为您的请求创建签名，该函数接受两种输入字符串：*待签字符串*和*派生密钥*。*派生密钥*的计算方法是从您的私有访问密钥开始，然后使用*凭证范围*字符串创建一系列基于哈希的消息身份验证代码 () HMACs。请注意，此签名步骤中使用的哈希函数不是 Amazon Glacier APIs 中用于上传数据的树形哈希算法。

**Topics**
+ [签名计算示例](#example-signature-calculation)
+ [为流式处理操作计算签名](#signature-calculation-streaming)

## 签名计算示例
<a name="example-signature-calculation"></a>

以下示例引导您了解为[创建文件库（PUT vault）](api-vault-put.md)创建签名的详细信息。该示例可用作核查您的签名计算方法的参考。有关更多信息，请参阅 I *AM 用户指南*中的[签署 AWS API 请求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html)。

示例假定以下各项：
+ 请求的时间戳为 `Fri, 25 May 2012 00:24:53 GMT`。
+ 端点为美国东部（弗吉尼亚州北部）区域 ` us-east-1`。

通用请求语法（包括 JSON 正文）为：

```
PUT /-/vaults/examplevault HTTP/1.1
Host: glacier.us-east-1.amazonaws.com
Date: Fri, 25 May 2012 00:24:53 GMT
Authorization: SignatureToBeCalculated
x-amz-glacier-version: 2012-06-01
```

为[任务 1：创建规范请求](#SignatureCalculationTask1)计算的规范请求格式为：

 

```
PUT
/-/vaults/examplevault

host:glacier.us-east-1.amazonaws.com
x-amz-date:20120525T002453Z
x-amz-glacier-version:2012-06-01

host;x-amz-date;x-amz-glacier-version
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
```

规范请求的最后一行是请求正文的哈希值。另外，请注意规范请求的第三行是空的。这是因为此 API 没有查询参数。

[任务 2：创建待签字符串](#SignatureCalculationTask2)的*待签字符串*为：

 

```
AWS4-HMAC-SHA256
20120525T002453Z
20120525/us-east-1/glacier/aws4_request
5f1da1a2d0feb614dd03d71e87928b8e449ac87614479332aced3a701f916743
```

 

*待签字符串*的第一行是算法，第二行是时间戳，第三行是*凭证范围*，最后一行是来自[任务 1：创建规范请求](#SignatureCalculationTask1)的规范请求的哈希。要在凭证范围中使用的服务名称为 `glacier`。

对于[任务 3：创建签名](#SignatureCalculationTask3)，*派生密钥*可以表示为：

 

```
derived key = HMAC(HMAC(HMAC(HMAC("AWS4" + YourSecretAccessKey,"20120525"),"us-east-1"),"glacier"),"aws4_request")
```

如果使用秘密访问密钥 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`，则计算出的签名为：

 

```
3ce5b2f2fffac9262b4da9256f8d086b4aaf42eba5f111c21681a65a127b7c2a
```

 

最终步骤是构造 `Authorization` 标头。对于示例访问密钥 `AKIAIOSFODNN7EXAMPLE`，标头（为了便于阅读，添加了换行符）为：

 

```
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20120525/us-east-1/glacier/aws4_request, 
SignedHeaders=host;x-amz-date;x-amz-glacier-version, 
Signature=3ce5b2f2fffac9262b4da9256f8d086b4aaf42eba5f111c21681a65a127b7c2a
```

 

## 为流式处理操作计算签名
<a name="signature-calculation-streaming"></a>

[上传档案（POST archive）](api-archive-post.md)和[上传段（PUT uploadID）](api-upload-part.md)为流式处理操作，这些操作要求您在对请求签名以及发送请求时包括一个附加标头 `x-amz-content-sha256`。流式处理操作的签名步骤与其他操作的签名步骤完全相同，只是要另外添加流式处理标头。

直播标头的计算基于`x-amz-content-sha256`要上传的全部内容（有效负载）的SHA256 哈希值。请注意，此计算与 SHA256 树形哈希 ([计算校验和](checksum-calculations.md)) 不同。除了微不足道的情况外，有效载荷数据的 SHA 256 哈希值将与有效载荷数据的 SHA256 树形哈希值不同。

如果将有效载荷数据指定为字节数组，则可以使用以下 Java 代码片段来计算 SHA256 哈希。

 

```
public static byte[] computePayloadSHA256Hash2(byte[] payload) throws NoSuchAlgorithmException, IOException {
    BufferedInputStream bis = 
       new BufferedInputStream(new ByteArrayInputStream(payload));
    MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");
    byte[] buffer = new byte[4096];
    int bytesRead = -1;
    while ( (bytesRead = bis.read(buffer, 0, buffer.length)) != -1 ) {
        messageDigest.update(buffer, 0, bytesRead);
    }
    return messageDigest.digest();
}
```

同样，在 C\$1 中，您可以计算有效载荷数据的 SHA256 哈希值，如以下代码片段所示。

 

```
public static byte[] CalculateSHA256Hash(byte[] payload)
{
    SHA256 sha256 = System.Security.Cryptography.SHA256.Create();
    byte[] hash = sha256.ComputeHash(payload);

    return hash;
}
```

### 流式处理 API 的示例签名计算
<a name="example-signature-calculation-streaming"></a>

以下示例将引导您详细了解创建签名的详细信息[上传档案（POST archive）](api-archive-post.md)，该签名是 Amazon Glacier APIs 中直播的两个签名之一。示例假定以下各项：
+ 请求的时间戳为 `Mon, 07 May 2012 00:00:00 GMT`。
+ 端点为美国东部（弗吉尼亚州北部）区域 us-east-1。
+ 内容有效载荷为字符串“Welcome to Amazon Glacier”。

通用请求语法（包括 JSON 正文）显示在以下示例中。请注意，其中包括了` x-amz-content-sha256` 标头。在此简化示例中，`x-amz-sha256-tree-hash` 和 `x-amz-content-sha256` 是相同的值。但是，对于大于 1 MB 的档案上传，情况就不是这样。

```
POST /-/vaults/examplevault HTTP/1.1
Host: glacier.us-east-1.amazonaws.com
Date: Mon, 07 May 2012 00:00:00 GMT
x-amz-archive-description: my archive
x-amz-sha256-tree-hash: SHA256 tree hash
x-amz-content-sha256: SHA256 payload hash  
Authorization: SignatureToBeCalculated
x-amz-glacier-version: 2012-06-01
```

为[任务 1：创建规范请求](#SignatureCalculationTask1)计算的规范请求格式显示如下。请注意，其中包括了流式处理标头 `x-amz-content-sha256` 及其值。这意味着您必须先读取有效负载并计算 SHA256 哈希值，然后再计算签名。

 

```
POST
/-/vaults/examplevault

host:glacier.us-east-1.amazonaws.com
x-amz-content-sha256:726e392cb4d09924dbad1cc0ba3b00c3643d03d14cb4b823e2f041cff612a628
x-amz-date:20120507T000000Z
x-amz-glacier-version:2012-06-01

host;x-amz-content-sha256;x-amz-date;x-amz-glacier-version
726e392cb4d09924dbad1cc0ba3b00c3643d03d14cb4b823e2f041cff612a628
```

签名计算的其余操作遵循[签名计算示例](#example-signature-calculation)中所述的步骤。使用秘密访问密钥 `Authorization` 和访问密钥 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY` 的 `AKIAIOSFODNN7EXAMPLE` 标头显示如下（为了便于阅读，添加了换行符）：

 

```
Authorization=AWS4-HMAC-SHA256 
Credential=AKIAIOSFODNN7EXAMPLE/20120507/us-east-1/glacier/aws4_request, 
SignedHeaders=host;x-amz-content-sha256;x-amz-date;x-amz-glacier-version, 
Signature=b092397439375d59119072764a1e9a144677c43d9906fd98a5742c57a2855de6
```