AWS API 身份验证/授权流程

Question

我试图了解 AWS 如何为其服务（例如 S3）实施身份验证/授权。假设我输入

aws s3api create-bucket --bucket my-bucket

在 aws cli 中。以下是所采取的高级步骤：

1. cli 向 AWS 发送 API 请求以创建存储桶。该请求由 cli 使用我的 API 访问密钥 ID 和访问密钥秘密进行签名。
2. S3 (?) 接收呼叫并为传入呼叫创建签名并将其与提供的签名进行比较。如果签名匹配，则用户的身份验证正确。
3. 使用请求中的凭据检索一组策略，并根据这些确定您是否有权创建存储桶。

一些问题：

1. 谁在进行实际的身份验证/授权？它是 S3、IAM 还是中介（例如 API 网关）？基本上，不同的系统（IAM、S3、网关等）如何交互以执行身份验证/授权过程？

2. 要重新创建签名，有人需要访问我的秘密 api 密钥。是只有 IAM 存储它还是保存在 S3 中？