Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bucket direktori di Local Zones mendukung otorisasi AWS Identity and Access Management (IAM) dan otorisasi berbasis sesi. Untuk informasi selengkapnya tentang otentikasi dan otorisasi untuk bucket direktori, lihat. Mengautentikasi dan mengotorisasi permintaan
Sumber daya
Amazon Resource Names (ARNs) untuk bucket direktori berisi s3express namespace, Region AWS induk, Akun AWS ID, dan nama bucket direktori yang menyertakan ID Zona. Untuk mengakses dan melakukan tindakan pada bucket direktori Anda, Anda harus menggunakan format ARN berikut ini:
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
Untuk bucket direktori di Zona Lokal, ID Zona adalah ID dari Zona Lokal. Untuk informasi selengkapnya tentang bucket direktori di Local Zones, lihatKonsep untuk bucket direktori di Local Zones. Untuk informasi selengkapnya ARNs, lihat Amazon Resource Names (ARNs) di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang sumber daya, lihat IAM JSON Policy Elements: Resource di Panduan Pengguna IAM.
Kunci kondisi untuk bucket direktori di Local Zones
Di Local Zones, Anda dapat menggunakan semua kebijakan IAM Anda. Kunci kondisi untuk ember direktori Selain itu, untuk membuat perimeter data di sekitar grup perbatasan jaringan Zona Lokal, Anda dapat menggunakan tombol kondisi s3express:AllAccessRestrictedToLocalZoneGroup untuk menolak semua permintaan dari luar grup.
Kunci kondisi berikut dapat digunakan untuk lebih menyempurnakan kondisi di mana pernyataan kebijakan IAM berlaku. Untuk mengetahui daftar lengkap operasi API, tindakan kebijakan, dan kunci kondisi yang didukung oleh bucket direktori, lihat Tindakan kebijakan untuk bucket direktori.
catatan
Kunci kondisi berikut hanya berlaku untuk Local Zones dan tidak didukung di Availability Zones dan Wilayah AWS.
| Operasi API | Tindakan kebijakan | Deskripsi | Kunci syarat | Deskripsi | Jenis |
|---|---|---|---|---|---|
| Operasi API titik akhir zona |
s3express:CreateSession
|
Memberikan izin untuk membuat token sesi, yang digunakan untuk memberikan akses ke semua operasi API titik akhir Zonal, seperti,,, |
s3express:AllAccessRestrictedToLocalZoneGroup
|
Memfilter semua akses ke bucket kecuali permintaan berasal dari grup perbatasan jaringan Zona AWS Lokal yang disediakan dalam kunci kondisi ini. Nilai: Nilai grup perbatasan jaringan Zona Lokal |
String
|
Contoh kebijakan
Untuk membatasi akses objek ke permintaan dari dalam batas residensi data yang Anda tentukan (khususnya, Grup Zona Lokal yang merupakan kumpulan Local Zones yang diasuh ke yang sama Wilayah AWS), Anda dapat menetapkan salah satu kebijakan berikut:
-
Kebijakan kontrol layanan (SCP). Untuk selengkapnya SCPs, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna.
-
Kebijakan berbasis identitas IAM untuk peran IAM.
-
Kebijakan titik akhir VPC. Untuk informasi selengkapnya tentang kebijakan titik akhir VPC, lihat Mengontrol akses ke titik akhir VPC menggunakan kebijakan titik akhir di Panduan.AWS PrivateLink
-
Kebijakan bucket S3.
catatan
Kunci kondisi s3express:AllAccessRestrictedToLocalZoneGroup tidak mendukung akses dari lingkungan lokal. Untuk mendukung akses dari lingkungan lokal, Anda harus menambahkan IP sumber ke kebijakan. Untuk informasi selengkapnya, lihat aws: SourceIp di Panduan Pengguna IAM.
contoh — Kebijakan SCP
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
contoh — Kebijakan berbasis identitas IAM (melekat pada peran IAM)
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
contoh — Kebijakan titik akhir VPC
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
contoh — kebijakan ember
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
