Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autenticazione e autorizzazione per i bucket di directory nelle Zone locali
I bucket di directory in Local Zones supportano sia l'autorizzazione AWS Identity and Access Management (IAM) che l'autorizzazione basata sulla sessione. Per ulteriori informazioni sull'autenticazione e l'autorizzazione per i bucket di directory, consulta Autenticazione e autorizzazione delle richieste.
Risorse
Amazon Resource Names (ARNs) per i bucket di directory contiene lo spazio dei s3express
nomi, la regione AWS principale, l' Account AWS ID e il nome del bucket di directory che include l'ID della zona. Per accedere ed eseguire azioni sul bucket di directory, è necessario utilizzare il seguente formato ARN:
arn:aws:s3express:
region-code
:account-id
:bucket/bucket-base-name
--ZoneID
--x-s3
Per i bucket della directory in una zona locale, l'ID della zona è l'ID della zona locale. Per ulteriori informazioni sui bucket di directory in Zone locali, consulta Concetti per i bucket di directory nelle Zone locali. Per ulteriori informazioni ARNs, consulta Amazon Resource Names (ARNs) nella IAM User Guide. Per ulteriori informazioni sulle risorse, consulta Elementi di policy IAM JSON: Resource nella Guida all'utente IAM.
Chiavi di condizione per i bucket di directory nelle Zone locali
Nelle Zone locali, è possibile utilizzare ogni Chiavi di condizione per i bucket di directory nelle policy IAM. Inoltre, per creare un perimetro di dati intorno ai gruppi di confine di rete della zona locale, è possibile utilizzare la chiave di condizione s3express:AllAccessRestrictedToLocalZoneGroup
per negare tutte le richieste provenienti dall'esterno dei gruppi.
La seguente chiave di condizione può essere utilizzata per affinare ulteriormente le condizioni di applicazione di un'istruzione di policy IAM. Per un elenco completo delle operazioni API, delle azioni di policy e delle chiavi di condizione supportate dai bucket di directory, consulta Azioni di policy per i bucket di directory.
Nota
La seguente chiave di condizione si applica solo alle Zone locali e non è supportata nelle zone di disponibilità e in Regioni AWS.
Operazioni API | Azioni di policy | Descrizione | Chiave di condizione | Descrizione | Tipo |
---|---|---|---|---|---|
Operazioni API dell'endpoint di zona |
s3express:CreateSession
|
Concede il permesso di creare un token di sessione, utilizzato per concedere l'accesso a tutte le operazioni API dell'endpoint di zona, come |
s3express:AllAccessRestrictedToLocalZoneGroup
|
Filtra tutti gli accessi al bucket a meno che la richiesta non provenga dai gruppi di confine della rete AWS Local Zone forniti in questa chiave di condizione. Valori: valore del gruppo di confine di rete della zona locale |
String
|
Policy di esempio
Per limitare l'accesso agli oggetti alle richieste provenienti dall'interno di un confine di residenza dei dati definito dall'utente (in particolare, un gruppo di Zone locali che è un insieme di Zone locali associate gerarchicamente alla stessa Regione AWS), è possibile impostare una delle seguenti policy:
-
La policy di controllo dei servizi (SCP). Per informazioni in merito SCPs, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente.
-
La policy basata sull'identità IAM per il ruolo IAM.
-
La policy dell'endpoint VPC. Per ulteriori informazioni sulle policy degli endpoint VPC, consulta Controllo dell'accesso agli endpoint VPC mediante le policy degli endpoint nella Guida a AWS PrivateLink .
-
La policy del bucket S3.
Nota
La chiave di condizione s3express:AllAccessRestrictedToLocalZoneGroup
non supporta l'accesso da un ambiente on-premises. Per supportare l'accesso da un ambiente on-premises, è necessario aggiungere l'IP di origine alle policy. Per ulteriori informazioni, consulta aws: SourceIp nella IAM User Guide.
Esempio - Policy SCP
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Effect": "Deny", "Action": [ "s3express:*", ], "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } ] }
Esempio - Policy basata sull'identità IAM (collegato al ruolo IAM)
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "s3express:CreateSession", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } }
Esempio – Policy degli endpoint VPC
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } ] }
Esempio - Policy di bucket
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } ] }