Autenticazione e autorizzazione per i bucket di directory nelle Zone locali - Amazon Simple Storage Service
RisorseChiavi di condizione per i bucket di directory nelle Zone localiPolicy di esempio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione e autorizzazione per i bucket di directory nelle Zone locali

I bucket di directory in Local Zones supportano sia l'autorizzazione AWS Identity and Access Management (IAM) che l'autorizzazione basata sulla sessione. Per ulteriori informazioni sull'autenticazione e l'autorizzazione per i bucket di directory, consulta Autenticazione e autorizzazione delle richieste.

Risorse

Amazon Resource Names (ARNs) per i bucket di directory contiene lo spazio dei s3express nomi, la regione AWS principale, l' Account AWS ID e il nome del bucket di directory che include l'ID della zona. Per accedere ed eseguire azioni sul bucket di directory, è necessario utilizzare il seguente formato ARN:

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

Per i bucket della directory in una zona locale, l'ID della zona è l'ID della zona locale. Per ulteriori informazioni sui bucket di directory in Zone locali, consulta Concetti per i bucket di directory nelle Zone locali. Per ulteriori informazioni ARNs, consulta Amazon Resource Names (ARNs) nella IAM User Guide. Per ulteriori informazioni sulle risorse, consulta Elementi di policy IAM JSON: Resource nella Guida all'utente IAM.

Chiavi di condizione per i bucket di directory nelle Zone locali

Nelle Zone locali, è possibile utilizzare ogni Chiavi di condizione per i bucket di directory nelle policy IAM. Inoltre, per creare un perimetro di dati intorno ai gruppi di confine di rete della zona locale, è possibile utilizzare la chiave di condizione s3express:AllAccessRestrictedToLocalZoneGroup per negare tutte le richieste provenienti dall'esterno dei gruppi.

La seguente chiave di condizione può essere utilizzata per affinare ulteriormente le condizioni di applicazione di un'istruzione di policy IAM. Per un elenco completo delle operazioni API, delle azioni di policy e delle chiavi di condizione supportate dai bucket di directory, consulta Azioni di policy per i bucket di directory.

Nota

La seguente chiave di condizione si applica solo alle Zone locali e non è supportata nelle zone di disponibilità e in Regioni AWS.

Operazioni API Azioni di policy Descrizione Chiave di condizione Descrizione Tipo
Operazioni API dell'endpoint di zona s3express:CreateSession

Concede il permesso di creare un token di sessione, utilizzato per concedere l'accesso a tutte le operazioni API dell'endpoint di zona, come CreateSession, HeadBucket, CopyObject, PutObject e GetObject.

 s3express:AllAccessRestrictedToLocalZoneGroup

Filtra tutti gli accessi al bucket a meno che la richiesta non provenga dai gruppi di confine della rete AWS Local Zone forniti in questa chiave di condizione.

Valori: valore del gruppo di confine di rete della zona locale

String

Policy di esempio

Per limitare l'accesso agli oggetti alle richieste provenienti dall'interno di un confine di residenza dei dati definito dall'utente (in particolare, un gruppo di Zone locali che è un insieme di Zone locali associate gerarchicamente alla stessa Regione AWS), è possibile impostare una delle seguenti policy:

Nota

La chiave di condizione s3express:AllAccessRestrictedToLocalZoneGroup non supporta l'accesso da un ambiente on-premises. Per supportare l'accesso da un ambiente on-premises, è necessario aggiungere l'IP di origine alle policy. Per ulteriori informazioni, consulta aws: SourceIp nella IAM User Guide.

Esempio - Policy SCP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
Esempio - Policy basata sull'identità IAM (collegato al ruolo IAM)

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
Esempio – Policy degli endpoint VPC

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
Esempio - Policy di bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}