本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對本機區域中的目錄儲存貯體進行身分驗證和授權
Local Zones 中的目錄儲存貯體支援 AWS Identity and Access Management (IAM) 授權和工作階段型授權。如需對目錄儲存貯體進行身分驗證和授權的詳細資訊,請參閱驗證和授權請求。
資源
目錄儲存貯體的 Amazon Resource Name (ARNs) 包含s3express
命名空間、 AWS 父區域、 AWS 帳戶 ID 和包含區域 ID 的目錄儲存貯體名稱。若要存取並對目錄儲存貯體執行動作,您必須使用下列 ARN 格式:
arn:aws:s3express:
region-code
:account-id
:bucket/bucket-base-name
--ZoneID
--x-s3
對於本機區域中的目錄儲存貯體,區域 ID 是本機區域的 ID。如需有關 Local Zones 內目錄儲存貯體的詳細資訊,請參閱Local Zones 中目錄儲存貯體的概念。如需 ARN 的詳細資訊,請參閱「IAM 使用者指南」中的 Amazon Resource Name (ARN)。如需資源的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:Resource。
本機區域中目錄儲存貯體的條件索引鍵
在本機區域中,您可以在 IAM 政策中使用所有目錄儲存貯體的條件索引鍵。此外,若要在本機區域網路邊界群組周圍建立資料周邊,您可以使用條件索引鍵 s3express:AllAccessRestrictedToLocalZoneGroup
拒絕來自群組外部的所有請求。
您可以使用下列條件索引鍵來進一步縮小套用 IAM 政策陳述式的條件。如需目錄儲存貯體支援的 API 操作、政策動作和條件索引鍵完整清單,請參閱目錄儲存貯體的政策動作。
注意
下列條件索引鍵僅適用於本機區域,可用區域和 AWS 區域並不支援。
API 操作 | 政策動作 | 描述 | 條件金鑰 | Description (描述) | Type |
---|---|---|---|---|---|
區域端點 API 操作 |
s3express:CreateSession
|
准許建立工作階段權杖,此權杖用於授予所有區域端點 API 操作的存取權,例如 |
s3express:AllAccessRestrictedToLocalZoneGroup
|
篩選儲存貯體的所有存取,除非請求來自此條件金鑰中提供的 AWS Local Zone 網路邊界群組。 值:本機區域網路邊界群組值 |
String
|
政策範例
若要限制物件存取來自您定義之資料落地界限內的請求 (具體而言,本機區域群組是相同 AWS 區域的一組父本機區域),您可以設定下列任何政策:
-
服務控制政策 (SCP)。如需 SCP 的資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策 (SCP)。
-
IAM 角色的 IAM 身分型政策。
-
VPC 端點政策。如需 VPC 端點政策的詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對 VPC 端點的存取。
-
S3 儲存貯體政策。
注意
條件索引鍵 s3express:AllAccessRestrictedToLocalZoneGroup
不支援從內部部署環境進行存取。若要支援從內部部署環境進行存取,您必須將來源 IP 新增至政策。如需詳細資訊,請參閱《IAM 使用者指南》中的 aws:SourceIp。
範例 – SCP 政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Effect": "Deny", "Action": [ "s3express:*", ], "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } ] }
範例 – IAM 身分型政策 (連接至 IAM 角色)
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "s3express:CreateSession", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } }
範例 – VPC 端點政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } ] }
範例 – 儲存貯體政策
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "
local-zone-network-border-group-value
" ] } } } ] }