對本機區域中的目錄儲存貯體進行身分驗證和授權 - Amazon Simple Storage Service
資源本機區域中目錄儲存貯體的條件索引鍵政策範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對本機區域中的目錄儲存貯體進行身分驗證和授權

Local Zones 中的目錄儲存貯體支援 AWS Identity and Access Management (IAM) 授權和工作階段型授權。如需對目錄儲存貯體進行身分驗證和授權的詳細資訊,請參閱驗證和授權請求

資源

目錄儲存貯體的 Amazon Resource Name (ARNs) 包含s3express命名空間、 AWS 父區域、 AWS 帳戶 ID 和包含區域 ID 的目錄儲存貯體名稱。若要存取並對目錄儲存貯體執行動作,您必須使用下列 ARN 格式:

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

對於本機區域中的目錄儲存貯體,區域 ID 是本機區域的 ID。如需有關 Local Zones 內目錄儲存貯體的詳細資訊,請參閱Local Zones 中目錄儲存貯體的概念。如需 ARN 的詳細資訊,請參閱「IAM 使用者指南」中的 Amazon Resource Name (ARN)。如需資源的詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:Resource

本機區域中目錄儲存貯體的條件索引鍵

在本機區域中,您可以在 IAM 政策中使用所有目錄儲存貯體的條件索引鍵。此外,若要在本機區域網路邊界群組周圍建立資料周邊,您可以使用條件索引鍵 s3express:AllAccessRestrictedToLocalZoneGroup 拒絕來自群組外部的所有請求。

您可以使用下列條件索引鍵來進一步縮小套用 IAM 政策陳述式的條件。如需目錄儲存貯體支援的 API 操作、政策動作和條件索引鍵完整清單,請參閱目錄儲存貯體的政策動作

注意

下列條件索引鍵僅適用於本機區域,可用區域和 AWS 區域並不支援。

API 操作 政策動作 描述 條件金鑰 Description (描述) Type
區域端點 API 操作 s3express:CreateSession

准許建立工作階段權杖,此權杖用於授予所有區域端點 API 操作的存取權,例如 CreateSessionHeadBucketCopyObjectPutObjectGetObject

 s3express:AllAccessRestrictedToLocalZoneGroup

篩選儲存貯體的所有存取,除非請求來自此條件金鑰中提供的 AWS Local Zone 網路邊界群組。

值:本機區域網路邊界群組值

String

政策範例

若要限制物件存取來自您定義之資料落地界限內的請求 (具體而言,本機區域群組是相同 AWS 區域的一組父本機區域),您可以設定下列任何政策:

注意

條件索引鍵 s3express:AllAccessRestrictedToLocalZoneGroup 不支援從內部部署環境進行存取。若要支援從內部部署環境進行存取,您必須將來源 IP 新增至政策。如需詳細資訊,請參閱《IAM 使用者指南》中的 aws:SourceIp

範例 – SCP 政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
範例 – IAM 身分型政策 (連接至 IAM 角色)

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
範例 – VPC 端點政策

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
範例 – 儲存貯體政策

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}