Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones - Amazon Simple Storage Service
RessourcenBedingungsschlüssel für Verzeichnis-Buckets in Local ZonesBeispielrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones

Verzeichnis-Buckets in Local Zones unterstützen sowohl die AWS Identity and Access Management (IAM-) Autorisierung als auch die sitzungsbasierte Autorisierung. Weitere Informationen zur Authentifizierung und Autorisierung für Verzeichnis-Buckets finden Sie unter Authentifizieren und Autorisieren von Anforderungen.

Ressourcen

Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den s3express Namespace, die AWS übergeordnete Region, die AWS-Konto ID und den Verzeichnis-Bucket-Namen, der die Zonen-ID enthält. Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

Bei Verzeichnis-Buckets in einer Local Zone ist die Zone ID die ID der Local Zone. Weitere Information zu Verzeichnis-Buckets in Local Zones finden Sie unter Konzepte für Verzeichnis-Buckets in Local Zones. Weitere Informationen zu ARNs finden Sie unter Amazon Resource Names (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM-JSON-Richtlinienelemente: Ressource im IAM-Benutzerhandbuch.

Bedingungsschlüssel für Verzeichnis-Buckets in Local Zones

In Local Zones können Sie alle Bedingungsschlüssel für Verzeichnis-Buckets in Ihren IAM-Richtlinien verwenden. Um einen Datenperimeter rund um die Netzwerkgrenzgruppen Ihrer Local Zone einzurichten, können Sie außerdem den Bedingungsschlüssel s3express:AllAccessRestrictedToLocalZoneGroup verwenden, um alle Anforderungen von außerhalb der Gruppen abzulehnen.

Der folgende Bedingungsschlüssel kann verwendet werden, um die Bedingungen zu verfeinern, unter denen eine IAM-Richtlinienanweisung angewendet wird. Eine vollständige Liste der API-Operationen, Richtlinienaktionen und Bedingungsschlüssel, die von Directory-Buckets unterstützt werden, finden Sie unter Richtlinienaktionen für Directory-Buckets.

Anmerkung

Der folgende Bedingungsschlüssel gilt nur für Local Zones und wird in Availability Zones und AWS-Regionen nicht unterstützt.

API-Operationen Richtlinienaktionen Beschreibung Bedingungsschlüssel Beschreibung Typ
Zonale Endpunkt-API-Operationen s3express:CreateSession

Gewährt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen Endpunkt-API-Operationen gewährt wird, z. B. CreateSession, HeadBucket, CopyObject, PutObject und GetObject.

 s3express:AllAccessRestrictedToLocalZoneGroup

Filtert den gesamten Zugriff auf den Bucket, sofern die Anfrage nicht von den Netzwerkgrenzgruppen der AWS lokalen Zone stammt, die in diesem Bedingungsschlüssel angegeben sind.

Werte: Wert für die Netzwerkgrenzgruppe der Local Zone

String

Beispielrichtlinien

Um den Objektzugriff auf Anfragen innerhalb einer von Ihnen definierten Datenresidenzgrenze zu beschränken (insbesondere eine Local Zone Group, die eine Gruppe von Local Zones ist, die derselben AWS-Region zugeordnet sind), können Sie eine der folgenden Richtlinien festlegen:

Anmerkung

Der Bedingungsschlüssel s3express:AllAccessRestrictedToLocalZoneGroup unterstützt keinen Zugriff von einer On-Premises-Umgebung aus. Um den Zugriff von einer On-Premises-Umgebung aus zu unterstützen, müssen Sie die Quell-IP zu den Richtlinien hinzufügen. Weitere Informationen finden Sie unter aws: SourceIp im IAM-Benutzerhandbuch.

Beispiel – SCP-Richtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
Beispiel – Identitätsbasierte IAM-Richtlinie (an die IAM-Rolle angehängt)

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
Beispiel – VPC-Endpunktrichtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
Beispiel – Bucket-Richtlinie

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}