Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones
<a name="iam-directory-bucket-LZ"></a>

Verzeichnis-Buckets in Local Zones unterstützen sowohl die AWS Identity and Access Management (IAM-) Autorisierung als auch die sitzungsbasierte Autorisierung. Weitere Informationen zur Authentifizierung und Autorisierung für Verzeichnis-Buckets finden Sie unter [Authentifizieren und Autorisieren von Anforderungen](s3-express-authenticating-authorizing.md).

## Ressourcen
<a name="directory-bucket-lz-resources"></a>

Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den `s3express` Namespace, die AWS übergeordnete Region, die AWS-Konto ID und den Verzeichnis-Bucket-Namen, der die Zonen-ID enthält. Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:

```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```

Bei Verzeichnis-Buckets in einer Local Zone ist die Zone ID die ID der Local Zone. Weitere Information zu Verzeichnis-Buckets in Local Zones finden Sie unter [Konzepte für Verzeichnis-Buckets in Local Zones](s3-lzs-for-directory-buckets.md). Weitere Informationen zu ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) im *IAM-Benutzerhandbuch*. Weitere Informationen zu Ressourcen finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *IAM-Benutzerhandbuch*.

## Bedingungsschlüssel für Verzeichnis-Buckets in Local Zones
<a name="condition-key-db-lz"></a>

In lokalen Zonen können Sie alle diese [Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys) in Ihren IAM-Richtlinien verwenden. Um einen Datenperimeter rund um die Netzwerkgrenzgruppen Ihrer Local Zone einzurichten, können Sie außerdem den Bedingungsschlüssel `s3express:AllAccessRestrictedToLocalZoneGroup` verwenden, um alle Anforderungen von außerhalb der Gruppen abzulehnen. 

Der folgende Bedingungsschlüssel kann verwendet werden, um die Bedingungen zu verfeinern, unter denen eine IAM-Richtlinienanweisung angewendet wird. Eine vollständige Liste der API-Operationen, Richtlinienaktionen und Bedingungsschlüssel, die von Directory-Buckets unterstützt werden, finden Sie unter [Richtlinienaktionen für Directory-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions).

**Anmerkung**  
Der folgende Bedingungsschlüssel gilt nur für lokale Zonen und wird in Availability Zones und AWS-Regionen nicht unterstützt.


| API-Operationen | Richtlinienaktionen | Description | Bedingungsschlüssel | Description | Typ | 
| --- | --- | --- | --- | --- | --- | 
|  [Zonale Endpunkt-API-Operationen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html)  |  s3express:CreateSession  |  Gewährt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen Endpunkt-API-Operationen gewährt wird, z. B. `CreateSession`, `HeadBucket`, `CopyObject`, `PutObject` und `GetObject`.  |  s3express:AllAccessRestrictedToLocalZoneGroup  | Filtert den gesamten Zugriff auf den Bucket, sofern die Anfrage nicht von den Netzwerkgrenzgruppen der AWS lokalen Zone stammt, die in diesem Bedingungsschlüssel angegeben sind.  **Werte:** Wert für die Netzwerkgrenzgruppe der Local Zone   |  String  | 

## Beispielrichtlinien
<a name="directory-bucket-lz-policies"></a>

Um den Objektzugriff auf Anfragen innerhalb einer von Ihnen definierten Grenze der Datenresidenz zu beschränken (insbesondere auf eine lokale Zonengruppe, die aus einer Reihe lokaler Zonen besteht, die der gleichen AWS-Regionübergeordnet sind), können Sie eine der folgenden Richtlinien festlegen:
+ Die Service-Kontrollrichtlinie (SCP). Weitere Informationen dazu SCPs finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
+ Die identitätsbasierte IAM-Richtlinie für die IAM-Rolle.
+ Die VPC-Endpunktrichtlinie. Weitere Informationen zu VPC-Endpunktrichtlinien finden Sie unter [Steuern des Zugriffs auf VPC-Endpoints mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Handbuch*.
+ Die S3-Bucket-Richtlinie.

**Anmerkung**  
Der Bedingungsschlüssel `s3express:AllAccessRestrictedToLocalZoneGroup` unterstützt keinen Zugriff von einer On-Premises-Umgebung aus. Um den Zugriff von einer On-Premises-Umgebung aus zu unterstützen, müssen Sie die Quell-IP zu den Richtlinien hinzufügen. Weitere Informationen finden Sie unter [aws: SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) im IAM-Benutzerhandbuch. 

**Example – SCP-Richtlinie**  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
```

**Example – Identitätsbasierte IAM-Richtlinie (an die IAM-Rolle angehängt)**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
```

**Example – VPC-Endpunktrichtlinie**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
```

**Example – Bucket-Richtlinie**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
```