# Cargas de trabajo de residencia de datos
Las zonas locales dedicadas de AWS son un tipo de infraestructura de AWS que está totalmente administrada por AWS, creada para uso exclusivo propio o el de la comunidad, y ubicada en una ubicación o centro de datos especificado por usted para ayudar a cumplir con los requisitos reglamentarios. Las zonas locales dedicadas son un tipo de oferta de zonas locales de AWS. Para obtener más información, consulte [Zonas locales de AWS](https://aws.amazon.com/dedicatedlocalzones/).
En las zonas locales dedicadas, puede crear buckets de directorio de S3 para almacenar datos en un perímetro de datos específico, lo que ayuda a respaldar los casos de uso de residencia y aislamiento de datos. Los buckets de directorio en las zonas locales dedicadas pueden ser compatibles con las clases de almacenamiento S3 Express One Zone y S3 One Zone-Infrequent Access (S3 One Zone-IA; Z-IA). Los buckets de directorio no están disponibles actualmente en otras [ubicaciones de zonas locales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/locations/).
Puede utilizar la Consola de administración de AWS, la API de REST, la AWS Command Line Interface (AWS CLI) y los SDK de AWS en zonas locales dedicadas.
Para obtener más información sobre cómo trabajar con los buckets de directorio en zonas locales, consulte los siguientes temas:
**Topics**
+ [
# Conceptos para buckets de directorio en zonas locales
](s3-lzs-for-directory-buckets.md)
+ [
# Habilitación de cuentas para zonas locales
](opt-in-directory-bucket-lz.md)
+ [
# Conectividad privada desde la VPC
](connectivity-lz-directory-buckets.md)
+ [
# Creación de un bucket de directorio en una zona local
](create-directory-bucket-LZ.md)
+ [
# Autenticación y autorización de buckets de directorio en zonas locales
](iam-directory-bucket-LZ.md)
# Conceptos para buckets de directorio en zonas locales
Antes de crear un bucket de directorio en una zona local, debe tener el ID de la zona local en la que desea crear un bucket. Puede encontrar toda la información de la zona local mediante la operación de la API [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html). Esta operación de la API muestra información sobre las zonas locales, incluidos los ID de las zonas locales, los nombres de las regiones principales, los grupos de borde de red y el estado de suscripción. Una vez que tenga el ID de zona local y se haya suscrito, podrá crear un bucket de directorio en la zona local. Un nombre de bucket de directorio consta de un nombre base que proporciona y un sufijo que contiene el ID de zona de la ubicación del bucket seguido de `--x-s3`.
Una zona local está conectada a la **región principal** mediante la red privada redundante y de ancho de banda muy alto de Amazon. Esto proporciona a las aplicaciones que se ejecutan en la zona local un acceso rápido, seguro y sin interrupciones al resto de los Servicios de AWS de la región principal. El **ID de zona principal** es el ID de la zona que gestiona las operaciones del plano de control de la zona local. **Grupo de borde de red** es un grupo único desde el que AWS anuncia direcciones IP públicas. Para obtener más información sobre las zonas locales, la región principal y el ID de zona principal, consulte [Conceptos de zonas locales de AWS](https://docs.aws.amazon.com/local-zones/latest/ug/concepts-local-zones.html) en la *Guía del usuario de zonas locales de AWS*.
Todos los buckets de directorio utilizan el espacio de nombres `s3express`, que es independiente del espacio de nombres `s3` para los buckets de uso general. Para los buckets de directorio, las solicitudes se enrutan a un **punto de conexión regional** o a un **punto de conexión zonal**. El enrutamiento se procesa automáticamente si utiliza la Consola de administración de AWS, la AWS CLI o los SDK de AWS.
La mayoría de las operaciones de la API en el nivel de bucket (como `CreateBucket` y `DeleteBucket`) se enrutan a puntos de conexión regionales y se denominan operaciones de API de punto de conexión regional. Los puntos de conexión regionales tienen el formato `s3express-control.ParentRegionCode.amazonaws.com`. Todas las operaciones de la API a nivel de objeto (como `PutObject`) y dos operaciones de la API a nivel de bucket (`CreateSession` y `HeadBucket`) se enrutan a puntos de conexión zonales y se denominan operaciones de la API de punto de conexión zonal. Los puntos de conexión zonales tienen el formato `s3express-LocalZoneID.ParentRegionCode.amazonaws.com`. Para obtener una lista completa de las operaciones de la API por tipo de punto de conexión, consulte [Operaciones de la API de bucket de directorio](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-differences.html#s3-express-differences-api-operations).
Para acceder a los buckets de directorio en zonas locales desde la nube privada virtual (VPC), puede utilizar puntos de conexión de VPC de puerta de enlace. El uso de puntos de conexión de puerta de enlace no supone ningún cargo adicional. Para configurar puntos de conexión de VPC de puerta de enlace para acceder a buckets y objetos de directorio en zonas locales, consulte [Conectividad privada desde la VPC](connectivity-lz-directory-buckets.md).
# Habilitación de cuentas para zonas locales
En el siguiente tema se describe cómo se habilitan las cuentas para zonas locales dedicadas.
Para todos los servicios en zonas locales dedicadas de AWS, incluido Amazon S3, el administrador debe habilitar la Cuenta de AWS antes de que pueda crear o acceder a cualquier recurso en la zona local dedicada. Puede usar la operación de la API [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html) para confirmar el acceso del ID de cuenta a una zona local.
Para proteger aún más los datos en Amazon S3, de forma predeterminada, solo tiene acceso a los recursos de S3 que usted crea. Los buckets en las zonas locales tienen habilitada de forma predeterminada toda la configuración de bloqueo del acceso público a S3 y la propiedad de objetos de S3 está configurada como propietario del bucket. Esta configuración no se puede modificar. Opcionalmente, para restringir el acceso solo dentro de los grupos de borde de red de la zona local, puede utilizar la clave de condición `s3express:AllAccessRestrictedToLocalZoneGroup` en las políticas de IAM. Para obtener más información, consulte [Autenticación y autorización de buckets de directorio en zonas locales](iam-directory-bucket-LZ.md).
# Conectividad privada desde la VPC
Para reducir el tiempo que los paquetes pasan en la red, configure la nube privada virtual (VPC) con un punto de conexión de puerta de enlace para acceder a buckets de directorio en zonas de disponibilidad y, al mismo tiempo, mantener el tráfico en la red de AWS y sin costo adicional.
**Para configurar un punto de conexión de VPC de puerta de enlace**
1. Abra la [Consola de Amazon VPC](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Elija **Crear punto de conexión**.
1. Cree un nombre para el punto de conexión.
1. En **Categoría de servicios**, elija **Servicios de AWS**.
1. En **Servicios**, añada el filtro **Type=Gateway** y luego seleccione el botón de opción situado junto a **com.amazonaws.*region*.s3express**.
1. En **VPC**, elija la VPC en la que desea crear el punto de conexión.
1. Para **Tablas de enrutamiento**, elija la tabla de enrutamiento de la VPC que utilizará el punto de conexión. Una vez creado el punto de conexión, se agregará un registro de ruta a la tabla de enrutamiento que seleccione en este paso.
1. En **Política**, elija **Acceso completo** para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC. De lo contrario, elija **Personalizar** para adjuntar una política de punto de conexión de VPC que controle los permisos de las entidades principales para realizar acciones en los recursos a través del punto de conexión de VPC.
1. En **Tipo de dirección IP**, elija entre las siguientes opciones:
+ **IPv4**: se asignan direcciones IPv4 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4 y el servicio acepta solicitudes IPv4.
+ **IPv6**: se asignan direcciones IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas son solo subredes IPv6 y el servicio acepta solicitudes IPv6.
+ **Doble pila**: se asignan direcciones IPv4 e IPv6 a las interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4 e IPv6 y el servicio acepta solicitudes IPv4 e IPV6.
1. (Opcional) Para añadir una etiqueta, elija **Agregar etiqueta nueva** e ingrese la clave y el valor de la etiqueta.
1. Seleccione **Crear punto de conexión**.
Para obtener más información sobre los puntos de conexión de VPC de puerta de enlace, consulte [Puntos de conexión de puerta de enlace](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) en la *Guía de AWS PrivateLink*. Para los casos de uso de residencia de datos, recomendamos habilitar el acceso a los buckets solo desde la VPC mediante puntos de conexión de VPC de puerta de enlace. Cuando el acceso está restringido a una VPC o un punto de conexión de VPC, puede acceder a los objetos a través de la Consola de administración de AWS, la API de REST, la AWS CLI y los SDK de AWS.
**nota**
Para restringir el acceso a una VPC o un punto de conexión de VPC mediante la Consola de administración de AWS, debe utilizar el acceso privado a la Consola de administración de AWS. Para obtener más información, consulte [Acceso privado a la Consola de administración de AWS](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html) en la *guía de la Consola de administración de AWS*.
# Creación de un bucket de directorio en una zona local
En las zonas locales dedicadas, puede crear buckets de directorio para almacenar y recuperar objetos en un perímetro de datos específico para ayudar a satisfacer los casos de uso de residencia y aislamiento de datos. Los buckets de directorio de S3 son el único tipo de bucket compatible en las zonas locales y contienen un tipo de ubicación de bucket llamado `LocalZone`. Un nombre de bucket de directorio consta de un nombre base que proporciona y un sufijo que contiene el ID de zona de la ubicación del bucket y `--x-s3`. Puede obtener una lista de ID de zonas locales mediante la operación de la API [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html). Para obtener más información, consulte [Reglas de nomenclatura de buckets de directorio](directory-bucket-naming-rules.md).
**nota**
Para todos los servicios en zonas locales dedicadas de AWS, incluido S3, el administrador debe habilitar la Cuenta de AWS antes de que pueda crear o acceder a cualquier recurso en la zona local dedicada. Para obtener más información, consulte [Habilitación de cuentas para zonas locales](opt-in-directory-bucket-lz.md).
Para los requisitos de residencia de datos, recomendamos habilitar el acceso a los buckets solo desde los puntos de conexión de VPC de puerta de enlace. Para obtener más información, consulte [Conectividad privada desde la VPC](connectivity-lz-directory-buckets.md).
Para restringir el acceso solo dentro de los grupos de borde de red de la zona local, puede utilizar la clave de condición `s3express:AllAccessRestrictedToLocalZoneGroup` en las políticas de IAM. Para obtener más información, consulte [Autenticación y autorización de buckets de directorio en zonas locales](iam-directory-bucket-LZ.md).
A continuación se describen las formas de crear un bucket de directorio en una única zona local con la Consola de administración de AWS, la AWS CLI y los SDK de AWS.
## Uso de la consola de S3
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región principal de una zona local en la que desee crear un bucket de directorio.
**nota**
Para obtener más información sobre las regiones principales, consulte [Conceptos para buckets de directorio en zonas locales](s3-lzs-for-directory-buckets.md).
1. En el panel de navegación izquierdo, elija **Buckets**.
1. Elija **Crear bucket**.
Se abrirá la página **Crear bucket**.
1. En **Configuración general**, vea la Región de AWS donde se creará el bucket.
1. En **Bucket type (Tipo de bucket)**, elija **Directory (Directorio)**.
**nota**
Si ha elegido una región que no admite buckets de directorio, el tipo de bucket predeterminado será un bucket de uso general. Para crear un bucket de directorio, debe elegir una región compatible. Para obtener una lista de las regiones que admiten buckets de directorio, consulte [Puntos de conexión regionales y zonales para los buckets de directorio](s3-express-Regions-and-Zones.md).
No se puede cambiar el tipo de bucket después de haberlo creado.
1. En **Ubicación del bucket**, elija una zona local que desee utilizar.
**nota**
La zona local no se puede cambiar una vez creado el bucket.
1. En **Ubicación del bucket**, seleccione la casilla para confirmar que, en caso de que se produzca una interrupción de la zona local, es posible que los datos no estén disponibles o se pierdan.
**importante**
Aunque los buckets de directorio se almacenan en múltiples dispositivos en una sola zona local, los buckets de directorio no almacenan datos de forma redundante en las zonas locales.
1. En **Nombre del bucket**, escriba un nombre para el bucket de directorio.
Para obtener más información sobre las reglas de nomenclatura para los buckets de directorio, consulte [Reglas de nomenclatura de buckets de uso general](bucketnamingrules.md). Se añade automáticamente un sufijo al nombre base que proporciona cuando crea un bucket de directorio utilizando la consola. Este sufijo incluye el ID de zona de la zona local que eligió.
Una vez que haya creado el bucket, no podrá modificar su nombre.
**importante**
No incluya información confidencial, como números de cuenta, en el nombre de bucket. El nombre del bucket será visible en las URL que señalan a los objetos almacenados en él.
1. En **Propiedad del objeto**, la opción **Aplicada al propietario del bucket** se activa de forma automática y se desactivan todas las listas de control de acceso (ACL). Para los buckets de directorio, las ACL están deshabilitadas y no se pueden habilitar.
Con la configuración **Aplicada al propietario del bucket** habilitada, el propietario del bucket es automáticamente el propietario y tiene control total sobre cada objeto del bucket. Las ACL ya no afectan a los permisos de acceso de los datos del bucket de S3. El bucket utiliza políticas exclusivamente para definir el control de acceso. La mayoría de los casos de uso modernos de Amazon S3 ya no requieren el uso de ACL. Para obtener más información, consulte [Control de la propiedad de los objetos y desactivación de las ACL del bucket](about-object-ownership.md).
1. En **Configuración de bloqueo de acceso público para este bucket**, tenga en cuenta que la configuración Bloquear acceso público para su bucket de directorio se habilita automáticamente. Esta configuración no se puede modificar para los bucket de directorio. Para obtener más información acerca del bloqueo del acceso público, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).
1. En **Cifrado predeterminado**, los buckets de directorio utilizan **Cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)** para cifrar los datos de forma predeterminada. También tiene la opción de cifrar datos en buckets de directorio con **Cifrado del servidor con claves de AWS Key Management Service (SSE-KMS)**.
1. Elija **Crear bucket**.
Después de crear el bucket, puede añadir archivos y carpetas al bucket. Para obtener más información, consulte [Uso de objetos en un bucket de directorio](directory-buckets-objects.md).
## Mediante AWS CLI
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS CLI. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
Al crear un bucket de directorio, debe proporcionar los detalles de configuración y utilizar la siguiente convención de nomenclatura: `bucket-base-name--zone-id--x-s3`.
```
aws s3api create-bucket
--bucket bucket-base-name--zone-id--x-s3
--create-bucket-configuration 'Location={Type=LocalZone,Name=local-zone-id},Bucket={DataRedundancy=SingleLocalZone,Type=Directory}'
--region parent-region-code
```
Para obtener más información sobre el ID de zona local y el código de región principal, consulte [Conceptos para buckets de directorio en zonas locales](s3-lzs-for-directory-buckets.md). Para obtener más información sobre el comando AWS CLI, consulte [create-bucket](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html) en la *Referencia de comandos de la AWS CLI*.
## Uso de los AWS SDK
------
#### [ SDK for Go ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS SDK para Go.
**Example**
```
var bucket = "bucket-base-name--zone-id--x-s3" // The full directory bucket name
func runCreateBucket(c *s3.Client) {
resp, err := c.CreateBucket(context.Background(), &s3.CreateBucketInput{
Bucket: &bucket,
CreateBucketConfiguration: &types.CreateBucketConfiguration{
Location: &types.LocationInfo{
Name: aws.String("local-zone-id"),
Type: types.LocationTypeLocalZone,
},
Bucket: &types.BucketInfo{
DataRedundancy: types.DataRedundancySingleLocalZone,
Type: types.BucketTypeDirectory,
},
},
})
var terr *types.BucketAlreadyOwnedByYou
if errors.As(err, &terr) {
fmt.Printf("BucketAlreadyOwnedByYou: %s\n", aws.ToString(terr.Message))
fmt.Printf("noop...\n") // No operation performed, just printing a message
return
}
if err != nil {
log.Fatal(err)
}
fmt.Printf("bucket created at %s\n", aws.ToString(resp.Location))
}
```
------
#### [ SDK for Java 2.x ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS SDK for Java 2.x.
**Example**
```
public static void createBucket(S3Client s3Client, String bucketName) {
//Bucket name format is {base-bucket-name}--{local-zone-id}--x-s3
//example: doc-example-bucket--local-zone-id--x-s3 is a valid name for a directory bucket created in a Local Zone.
CreateBucketConfiguration bucketConfiguration = CreateBucketConfiguration.builder()
.location(LocationInfo.builder()
.type(LocationType.LOCAL_ZONE)
.name("local-zone-id").build()) //this must match the Local Zone ID in your bucket name
.bucket(BucketInfo.builder()
.type(BucketType.DIRECTORY)
.dataRedundancy(DataRedundancy.SINGLE_LOCAL_ZONE)
.build()).build();
try {
CreateBucketRequest bucketRequest = CreateBucketRequest.builder().bucket(bucketName).createBucketConfiguration(bucketConfiguration).build();
CreateBucketResponse response = s3Client.createBucket(bucketRequest);
System.out.println(response);
}
catch (S3Exception e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ AWS SDK para JavaScript ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS SDK para JavaScript.
**Example**
```
// file.mjs, run with Node.js v16 or higher
// To use with the preview build, place this in a folder
// inside the preview build directory, such as /aws-sdk-js-v3/workspace/
import { S3 } from "@aws-sdk/client-s3";
const region = "parent-region-code";
const zone = "local-zone-id";
const suffix = `${zone}--x-s3`;
const s3 = new S3({ region });
const bucketName = `bucket-base-name--${suffix}`; // Full directory bucket name
const createResponse = await s3.createBucket(
{ Bucket: bucketName,
CreateBucketConfiguration: {Location: {Type: "LocalZone", Name: "local-zone-id"},
Bucket: { Type: "Directory", DataRedundancy: "SingleLocalZone" }}
}
);
```
------
#### [ SDK para .NET ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con SDK para .NET.
**Example**
```
using (var amazonS3Client = new AmazonS3Client())
{
var putBucketResponse = await amazonS3Client.PutBucketAsync(new PutBucketRequest
{
BucketName = "bucket-base-name--local-zone-id--x-s3",
PutBucketConfiguration = new PutBucketConfiguration
{
BucketInfo = new BucketInfo { DataRedundancy = DataRedundancy.SingleLocalZone, Type = BucketType.Directory },
Location = new LocationInfo { Name = "local-zone-id", Type = LocationType.LocalZone }
}
}).ConfigureAwait(false);
}
```
------
#### [ SDK for PHP ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS SDK for PHP.
**Example**
```
require 'vendor/autoload.php';
$s3Client = new S3Client([
'region' => 'parent-region-code',
]);
$result = $s3Client->createBucket([
'Bucket' => 'bucket-base-name--local-zone-id--x-s3',
'CreateBucketConfiguration' => [
'Location' => ['Name'=> 'local-zone-id', 'Type'=> 'LocalZone'],
'Bucket' => ["DataRedundancy" => "SingleLocalZone" ,"Type" => "Directory"] ],
]);
```
------
#### [ SDK for Python ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS SDK para Python (Boto3).
**Example**
```
import logging
import boto3
from botocore.exceptions import ClientError
def create_bucket(s3_client, bucket_name, local_zone):
'''
Create a directory bucket in a specified Local Zone
:param s3_client: boto3 S3 client
:param bucket_name: Bucket to create; for example, 'bucket-base-name--local-zone-id--x-s3'
:param local_zone: String; Local Zone ID to create the bucket in
:return: True if bucket is created, else False
'''
try:
bucket_config = {
'Location': {
'Type': 'LocalZone',
'Name': local_zone
},
'Bucket': {
'Type': 'Directory',
'DataRedundancy': 'SingleLocalZone'
}
}
s3_client.create_bucket(
Bucket = bucket_name,
CreateBucketConfiguration = bucket_config
)
except ClientError as e:
logging.error(e)
return False
return True
if __name__ == '__main__':
bucket_name = 'BUCKET_NAME'
region = 'parent-region-code'
local_zone = 'local-zone-id'
s3_client = boto3.client('s3', region_name = region)
create_bucket(s3_client, bucket_name, local_zone)
```
------
#### [ SDK for Ruby ]
En este ejemplo se muestra cómo crear un bucket de directorio en una zona local con AWS SDK para Ruby.
**Example**
```
s3 = Aws::S3::Client.new(region:'parent-region-code')
s3.create_bucket(
bucket: "bucket-base-name--local-zone-id--x-s3",
create_bucket_configuration: {
location: { name: 'local-zone-id', type: 'LocalZone' },
bucket: { data_redundancy: 'SingleLocalZone', type: 'Directory' }
}
)
```
------
# Autenticación y autorización de buckets de directorio en zonas locales
Los buckets de directorio en zonas locales admiten tanto la autorización de AWS Identity and Access Management (IAM) como la autorización basada en sesión. Para obtener más información sobre la autenticación y la autorización para los buckets de directorio, consulte [Autenticación y autorización de solicitudes](s3-express-authenticating-authorizing.md).
## Recursos
Los nombres de recurso de Amazon (ARN) para los buckets de directorio contienen el espacio de nombres `s3express`, la región principal de AWS, el ID de Cuenta de AWS y el nombre de bucket de directorio, que incluye el ID de zona. Para acceder y realizar acciones en el bucket de directorio, debe utilizar el formato de ARN siguiente:
```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```
Para los buckets de directorio en una zona local, el ID de zona es el ID de la zona local. Para obtener más información sobre los buckets de directorio en zonas locales, consulte [Conceptos para buckets de directorio en zonas locales](s3-lzs-for-directory-buckets.md). Para más información acerca de los ARN, consulte [Nombres de recursos de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) en la *guía de referencia de usuario de IAM*. Para obtener más información sobre recursos, consulte [Elementos de la política de JSON de IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) en la *guía del usuario de IAM*.
## Claves de condición para buckets de directorio en zonas locales
En las zonas locales, puede utilizar todas estas [claves de condición](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys) en las políticas de IAM. Además, para crear un perímetro de datos alrededor de los grupos de borde de red de la zona local, puede utilizar la clave de condición `s3express:AllAccessRestrictedToLocalZoneGroup` para denegar todas las solicitudes procedentes del exterior de los grupos.
La siguiente clave de condición se puede utilizar para refinar aún más las condiciones con las que se aplica una instrucción de política de IAM. Para obtener una lista completa de las operaciones de la API, acciones de política y claves de condición que son compatibles con los buckets de directorio, consulte [Acciones de política para buckets de directorio](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions).
**nota**
La siguiente clave de condición solo se aplica a las zonas locales y no es compatible con las zonas de disponibilidad ni las Regiones de AWS.
| Operaciones de la API | Acciones de políticas | Descripción | Clave de condición | Descripción | Tipo |
| --- | --- | --- | --- | --- | --- |
| [Operaciones de API de puntos de conexión zonales](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html) | s3express:CreateSession | Concede permiso para crear un token de sesión, que se utiliza para conceder acceso a todas las operaciones de API de punto de conexión zonal, como `CreateSession`, `HeadBucket`, `CopyObject`, `PutObject` y `GetObject`. | s3express:AllAccessRestrictedToLocalZoneGroup | Filtra todo el acceso al bucket a menos que la solicitud se origine en los grupos de borde de red de la zona local de AWS proporcionados en esta clave de condición. **Valores:** valor del grupo de borde de red de la zona local | String |
## Ejemplos de políticas
Para restringir el acceso a objetos a solicitudes desde dentro de un límite de residencia de datos que defina (específicamente, un grupo de zona local que es un conjunto de zonas locales relacionadas con la misma Región de AWS), puede establecer cualquiera de las siguientes políticas:
+ La política de control de servicio (SCP). Para obtener información acerca de las SCP, consulte [Políticas de control de servicio (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.
+ La política basada en identidad de IAM para el rol de IAM.
+ La política de punto de conexión de VPC. Para obtener más información sobre las políticas de puntos de conexión de VPC, consulte [Uso de políticas de punto de conexión para controlar el acceso a puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía de AWS PrivateLink*.
+ La política de bucket de S3.
**nota**
La clave de condición `s3express:AllAccessRestrictedToLocalZoneGroup` no admite el acceso desde un entorno en las instalaciones. Para admitir el acceso desde un entorno en las instalaciones, debe agregar la IP de origen a las políticas. Para obtener más información, consulte [aws:SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) en la Guía del usuario de IAM.
**Example : política de SCP**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example : política basada en identidad de IAM (asociada al rol de IAM)**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
```
**Example Política de punto de conexión de VPC**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example : política de bucket**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```