Autenticación y autorización de buckets de directorio en zonas locales - Amazon Simple Storage Service
RecursosClaves de condición para buckets de directorio en zonas localesEjemplos de políticas

Autenticación y autorización de buckets de directorio en zonas locales

Los buckets de directorio en zonas locales admiten tanto la autorización de AWS Identity and Access Management (IAM) como la autorización basada en sesión. Para obtener más información sobre la autenticación y la autorización para los buckets de directorio, consulte Autenticación y autorización de solicitudes.

Recursos

Los nombres de recurso de Amazon (ARN) para los buckets de directorio contienen el espacio de nombres s3express, la región principal de AWS, el ID de Cuenta de AWS y el nombre de bucket de directorio, que incluye el ID de zona. Para acceder y realizar acciones en el bucket de directorio, debe utilizar el formato de ARN siguiente:

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

Para los buckets de directorio en una zona local, el ID de zona es el ID de la zona local. Para obtener más información sobre los buckets de directorio en zonas locales, consulte Conceptos para buckets de directorio en zonas locales. Para más información acerca de los ARN, consulte Nombres de recursos de Amazon (ARN) en la guía de referencia de usuario de IAM. Para obtener más información sobre recursos, consulte Elementos de la política de JSON de IAM: Resource en la guía del usuario de IAM.

Claves de condición para buckets de directorio en zonas locales

En las zonas locales, puede utilizar todas estas claves de condición en las políticas de IAM. Además, para crear un perímetro de datos alrededor de los grupos de borde de red de la zona local, puede utilizar la clave de condición s3express:AllAccessRestrictedToLocalZoneGroup para denegar todas las solicitudes procedentes del exterior de los grupos.

La siguiente clave de condición se puede utilizar para refinar aún más las condiciones con las que se aplica una instrucción de política de IAM. Para obtener una lista completa de las operaciones de la API, acciones de política y claves de condición que son compatibles con los buckets de directorio, consulte Acciones de política para buckets de directorio.

nota

La siguiente clave de condición solo se aplica a las zonas locales y no es compatible con las zonas de disponibilidad ni las Regiones de AWS.

Operaciones de la API Acciones de políticas Descripción Clave de condición Descripción Tipo
Operaciones de API de puntos de conexión zonales s3express:CreateSession

Concede permiso para crear un token de sesión, que se utiliza para conceder acceso a todas las operaciones de API de punto de conexión zonal, como CreateSession, HeadBucket, CopyObject, PutObject y GetObject.

 s3express:AllAccessRestrictedToLocalZoneGroup

Filtra todo el acceso al bucket a menos que la solicitud se origine en los grupos de borde de red de la zona local de AWS proporcionados en esta clave de condición.

Valores: valor del grupo de borde de red de la zona local

String

Ejemplos de políticas

Para restringir el acceso a objetos a solicitudes desde dentro de un límite de residencia de datos que defina (específicamente, un grupo de zona local que es un conjunto de zonas locales relacionadas con la misma Región de AWS), puede establecer cualquiera de las siguientes políticas:

nota

La clave de condición s3express:AllAccessRestrictedToLocalZoneGroup no admite el acceso desde un entorno en las instalaciones. Para admitir el acceso desde un entorno en las instalaciones, debe agregar la IP de origen a las políticas. Para obtener más información, consulte aws:SourceIp en la Guía del usuario de IAM.

ejemplo : política de SCP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
ejemplo : política basada en identidad de IAM (asociada al rol de IAM)

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
ejemplo Política de punto de conexión de VPC

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
ejemplo : política de bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}