Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification et autorisation des compartiments de répertoires dans les zones locales
Les compartiments d'annuaire des Zones Locales prennent en charge à la fois l'autorisation AWS Identity and Access Management (IAM) et l'autorisation basée sur les sessions. Pour plus d’informations sur l’authentification et l’autorisation des compartiments de répertoires, consultez Authentification et autorisation des demandes.
Ressources
Amazon Resource Names (ARNs) pour les compartiments de répertoire contient l's3expressespace de noms, la région AWS parent, l' Compte AWS ID et le nom du compartiment de répertoire qui inclut l'ID de zone. Pour accéder à votre compartiment de répertoires et y effectuer des actions, vous devez utiliser le format d’ARN suivant :
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
Pour les compartiments de répertoires d’une zone locale, l’ID de zone est l’ID de la zone locale. Pour plus d’informations sur les compartiments de répertoires dans les zones locales, consultez Concepts relatifs aux compartiments de répertoires dans les zones locales. Pour plus d'informations ARNs, consultez Amazon Resource Names (ARNs) dans le guide de l'utilisateur IAM. Pour plus d’informations sur les ressources, consultez Éléments de politique JSON IAM : Resource dans le Guide de l’utilisateur IAM.
Clés de condition des compartiments de répertoires dans les zones locales
Dans les Zones Locales, vous pouvez utiliser toutes ces clés de condition dans vos politiques IAM. En outre, pour créer un périmètre de données autour des groupes de bordure réseau de votre zone locale, vous pouvez utiliser la clé de condition s3express:AllAccessRestrictedToLocalZoneGroup afin de refuser toutes les demandes provenant d’en dehors de ces groupes.
La clé de condition suivante peut être utilisée pour affiner les conditions d’application d’une déclaration de politique IAM. Pour obtenir la liste complète des opérations d’API, des actions de politique et des clés de condition prises en charge par les compartiments de répertoires, consultez Actions de politique pour les compartiments de répertoires.
Note
La clé de condition suivante s’applique uniquement aux zones locales et n’est pas prise en charge dans les zones de disponibilité ni dans les Régions AWS.
| Opérations d’API | Actions de politique | Description | Clé de condition | Description | Type |
|---|---|---|---|---|---|
| Opérations d’API de point de terminaison zonal |
s3express:CreateSession
|
Accorde l’autorisation de créer un jeton de session, qui est utilisé pour accorder l’accès à toutes les opérations d’API de point de terminaison zonal, telles que |
s3express:AllAccessRestrictedToLocalZoneGroup
|
Filtre tous les accès au bucket, sauf si la demande provient des groupes de bordure du réseau de zones AWS locales fournis dans cette clé de condition. Valeurs : valeur du groupe de bordure réseau des zones locales |
String
|
Exemples de politiques
Pour restreindre l’accès aux objets aux demandes provenant d’une limite de résidence des données que vous définissez (en particulier, un groupe de zones locales qui est un ensemble de zones locales apparentées à la même Région AWS), vous pouvez définir l’une des politiques suivantes :
-
Politique de contrôle des services (SCP). Pour plus d'informations SCPs, voir Politiques de contrôle des services (SCPs) dans le Guide de AWS Organizations l'utilisateur.
-
Politique basée sur l’identité IAM pour le rôle IAM.
-
Politique de point de terminaison d’un VPC. Pour obtenir des informations sur les politiques de point de terminaison d’un VPC, consultez Contrôle de l’accès aux points de terminaison d’un VPC à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .
-
Politique de compartiment S3.
Note
La clé de condition s3express:AllAccessRestrictedToLocalZoneGroup ne prend pas en charge l’accès depuis un environnement sur site. Pour prendre en charge l’accès depuis un environnement sur site, vous devez ajouter l’adresse IP source aux politiques. Pour plus d'informations, consultez aws : SourceIp dans le guide de l'utilisateur IAM.
Exemple — Politique SCP
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Effect": "Deny", "Action": [ "s3express:*", ], "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "local-zone-network-border-group-value" ] } } } ] }
Exemple — Politique basée sur l’identité IAM (attachée au rôle IAM)
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "s3express:CreateSession", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "local-zone-network-border-group-value" ] } } } }
Exemple – politique de point de terminaison de VPC
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "local-zone-network-border-group-value" ] } } } ] }
Exemple – politique de compartiment
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Access-to-specific-LocalZones-only", "Principal": "*", "Action": "s3express:CreateSession", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "s3express:AllAccessRestrictedToLocalZoneGroup": [ "local-zone-network-border-group-value" ] } } } ] }
