

# 로컬 영역의 디렉터리 버킷에 대한 인증 및 권한 부여
<a name="iam-directory-bucket-LZ"></a>

로컬 영역의 디렉터리 버킷은 AWS Identity and Access Management(IAM) 권한 부여와 세션 기반 권한 부여를 모두 지원합니다. 디렉터리 버킷의 인증 및 권한 부여에 대한 자세한 내용은 [요청 인증 및 권한 부여](s3-express-authenticating-authorizing.md) 섹션을 참조하세요.

## 리소스
<a name="directory-bucket-lz-resources"></a>

디렉터리 버킷의 Amazon 리소스 이름(ARN)에는 `s3express` 네임스페이스, AWS 상위 리전, AWS 계정 ID 및 디렉터리 버킷 이름(영역 ID 포함)이 포함됩니다. 디렉터리 버킷에 액세스하고 작업을 수행하려면 다음 ARN 형식을 사용해야 합니다.

```
arn:aws:s3express:{{region-code}}:{{account-id}}:bucket/{{bucket-base-name}}--{{ZoneID}}--x-s3
```

로컬 영역의 디렉터리 버킷의 경우 영역 ID는 로컬 영역의 ID입니다. 로컬 영역의 디렉터리 버킷에 대한 자세한 내용은 [로컬 영역의 디렉터리 버킷에 대한 개념](s3-lzs-for-directory-buckets.md) 섹션을 참조하세요. ARN에 대한 자세한 내용은 *IAM 사용 설명서*의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 참조하세요. 리소스에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)를 참조하세요.

## 로컬 영역의 디렉터리 버킷에 대한 조건 키
<a name="condition-key-db-lz"></a>

로컬 영역에서는 IAM 정책에서 이 모든 [조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys)를 사용할 수 있습니다. 또한 로컬 영역 네트워크 경계 그룹 주위에 데이터 경계를 생성하려면 `s3express:AllAccessRestrictedToLocalZoneGroup` 조건 키를 사용하여 그룹 외부의 모든 요청을 거부하면 됩니다.

IAM 정책 문이 적용되는 조건을 더 세분화하는 데 다음 조건 키를 사용할 수 있습니다. 디렉터리 버킷에서 지원하는 API 작업, 정책 작업 및 조건 키의 전체 목록은 [Policy actions for directory buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions)을 참조하세요.

**참고**  
다음 조건 키는 로컬 영역에만 적용되며 가용 영역 및 AWS 리전에서는 지원되지 않습니다.


| API 작업 | 정책 작업 | 설명 | 조건 키 | 설명 | 형식 | 
| --- | --- | --- | --- | --- | --- | 
|  [영역 엔드포인트 API 작업](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html)  |  s3express:CreateSession  | 모든 영역 엔드포인트 API 작업(예: `CreateSession`, `HeadBucket`, `CopyObject`, `PutObject`, `GetObject`)에 대한 액세스 권한을 부여하는 데 사용되는 세션 토큰을 생성할 권한을 부여합니다. |  s3express:AllAccessRestrictedToLocalZoneGroup  | 요청이 이 조건 키에 제공된 AWS 로컬 영역 네트워크 경계 그룹에서 시작되지 않는 한 버킷에 대한 모든 액세스를 필터링합니다.<br />**값:** 로컬 영역 네트워크 경계 그룹 값  |  String  | 

## 정책 예제
<a name="directory-bucket-lz-policies"></a>

정의한 데이터 레지던시 경계(구체적으로, 동일한 AWS 리전의 상위 로컬 영역 집합인 로컬 영역 그룹) 내의 요청에 대한 객체 액세스를 제한하려면 다음 정책 중 하나를 설정하면 됩니다.
+ 서비스 제어 정책(SCP). SCP에 대한 자세한 내용은 *AWS Organizations 사용 설명서*에서 [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)를 참조하세요.
+ IAM 역할에 대한 IAM ID 기반 정책
+ VPC 엔드포인트 정책. VPC 엔드포인트 정책에 대한 자세한 내용은 *AWS PrivateLink 안내서*의 [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.
+ S3 버킷 정책

**참고**  
`s3express:AllAccessRestrictedToLocalZoneGroup` 조건 키는 온프레미스 환경에서 시작되는 액세스를 지원하지 않습니다. 온프레미스 환경에서 시작되는 액세스를 지원하려면 정책에 소스 IP를 추가해야 합니다. 자세한 내용은 IAM 사용 설명서의 [aws:SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip)를 참조하세요.

**Example – SCP 정책**  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "{{local-zone-network-border-group-value}}"
                    ]
                }
            }
        }
    ]
}
```

**Example – IAM ID 기반 정책(IAM 역할에 연결됨)**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "{{local-zone-network-border-group-value}}"
                ]              
            }
        }
    }
}
```

**Example - VPC 엔드포인트 정책**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "{{local-zone-network-border-group-value}}"
                     ]
                 }   
            }
        }
    ]
}
```

**Example - 버킷 정책**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "{{local-zone-network-border-group-value}}"
                     ]
                 }   
            }
        }
    ]
}
```