# Workloads de residência de dados
As zonas locais dedicadas da AWS são um tipo de infraestrutura da AWS totalmente gerenciada pela AWS, criada para uso exclusivo por você ou pela sua comunidade e colocada em um local ou data center especificado por você para ajudar a cumprir os requisitos regulatórios. As zonas locais dedicadas são um tipo de oferta de zonas locais da AWS. Para ter mais informações, consulte [Zonas locais dedicadas da AWS](https://aws.amazon.com/dedicatedlocalzones/).
Nas zonas locais dedicadas, você pode criar buckets de diretório do S3 para armazenar dados em um perímetro de dados específico, o que ajuda a oferecer suporte a casos de uso de isolamento e residência de dados. Os buckets de diretório em zonas locais dedicadas podem comportar classes de armazenamento S3 Express One Zone e S3 One Zone-Infrequent Access (S3 One Zone-IA; Z-IA). Os buckets de diretório ainda não estão disponíveis em outras [Localizações de zonas locais da AWS](https://aws.amazon.com/about-aws/global-infrastructure/localzones/locations/).
Você pode usar o Console de gerenciamento da AWS, a API REST, a AWS Command Line Interface (AWS CLI) e os AWS SDKs nas zonas locais dedicadas.
Para ter mais informações sobre como trabalhar com buckets de diretório em zonas locais, consulte os seguintes tópicos:
**Topics**
+ [
# Conceitos para buckets de diretório em zonas locais
](s3-lzs-for-directory-buckets.md)
+ [
# Habilitar contas para zonas locais
](opt-in-directory-bucket-lz.md)
+ [
# Conectividade privada de uma VPC
](connectivity-lz-directory-buckets.md)
+ [
# Criar um bucket de diretório em uma zona local
](create-directory-bucket-LZ.md)
+ [
# Autenticação e autorização para buckets de diretório em zonas locais
](iam-directory-bucket-LZ.md)
# Conceitos para buckets de diretório em zonas locais
Antes de criar um bucket de diretório em uma zona local, você deve saber o ID da zona local onde você deseja criar um bucket. Você pode encontrar informações sobre todas as zonas locais usando a operação de API [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html). Essa operação de API fornece informações sobre as zonas locais, incluindo os IDs de zona local, nomes de região principal, grupos de borda de rede e status de adesão. Assim que você tiver o ID da zona local e tiver aderido, poderá criar um bucket de diretório na zona local. Um nome de bucket de diretório consiste em um nome base que você fornece e um sufixo que contém o ID da zona em que o bucket está localizado, seguido de `--x-s3`.
Uma zona local é conectada à **região principal** usando a rede privada redundante e de banda altamente larga da Amazon. Isso concede às aplicações em execução na zona local acesso rápido, seguro e contínuo aos demais Serviços da AWS na região principal. O **ID da zona principal** é o ID da zona que lida com as operações do ambiente de gerenciamento da zona Local. O **grupo de fronteira da rede** é um grupo exclusivo do qual a AWS anuncia endereços IP públicos. Para ter mais informações sobre as zonas locais, a região principal e o ID da zona principal, consulte [AWS Local Zones concepts](https://docs.aws.amazon.com/local-zones/latest/ug/concepts-local-zones.html) no AWS Local Zones* User Guide*.
Todos os buckets de diretório usam o namespace `s3express`, que é separado do namespace `s3` para buckets de uso geral. Para buckets de diretório, as solicitações são roteadas para um **endpoint regional** ou um **endpoint zonal**. O roteamento é feito automaticamente para você se usar o Console de gerenciamento da AWS, a AWS CLI ou os AWS SDKs.
A maioria da operações de API em nível de bucket (como `CreateBucket` e `DeleteBucket`) é roteada para endpoints regionais e são chamadas de operações de API de endpoint regional. Os endpoints regionais estão no formato `s3express-control.ParentRegionCode.amazonaws.com`. Todas as operações de API ao nível do objeto (como `PutObject`) e duas operações de API ao nível do bucket (`CreateSession` e `HeadBucket`) são roteadas para endpoints zonais e são chamadas de operações de API de endpoint zonal. Os endpoints zonais estão no formato `s3express-LocalZoneID.ParentRegionCode.amazonaws.com`. Para conferir uma lista completa das operações de API por tipo de endpoint, consulte [Operações de API de bucket de diretório](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-differences.html#s3-express-differences-api-operations).
Para acessar os buckets de diretório em zonas locais por meio de uma nuvem privada virtual (VPC), você pode usar os endpoints da VPC de gateway. Não há cobrança adicional pelo uso de endpoints do gateway. Para configurar endpoints da VPC de gateway para acessar buckets de diretório e objetos em zonas locais, consulte [Conectividade privada de uma VPC](connectivity-lz-directory-buckets.md).
# Habilitar contas para zonas locais
O tópico a seguir descreve como as contas são habilitadas para zonas locais dedicadas.
Para todos os serviços em zonas locais dedicadas da AWS, incluindo o Amazon S3, seu administrador deve habilitar sua Conta da AWS antes que você possa criar ou acessar qualquer recurso na zona local dedicada. Você pode usar a operação de API [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html) para confirmar o acesso do ID da sua conta a uma zona local.
Para proteger ainda mais os dados no Amazon S3, por padrão, você só tem acesso aos recursos do S3 que você cria. Os buckets em zonas locais têm todas as configurações da funcionalidade Bloqueio de Acesso Público do S3 habilitadas por padrão e a funcionalidade Propriedade do Objetos do S3 está definida como Imposto pelo proprietário do bucket. Essas configurações não podem ser modificadas. Opcionalmente, para restringir o acesso a apenas os grupos de fronteira da rede da zona local, você pode usar a chave de condição `s3express:AllAccessRestrictedToLocalZoneGroup` nas políticas do IAM. Para obter mais informações, consulte [Autenticação e autorização para buckets de diretório em zonas locais](iam-directory-bucket-LZ.md).
# Conectividade privada de uma VPC
Para reduzir o tempo que os pacotes permanecem na rede, configure a nuvem privada virtual (VPC) com um endpoint de gateway para acessar buckets de diretório em zonas de disponibilidade e, ao mesmo tempo, manter o tráfego na rede da AWS sem custo adicional.
**Como configurar um endpoint da VPC do gateway**
1. Abra o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints**.
1. Escolha **Criar endpoint**.
1. Crie um nome para o endpoint.
1. Em **Service category** (Categoria de serviço), escolha **Serviços da AWS**.
1. Em **Serviços**, adicione o filtro **Tipo=Gateway** e escolha o botão de opções ao lado de **com.amazonaws.*região*.s3express**.
1. Em **VPC**, escolha a VPC na qual deseja criar o endpoint.
1. Em **Tabelas de rotas**, selecione as tabelas de rotas em sua VPC a serem usadas pelo endpoint. Depois que o endpoint for criado, um registro de rota será adicionado à tabela de rotas selecionada nesta etapa.
1. Em **Política**, escolha **Acesso total** para permitir todas as operações de todas as entidades principais em todos os recursos no endpoint da VPC. Como alternativa, escolha **Personalizado** para anexar uma política de endpoint da VPC que controle as permissões das entidades principais para realizar ações em recursos pelo endpoint da VPC.
1. Em **IP address type** (Tipo de endereço IP), escolha uma das seguintes opções:
+ **IPv4**: atribua endereços IPv4 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e o serviço aceitar solicitações de IPv4.
+ **IPv6**: atribua endereços IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv6 e o serviço aceitar solicitações de IPv6.
+ **Pilha dupla**: atribua endereços IPv4 e IPv6 às interfaces de rede de endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de ambos os endereços IPv4 e IPv6 e o serviço aceitar solicitações de ambos IPv4 e IPv6.
1. (Opcional) Para adicionar uma etiqueta, escolha **Adicionar nova tag** e insira a chave e o valor da etiqueta.
1. Escolha **Criar endpoint**.
Para saber mais sobre endpoints da VPC de gateway, consulte [Gateway endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/gateway-endpoints.html) no *Guia do usuário do AWS PrivateLink*. Para os casos de uso de residência de dados, recomendamos habilitar o acesso aos buckets somente por meio da VPC usando os endpoints da VPC de gateway. Quando o acesso é restrito a uma VPC ou a um endpoint da VPC, você pode acessar os objetos por meio do Console de gerenciamento da AWS, da API REST, da AWS CLI e dos AWS SDKs.
**nota**
Para restringir o acesso a uma VPC ou a um endpoint da VPC usando o Console de gerenciamento da AWS, você deve usar o acesso privado do Console de gerenciamento da AWS. Para ter mais informações, consulte [Console de gerenciamento da AWS Private Access](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html) no *Guia do Console de gerenciamento da AWS*.
# Criar um bucket de diretório em uma zona local
Em zonas locais dedicadas, você pode criar buckets de diretório para armazenar e recuperar objetos em um perímetro de dados específico a fim de ajudar a atender aos casos de uso de isolamento e residência de dados. Os buckets de diretório do S3 são o único tipo de bucket compatível em zonas locais e contêm um tipo de localização de bucket chamada `LocalZone`. Um nome de bucket de diretório consiste em um nome base que você fornece e um sufixo que contém o ID da zona em que o bucket está localizado e `--x-s3`. Você pode obter uma lista dos IDs de zonas locais usando a operação de API [DescribeAvailabilityZones](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeAvailabilityZones.html). Para obter mais informações, consulte [Regras de nomenclatura de buckets de diretório](directory-bucket-naming-rules.md).
**nota**
Para todos os serviços em zonas locais dedicadas da AWS, incluindo o S3, seu administrador deve habilitar sua Conta da AWS antes que você possa criar ou acessar qualquer recurso na zona local dedicada. Para obter mais informações, consulte [Habilitar contas para zonas locais](opt-in-directory-bucket-lz.md).
Para os requisitos de residência de dados, recomendamos habilitar o acesso aos buckets somente por meio dos endpoints da VPC de gateway. Para obter mais informações, consulte [Conectividade privada de uma VPC](connectivity-lz-directory-buckets.md).
Para restringir o acesso a apenas os grupos de fronteira da rede da zona local, você pode usar a chave de condição `s3express:AllAccessRestrictedToLocalZoneGroup` nas políticas do IAM. Para obter mais informações, consulte [Autenticação e autorização para buckets de diretório em zonas locais](iam-directory-bucket-LZ.md).
Veja a seguir maneiras de criar um bucket de diretório em uma única zona local com o Console de gerenciamento da AWS, a AWS CLI e os AWS SDKs.
## Usar o console do S3
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Depois, escolha a região principal de uma zona local na qual você deseja criar um bucket de diretório.
**nota**
Para ter mais informações sobre as regiões principais, consulte [Conceitos para buckets de diretório em zonas locais](s3-lzs-for-directory-buckets.md).
1. No painel de navegação à esquerda, escolha **Buckets**.
1. Selecione **Create bucket (Criar bucket)**.
A página **Create bucket** (Criar bucket) é aberta.
1. Em **Configuração geral**, visualize a Região da AWS onde o bucket será criado.
1. Em **Tipo de bucket**, escolha **Diretório**.
**nota**
Se você escolher uma região que não oferece suporte a buckets de diretório, o tipo de bucket assumirá um bucket de uso geral como padrão. Para criar um bucket de diretório, escolha uma região compatível. Para conferir uma lista de regiões compatíveis com buckets de diretório, consulte [Endpoints regionais e zonais para buckets de diretório](s3-express-Regions-and-Zones.md).
Depois de criar o bucket, não será possível alterar o tipo.
1. Em **Localização do bucket**, escolha uma zona local que você deseja usar.
**nota**
A zona local não poderá ser alterada após a criação do bucket.
1. Em **Localização do bucket**, marque a caixa de seleção para confirmar que, no caso de uma interrupção da zona local, seus dados poderão ficar indisponíveis ou serem perdidos.
**Importante**
Embora os buckets de diretório sejam armazenados em vários dispositivos dentro de uma única zona local, eles não armazenam dados de forma redundante entre zonas locais.
1. Em **Nome do bucket**, insira um nome para o bucket de diretório.
Para ter mais informações sobre as regras de nomenclatura para buckets de diretório, consulte [Regras de nomenclatura de buckets de uso geral](bucketnamingrules.md). Um sufixo é adicionado automaticamente ao nome de base que você fornece ao criar um bucket de diretório usando o console. Esse sufixo inclui o ID da zona local que você escolheu.
Depois de criado o bucket, você não pode mudar seu nome.
**Importante**
Não inclua informações confidenciais, como números de conta, no nome do bucket. O nome do bucket é visível nos URLs que apontam para os objetos no bucket.
1. Em **Propriedade do objeto**, a configuração **Imposto pelo proprietário do bucket** está habilitada automaticamente e todas as listas de controle de acesso (ACLs) estão desabilitadas. Para os buckets de diretório, as ACLs estão desabilitadas e não é possível habilitá-las.
Com a configuração **Imposto pelo proprietário do bucket** habilitada, o proprietário do bucket automaticamente tem a propriedade e o controle total sobre todos os objetos do bucket. As ACLs não afetam mais as permissões de acesso aos dados no bucket do S3. O bucket usa políticas exclusivamente para definir o controle de acesso. A maioria dos casos de uso modernos no Amazon S3 não exige mais o uso de ACLs. Para obter mais informações, consulte [Controlar a propriedade de objetos e desabilitar ACLs para seu bucket](about-object-ownership.md).
1. Em **Configurações de bloqueio do acesso público deste bucket**, todas as configurações da funcionalidade Bloqueio de Acesso Público para o bucket de diretório estão automaticamente habilitadas. Não é possível modificar essas configurações para buckets de diretório. Para obter mais informações sobre como bloquear o acesso público, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
1. Em **Criptografia padrão**, os buckets de diretório usam a **Criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)** para criptografar os dados por padrão. Você também tem a opção de criptografar dados em buckets de diretório com a **Criptografia do lado do servidor com chaves do AWS Key Management Service (SSE-KMS)**.
1. Selecione **Criar bucket**.
Depois de criar o bucket, você pode adicionar arquivos e pastas a ele. Para obter mais informações, consulte [Trabalhar com objetos em um bucket de diretório](directory-buckets-objects.md).
## Usar a AWS CLI
Este exemplo mostra como criar um bucket de diretório em uma zona local usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
Ao criar um bucket de diretório, você deve fornecer detalhes de configuração e usar a seguinte convenção de nomenclatura: `bucket-base-name--zone-id--x-s3`.
```
aws s3api create-bucket
--bucket bucket-base-name--zone-id--x-s3
--create-bucket-configuration 'Location={Type=LocalZone,Name=local-zone-id},Bucket={DataRedundancy=SingleLocalZone,Type=Directory}'
--region parent-region-code
```
Para ter mais informações sobre o ID da zona local e o código da região principal, consulte [Conceitos para buckets de diretório em zonas locais](s3-lzs-for-directory-buckets.md). Para ter mais informações sobre o comando da AWS CLI, consulte [create-bucket](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/create-bucket.html) na *AWS CLI Command Reference*.
## Usar SDKs da AWS
------
#### [ SDK for Go ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o AWS SDK para Go.
**Example**
```
var bucket = "bucket-base-name--zone-id--x-s3" // The full directory bucket name
func runCreateBucket(c *s3.Client) {
resp, err := c.CreateBucket(context.Background(), &s3.CreateBucketInput{
Bucket: &bucket,
CreateBucketConfiguration: &types.CreateBucketConfiguration{
Location: &types.LocationInfo{
Name: aws.String("local-zone-id"),
Type: types.LocationTypeLocalZone,
},
Bucket: &types.BucketInfo{
DataRedundancy: types.DataRedundancySingleLocalZone,
Type: types.BucketTypeDirectory,
},
},
})
var terr *types.BucketAlreadyOwnedByYou
if errors.As(err, &terr) {
fmt.Printf("BucketAlreadyOwnedByYou: %s\n", aws.ToString(terr.Message))
fmt.Printf("noop...\n") // No operation performed, just printing a message
return
}
if err != nil {
log.Fatal(err)
}
fmt.Printf("bucket created at %s\n", aws.ToString(resp.Location))
}
```
------
#### [ SDK for Java 2.x ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o AWS SDK for Java 2.x.
**Example**
```
public static void createBucket(S3Client s3Client, String bucketName) {
//Bucket name format is {base-bucket-name}--{local-zone-id}--x-s3
//example: doc-example-bucket--local-zone-id--x-s3 is a valid name for a directory bucket created in a Local Zone.
CreateBucketConfiguration bucketConfiguration = CreateBucketConfiguration.builder()
.location(LocationInfo.builder()
.type(LocationType.LOCAL_ZONE)
.name("local-zone-id").build()) //this must match the Local Zone ID in your bucket name
.bucket(BucketInfo.builder()
.type(BucketType.DIRECTORY)
.dataRedundancy(DataRedundancy.SINGLE_LOCAL_ZONE)
.build()).build();
try {
CreateBucketRequest bucketRequest = CreateBucketRequest.builder().bucket(bucketName).createBucketConfiguration(bucketConfiguration).build();
CreateBucketResponse response = s3Client.createBucket(bucketRequest);
System.out.println(response);
}
catch (S3Exception e) {
System.err.println(e.awsErrorDetails().errorMessage());
System.exit(1);
}
}
```
------
#### [ AWS SDK para JavaScript ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o AWS SDK para JavaScript.
**Example**
```
// file.mjs, run with Node.js v16 or higher
// To use with the preview build, place this in a folder
// inside the preview build directory, such as /aws-sdk-js-v3/workspace/
import { S3 } from "@aws-sdk/client-s3";
const region = "parent-region-code";
const zone = "local-zone-id";
const suffix = `${zone}--x-s3`;
const s3 = new S3({ region });
const bucketName = `bucket-base-name--${suffix}`; // Full directory bucket name
const createResponse = await s3.createBucket(
{ Bucket: bucketName,
CreateBucketConfiguration: {Location: {Type: "LocalZone", Name: "local-zone-id"},
Bucket: { Type: "Directory", DataRedundancy: "SingleLocalZone" }}
}
);
```
------
#### [ SDK para .NET ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o SDK para .NET.
**Example**
```
using (var amazonS3Client = new AmazonS3Client())
{
var putBucketResponse = await amazonS3Client.PutBucketAsync(new PutBucketRequest
{
BucketName = "bucket-base-name--local-zone-id--x-s3",
PutBucketConfiguration = new PutBucketConfiguration
{
BucketInfo = new BucketInfo { DataRedundancy = DataRedundancy.SingleLocalZone, Type = BucketType.Directory },
Location = new LocationInfo { Name = "local-zone-id", Type = LocationType.LocalZone }
}
}).ConfigureAwait(false);
}
```
------
#### [ SDK for PHP ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o AWS SDK for PHP.
**Example**
```
require 'vendor/autoload.php';
$s3Client = new S3Client([
'region' => 'parent-region-code',
]);
$result = $s3Client->createBucket([
'Bucket' => 'bucket-base-name--local-zone-id--x-s3',
'CreateBucketConfiguration' => [
'Location' => ['Name'=> 'local-zone-id', 'Type'=> 'LocalZone'],
'Bucket' => ["DataRedundancy" => "SingleLocalZone" ,"Type" => "Directory"] ],
]);
```
------
#### [ SDK for Python ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o AWS SDK para Python (Boto3).
**Example**
```
import logging
import boto3
from botocore.exceptions import ClientError
def create_bucket(s3_client, bucket_name, local_zone):
'''
Create a directory bucket in a specified Local Zone
:param s3_client: boto3 S3 client
:param bucket_name: Bucket to create; for example, 'bucket-base-name--local-zone-id--x-s3'
:param local_zone: String; Local Zone ID to create the bucket in
:return: True if bucket is created, else False
'''
try:
bucket_config = {
'Location': {
'Type': 'LocalZone',
'Name': local_zone
},
'Bucket': {
'Type': 'Directory',
'DataRedundancy': 'SingleLocalZone'
}
}
s3_client.create_bucket(
Bucket = bucket_name,
CreateBucketConfiguration = bucket_config
)
except ClientError as e:
logging.error(e)
return False
return True
if __name__ == '__main__':
bucket_name = 'BUCKET_NAME'
region = 'parent-region-code'
local_zone = 'local-zone-id'
s3_client = boto3.client('s3', region_name = region)
create_bucket(s3_client, bucket_name, local_zone)
```
------
#### [ SDK for Ruby ]
Este exemplo mostra como criar um bucket de diretório em uma zona local usando o AWS SDK para Ruby.
**Example**
```
s3 = Aws::S3::Client.new(region:'parent-region-code')
s3.create_bucket(
bucket: "bucket-base-name--local-zone-id--x-s3",
create_bucket_configuration: {
location: { name: 'local-zone-id', type: 'LocalZone' },
bucket: { data_redundancy: 'SingleLocalZone', type: 'Directory' }
}
)
```
------
# Autenticação e autorização para buckets de diretório em zonas locais
Os buckets de diretório em zonas locais oferecem suporte à autorização do AWS Identity and Access Management (IAM) e à autorização baseada em sessão. Para ter mais informações sobre autenticação e autorização para buckets de diretório, consulte [Autenticar e autorizar solicitações](s3-express-authenticating-authorizing.md).
## Recursos
Os nomes de recurso da Amazon (ARNs) para buckets de diretório contêm o namespace `s3express`, a região principal da AWS, o ID da Conta da AWS e o nome do bucket de diretório, que inclui o ID da zona. Para acessar e executar ações no bucket de diretório, você deve usar o seguinte formato de ARN:
```
arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3
```
Para buckets de diretório em uma zona local, o ID da zona é o ID da zona local. Para ter mais informações sobre os buckets de diretório em zonas locais, consulte [Conceitos para buckets de diretório em zonas locais](s3-lzs-for-directory-buckets.md). Para obter mais informações sobre ARNs, consulte [Nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) no *Guia do usuário do IAM*. Para ter mais informações sobre recursos, consulte [Elementos de política JSON do IAM: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) no *Guia do usuário do IAM*.
## Chaves de condição para buckets de diretório em zonas locais
Em zonas locais, você pode usar todas essas [chaves de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html#amazons3express-policy-keys) nas políticas do IAM. Além disso, para criar um perímetro de dados em torno dos grupos de fronteira da rede da zona local, você pode usar a chave de condição `s3express:AllAccessRestrictedToLocalZoneGroup` para negar todas as solicitações de fora dos grupos.
A chave de condição a seguir pode ser usada para refinar ainda mais as condições sob as quais a instrução de política do IAM se aplica. Para conferir uma lista completa de operações de API, ações de política e chaves de condição compatíveis com buckets de diretório, consulte [Ações de política para buckets de diretório](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-security-iam.html#s3-express-security-iam-actions).
**nota**
A chave de condição a seguir se aplica somente às zonas locais e não é compatível com zonas de disponibilidade e Regiões da AWS.
| Operações de API | Ações de políticas | Descrição | Chave de condição | Descrição | Tipo |
| --- | --- | --- | --- | --- | --- |
| [Operações de API de endpoint zonal](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-APIs.html) | s3express:CreateSession | Concede permissão para criar um token de sessão, que é usado para conceder acesso a todas as operações de API de endpoint zonal, como `CreateSession`, `HeadBucket`, `CopyObject`, `PutObject` e `GetObject`. | s3express:AllAccessRestrictedToLocalZoneGroup | Filtra todo o acesso ao bucket, a menos que a solicitação seja originada dos grupos de fronteira da rede da zona local da AWS fornecidos nessa chave de condição. **Valores:** valor do grupo de borda da rede da zona local. | String |
## Exemplo de política
Para restringir o acesso a objetos às solicitações de dentro de um limite de residência de dados definido por você (especificamente, um grupo de zonas locais, que é um conjunto de zonas locais associadas à mesma Região da AWS), você pode definir uma das seguintes políticas:
+ A política de controle de serviços (SCP). Para ter mais informações sobre as SCPs, consulte [Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.
+ A política baseada em identidade do IAM para o perfil do IAM.
+ A política de endpoint da VPC. Para ter mais informações sobre as políticas de endpoint da VPC, consulte [Control access to VPC endpoints using endpoint policies](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink*.
+ A política de bucket do S3.
**nota**
A chave de condição `s3express:AllAccessRestrictedToLocalZoneGroup` não oferece suporte ao acesso por meio de um ambiente on-premises. Para oferecer suporte ao acesso por meio de um ambiente on-premises, é necessário adicionar o IP de origem às políticas. Para ter mais informações, consulte [aws:SourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) no Guia do usuário do IAM.
**Example – Política SCP**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Effect": "Deny",
"Action": [
"s3express:*",
],
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – Política baseada em identidade do IAM (anexada ao perfil do IAM)**
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "s3express:CreateSession",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
}
```
**Example Política de endpoint da VPC**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```
**Example – Política de bucket**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-LocalZones-only",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"s3express:AllAccessRestrictedToLocalZoneGroup": [
"local-zone-network-border-group-value"
]
}
}
}
]
}
```