Autenticação e autorização para buckets de diretório em zonas locais - Amazon Simple Storage Service
RecursosChaves de condição para buckets de diretório em zonas locaisExemplo de política

Autenticação e autorização para buckets de diretório em zonas locais

Os buckets de diretório em zonas locais oferecem suporte à autorização do AWS Identity and Access Management (IAM) e à autorização baseada em sessão. Para ter mais informações sobre autenticação e autorização para buckets de diretório, consulte Autenticar e autorizar solicitações.

Recursos

Os nomes de recurso da Amazon (ARNs) para buckets de diretório contêm o namespace s3express, a região principal da AWS, o ID da Conta da AWS e o nome do bucket de diretório, que inclui o ID da zona. Para acessar e executar ações no bucket de diretório, você deve usar o seguinte formato de ARN:

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

Para buckets de diretório em uma zona local, o ID da zona é o ID da zona local. Para ter mais informações sobre os buckets de diretório em zonas locais, consulte Conceitos para buckets de diretório em zonas locais. Para obter mais informações sobre ARNs, consulte Nome do recurso da Amazon (ARN) no Guia do usuário do IAM. Para ter mais informações sobre recursos, consulte Elementos de política JSON do IAM: Resource no Guia do usuário do IAM.

Chaves de condição para buckets de diretório em zonas locais

Em zonas locais, você pode usar todas essas chaves de condição nas políticas do IAM. Além disso, para criar um perímetro de dados em torno dos grupos de fronteira da rede da zona local, você pode usar a chave de condição s3express:AllAccessRestrictedToLocalZoneGroup para negar todas as solicitações de fora dos grupos.

A chave de condição a seguir pode ser usada para refinar ainda mais as condições sob as quais a instrução de política do IAM se aplica. Para conferir uma lista completa de operações de API, ações de política e chaves de condição compatíveis com buckets de diretório, consulte Ações de política para buckets de diretório.

nota

A chave de condição a seguir se aplica somente às zonas locais e não é compatível com zonas de disponibilidade e Regiões da AWS.

Operações de API Ações de políticas Descrição Chave de condição Descrição Tipo
Operações de API de endpoint zonal s3express:CreateSession

Concede permissão para criar um token de sessão, que é usado para conceder acesso a todas as operações de API de endpoint zonal, como CreateSession, HeadBucket, CopyObject, PutObject e GetObject.

 s3express:AllAccessRestrictedToLocalZoneGroup

Filtra todo o acesso ao bucket, a menos que a solicitação seja originada dos grupos de fronteira da rede da zona local da AWS fornecidos nessa chave de condição.

Valores: valor do grupo de borda da rede da zona local.

String

Exemplo de política

Para restringir o acesso a objetos às solicitações de dentro de um limite de residência de dados definido por você (especificamente, um grupo de zonas locais, que é um conjunto de zonas locais associadas à mesma Região da AWS), você pode definir uma das seguintes políticas:

  • A política de controle de serviços (SCP). Para ter mais informações sobre as SCPs, consulte Service control policies (SCPs) no Guia do usuário do AWS Organizations.

  • A política baseada em identidade do IAM para o perfil do IAM.

  • A política de endpoint da VPC. Para ter mais informações sobre as políticas de endpoint da VPC, consulte Control access to VPC endpoints using endpoint policies no Guia do AWS PrivateLink.

  • A política de bucket do S3.

nota

A chave de condição s3express:AllAccessRestrictedToLocalZoneGroup não oferece suporte ao acesso por meio de um ambiente on-premises. Para oferecer suporte ao acesso por meio de um ambiente on-premises, é necessário adicionar o IP de origem às políticas. Para ter mais informações, consulte aws:SourceIp no Guia do usuário do IAM.

exemplo – Política SCP

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
exemplo – Política baseada em identidade do IAM (anexada ao perfil do IAM)

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
exemplo Política de endpoint da VPC

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
exemplo – Política de bucket

{
    "Version": "2012-10-17",
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}