Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones - Amazon Simple Storage Service
RessourcenBedingungsschlüssel für Verzeichnis-Buckets in Local ZonesBeispielrichtlinien

Authentifizierung und Autorisierung für Verzeichnis-Buckets in Local Zones

Verzeichnis-Buckets in lokalen Zonen unterstützen sowohl AWS Identity and Access Management (IAM)-Autorisierung als auch sitzungsbasierte Autorisierung. Weitere Informationen zur Authentifizierung und Autorisierung für Verzeichnis-Buckets finden Sie unter Authentifizieren und Autorisieren von Anforderungen.

Ressourcen

Amazon-Ressourcennamen (ARNs) für Verzeichnis-Buckets enthalten den s3express-Namespace, die übergeordnete AWS-Region, die AWS-Konto-ID und den Verzeichnis-Bucket-Namen, der die Zonen-ID beinhaltet. Wenn Sie auf Ihren Verzeichnis-Bucket zugreifen und Aktionen für diesen ausführen möchten, müssen Sie das folgende ARN-Format verwenden:

arn:aws:s3express:region-code:account-id:bucket/bucket-base-name--ZoneID--x-s3

Bei Verzeichnis-Buckets in einer Local Zone ist die Zone ID die ID der Local Zone. Weitere Information zu Verzeichnis-Buckets in Local Zones finden Sie unter Konzepte für Verzeichnis-Buckets in Local Zones. Weitere Informationen zu ARNs finden Sie unter Amazon-Ressourcennamen (ARNs) im IAM-Benutzerhandbuch. Weitere Informationen zu Ressourcen finden Sie unter IAM-JSON-Richtlinienelemente: Ressource im IAM-Benutzerhandbuch.

Bedingungsschlüssel für Verzeichnis-Buckets in Local Zones

In lokalen Zonen können Sie alle diese Bedingungsschlüssel in Ihren IAM-Richtlinien verwenden. Um einen Datenperimeter rund um die Netzwerkgrenzgruppen Ihrer Local Zone einzurichten, können Sie außerdem den Bedingungsschlüssel s3express:AllAccessRestrictedToLocalZoneGroup verwenden, um alle Anforderungen von außerhalb der Gruppen abzulehnen.

Der folgende Bedingungsschlüssel kann verwendet werden, um die Bedingungen zu verfeinern, unter denen eine IAM-Richtlinienanweisung angewendet wird. Eine vollständige Liste der API-Operationen, Richtlinienaktionen und Bedingungsschlüssel, die von Directory-Buckets unterstützt werden, finden Sie unter Richtlinienaktionen für Directory-Buckets.

Anmerkung

Der folgende Bedingungsschlüssel gilt nur für lokale Zonen und wird in Availability Zones und AWS-Regionennicht unterstützt.

API-Operationen Richtlinienaktionen Beschreibung Bedingungsschlüssel Beschreibung Typ
Zonale Endpunkt-API-Operationen s3express:CreateSession

Gewährt die Berechtigung zum Erstellen eines Sitzungstokens, mit dem Zugriff auf alle zonalen Endpunkt-API-Operationen gewährt wird, z. B. CreateSession, HeadBucket, CopyObject, PutObject und GetObject.

 s3express:AllAccessRestrictedToLocalZoneGroup

Filtert den gesamten Zugriff auf den Bucket, sofern die Anfrage nicht von den Netzwerkgrenzgruppen der AWS Local Zone stammt, die in diesem Bedingungsschlüssel angegeben sind.

Werte: Wert für die Netzwerkgrenzgruppe der Local Zone

String

Beispielrichtlinien

Um den Objektzugriff auf Anfragen innerhalb einer von Ihnen definierten Grenze der Datenresidenz zu beschränken (insbesondere auf eine lokale Zonengruppe, die aus einer Reihe lokaler Zonen besteht, die der gleichen AWS-Regionübergeordnet sind), können Sie eine der folgenden Richtlinien festlegen:

Anmerkung

Der Bedingungsschlüssel s3express:AllAccessRestrictedToLocalZoneGroup unterstützt keinen Zugriff von einer On-Premises-Umgebung aus. Um den Zugriff von einer On-Premises-Umgebung aus zu unterstützen, müssen Sie die Quell-IP zu den Richtlinien hinzufügen. Weitere Informationen finden Sie unter aws:SourceIp im IAM-Benutzerhandbuch.

Beispiel – SCP-Richtlinie

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Access-to-specific-LocalZones-only",
            "Effect": "Deny",
            "Action": [
                "s3express:*",
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "s3express:AllAccessRestrictedToLocalZoneGroup": [
                        "local-zone-network-border-group-value"
                    ]
                }
            }
        }
    ]
}
Beispiel – Identitätsbasierte IAM-Richtlinie (an die IAM-Rolle angehängt)
JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "s3express:CreateSession",
        "Resource": "*",
        "Condition": {
            "StringNotEqualsIfExists": {
                "s3express:AllAccessRestrictedToLocalZoneGroup": [
                    "local-zone-network-border-group-value"
                ]              
            }
        }
    }
}
Beispiel – VPC-Endpunktrichtlinie
JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}
Beispiel – Bucket-Richtlinie
JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {       
            "Sid": "Access-to-specific-LocalZones-only",
            "Principal": "*",
            "Action": "s3express:CreateSession",
            "Effect": "Deny",
            "Resource": "*",
            "Condition": {
                 "StringNotEqualsIfExists": {
                     "s3express:AllAccessRestrictedToLocalZoneGroup": [
                         "local-zone-network-border-group-value"
                     ]
                 }   
            }
        }
    ]
}