

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Policy IAM basate sull'identità per i bucket di directory
<a name="s3-express-security-iam-identity-policies"></a>

Prima di poter creare i bucket di directory, è necessario concedere le autorizzazioni necessarie al ruolo o agli utenti di AWS Identity and Access Management (IAM). Questa policy di esempio consente l'accesso all'operazione API `CreateSession` (per l'utilizzo con le operazioni API [a livello di oggetto] degli endpoint zonali) e a tutte le operazioni API (a livello di bucket) degli endpoint regionali. Questa policy consente l'operazione API `CreateSession` per l'utilizzo con tutti i bucket di directory, ma le operazioni API degli endpoint regionali sono consentite solo per l'utilizzo con il bucket di directory specificato. Per utilizzare questa policy di esempio, sostituisci `{{user input placeholders}}` con le tue informazioni.

**Nota**  
Come best practice, concedi solo le autorizzazioni necessarie per eseguire un'attività (privilegio minimo). Rimuovi da questa politica tutte le azioni che non sono necessarie per il tuo caso d'uso. Per un elenco completo delle azioni di S3 Express One Zone, consulta [Azioni, risorse e chiavi di condizione per S3 Express One Zone](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html) nel *Service Authorization* Reference.

**Example — Identity-based politica per l'accesso ai bucket di directory**  

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRegionalEndpointAPIs",
            "Effect": "Allow",
            "Action": [
                "s3express:CreateBucket",
                "s3express:DeleteBucket",
                "s3express:DeleteBucketPolicy",
                "s3express:GetBucketPolicy",
                "s3express:PutBucketPolicy",
                "s3express:GetEncryptionConfiguration",
                "s3express:PutEncryptionConfiguration",
                "s3express:GetLifecycleConfiguration",
                "s3express:PutLifecycleConfiguration",
                "s3express:GetInventoryConfiguration",
                "s3express:PutInventoryConfiguration",
                "s3express:GetMetricsConfiguration",
                "s3express:PutMetricsConfiguration"
            ],
            "Resource": "arn:aws:s3express:{{region}}:{{account-id}}:bucket/{{bucket-base-name--zone-id--x-s3}}"
        },
        {
            "Sid": "AllowListAndCreateSession",
            "Effect": "Allow",
            "Action": [
                "s3express:ListAllMyDirectoryBuckets",
                "s3express:CreateSession"
            ],
            "Resource": "*"
        }
    ]
}
```

Questa politica ha due dichiarazioni:
+ La prima istruzione concede le autorizzazioni per le operazioni API degli endpoint regionali (a livello di bucket) su un bucket di directory specifico. Puoi rimuovere le azioni che non ti servono per il tuo caso d'uso.
+ La seconda istruzione concede le autorizzazioni per `ListAllMyDirectoryBuckets` e. `CreateSession` Queste azioni non supportano le autorizzazioni a livello di risorsa, quindi lo sono. `Resource` `"*"` L'`CreateSession`autorizzazione abilita tutte le operazioni API Zonal Endpoint (a livello di oggetto), come, e. `PutObject` `GetObject` `DeleteObject`